- Le blog et les actualités de Witik
- Tout savoir sur le RGPD pour les PME
- 1 - Le RGPD s’applique-t-il à ma PME ?
- 2 - Dois-je mettre en place un bandeau de cookies sur mon site internet ?
- 3 - Comment rédiger ma politique de confidentialité ?
- 4 - Dois-je recruter un DPO en tant que PME ?
- 5 - La CNIL peut-elle prononcer des sanctions à mon encontre ?
- 6 - Conformité au RGPD, par quoi commencer ?
Guide complet du RGPD pour les PME : Obligations et bonnes pratiques
Vous êtes dirigeant ou responsable d’une PME ? Cet article sur le RGPD est fait pour vous ! Le RGPD concerne les TPE et PME, on va voir dans quel cadre. Des spécificités s’imposent et votre mise en conformité ne repose pas sur les mêmes principes selon la taille de votre entreprise.
Nous répondons aux principales questions qui se posent pour les PME et les TPE en matière de protection des données.
Le RGPD s’applique-t-il à ma PME ?
C’est bien la première question qu’il faut se poser. Le RGPD s’applique-t-il à votre entreprise quelle que soit sa taille et son secteur d’activité ?
La réponse est oui. Le RGPD, Règlement Général sur la Protection des Données, s’applique à toutes les entreprises. Plus précisément, le texte vous concerne dès lors que vous êtes susceptible de collecter ou traiter les données de résidents européens.
Autrement dit, le RGPD concerne toutes les entreprises françaises et européennes, mais aussi les sociétés internationales qui agissent en Europe et collectent des données sur le territoire de l’UE.
Le champ d’application du RGPD est donc très vaste. De plus, la notion de collecte et de traitement des données personnelles est également très importante. Par exemple, si vous avez besoin de l’adresse postale de vos clients ou bien d’informations sur vos salariés (pour remplir leurs fiches de paie par exemple), vous êtes en train de traiter des données personnelles !
Pour plus de précisions, vous pouvez consulter notre article sur les fondements du RGPD.
Dois-je mettre en place un bandeau de cookies sur mon site internet ?
Votre entreprise possède un site internet : dans quels cas devez-vous y inclure un bandeau de cookies ?
Le bandeau cookies a pour fonction de recueillir le consentement des visiteurs de votre site internet quant à l’activation de cookies et traceurs. La première question est donc : utilisez-vous des cookies sur votre site web ?
A noter que leur utilisation est très fréquente sur les sites internet, dès que vous collectez des informations de connexion (pour “retenir” un mot de passe par exemple), des préférences de navigation ou que vous collectez des données pour un outil d’analyse webmarketing.
Plus précisément, certains cookies peuvent être nécessaires au bon fonctionnement de votre site internet ou de votre service digital. Dans ce cas, il n’est pas nécessaire de recueillir l’autorisation des utilisateurs pour leur installation et leur activation. En revanche, les cookies non-essentiels ne peuvent être activés que lorsque vos utilisateurs ont donné leur consentement sur votre site web pour cette opération de traitement de données.
Comment rédiger ma politique de confidentialité ?
La politique de confidentialité est un document, souvent hébergé sur votre site web, qui vient récapituler les différentes informations liées à votre activité sur les données personnelles de vos utilisateurs. Ce document d’information est (et doit être) accessible à vos utilisateurs.
L’idée est de décrire en termes simples les opérations de collecte et de traitement que vous effectuez et pourquoi (c’est-à-dire les finalités de ces traitements).
Pour en savoir plus, vous pouvez consulter notre article sur la politique de confidentialité pour les sites web.
Dois-je recruter un DPO en tant que PME ?
Le DPO ou Délégué à la Protection des Données, en français, est-il obligatoire ?
Tout dépend des organisations.
Plus précisément : la désignation d’un DPO est obligatoire pour :
les autorités et organismes publics ;
les organismes dont les activités conduisent à opérer un traitement de données personnelles de façon régulière et systématique, à grande échelle ;
les organismes qui traitent à grande échelle des données sensibles.
Autrement dit, l’obligation ou non de désigner un DPO dans votre entreprise dépend non pas de sa taille mais de la nature de son activité. Concrètement, si vos activités peuvent faire peser un risque important sur la vie privée des personnes concernées, alors il peut être obligatoire de désigner un DPO.
Il faut noter deux choses : d’abord, désigner un DPO ne veut pas forcément dire recruter quelqu’un dont ce sera le rôle unique. Par exemple, un directeur juridique peut également tenir ce rôle.
Ensuite, même si ce n’est pas obligatoire, nommer un DPO est fortement conseillé quelle que soit la taille de votre organisation !
La CNIL peut-elle prononcer des sanctions à mon encontre ?
Oui : la CNIL est l’autorité de contrôle du RGPD pour la France et peut donc prononcer des sanctions à l’encontre d’entreprises françaises en cas de manquement.
Ces sanctions peuvent atteindre jusqu’à 20 millions d’euros ou jusqu’à 4% du CA mondial de l’entreprise.
Cependant, il faut avoir en tête que la politique de la CNIL (et des autres autorités de contrôle des Etats-membres) n’est pas de multiplier les sanctions. L’objectif a plutôt été, jusqu’à présent, d’accompagner les entreprises dans leur mise en conformité et de faire cesser les comportements pouvant poser problème.
La CNIL utilise plutôt, dans un premier temps, des mesures incitatives comme la mise en demeure et l’accompagnement vers la conformité, avant de passer à des sanctions pour les cas les plus problématiques.
Conformité au RGPD, par quoi commencer ?
Votre mise en conformité RGPD suppose la mise en place de process de sécurisation des données personnelles et la constitution d’une documentation juridique précise.
Vous devrez en effet construire un registre des traitements pour récapituler auprès de la CNIL les opérations de traitement que vous mettez en place et les mesures de protection des données qui sont adoptées.
On peut également citer l’obligation de conduire des analyses d’impact (AIPD).
Plus généralement, la conformité RGPD pour une PME repose à la fois sur des mesures concrètes (comme le chiffrement des données ou l’installation d’un bandeau de cookies) et des éléments de documentation juridique liés à votre conformité (comme le registre des sous-traitants ou les AIPD).
Pour vous accompagner dans ces deux grands volets de la mise en conformité, vous pouvez compter sur Witik, la plateforme tout-en-un du RGPD qui vous guide dans un seul et même outil à travers tous vos processus conformité !