Pas si simple de connaître le RGPD sur le bout des doigts pour une TPE-PME… Plus de trois ans après l’entrée en vigueur effective du règlement visant à protéger les données personnelles, « un retard de mise en conformité des TPE-PME est toujours observé. Et lorsque la prise de conscience est là, elle est en deçà du niveau de menace réel et du niveau de réponse nécessaire », confie un porte-parole Commission nationale de l’informatique et des libertés (Cnil). « Pour la majorité des TPE-PME, la conformité reste un sujet compliqué, à la fois juridique et technique, sur lequel elles ont peu de prises. » Pourtant, toute entreprise qui traite des données, ne serait-ce que celles de ses salariés, est directement soumise au RGPD – indépendamment de sa taille. En cas de manquements, une amende allant jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial peut être prononcée.
Au cours de la crise du Covid-19, de nombreuses TPE-PME ont dû se numériser dans l’urgence pour permettre à leurs salariés de travailler à distance ou maintenir le contact avec leurs clients. 66% des TPE-PME ont désormais un site Internet présentant leur activité, contre 37% avant la crise, selon le baromètre France Num de la transformation numérique des TPE/PME réalisé par la direction générale des entreprises et publié en octobre 2021.
Covid-19 : une numérisation dans l’urgence pour les TPE-PME
Cette numérisation à marche forcée a-t-elle créé davantage de dérives en matière de protection des données personnelles ? « Aucune étude n’a été réalisée pour l’instant mais il est probable qu’il y a eu un relâchement ponctuel, avance Patrick Blum, délégué général de l’AFCDP, l’association française des correspondants à la protection des données à caractère personnel. Des témoignages de pratiques très intrusives lors du télétravail, comme de la surveillance via webcam, ont circulé par exemple. La protection des données personnelles est passée au second plan pour certaines entreprises car elles ont dû trouver rapidement des moyens pour poursuivre leurs activités coûte que coûte. »
Les DPO au secours des TPE-PME ?
Pourtant, « si la prise en compte du RGPD n’est pas faite dès la numérisation, les entreprises risquent de d’accumuler un retard qu’il sera de plus en plus difficile à rattraper », alerte le porte-parole de la Cnil. Pour se mettre à la page, « la première étape est de nommer un délégué à la protection des données (DPO) – même si dans une TPE-PME, cela peut être compliqué de trouver une personne capable d’absorber cette charge de travail supplémentaire », alerte Patrick Blum. Nommer un DPO n’est pas obligatoire pour toutes les entreprises, « mais cela permet de mieux diffuser l’information. » Il est également possible de recourir à un DPO externe.
Deuxième étape : consulter les fiches pratiques et les guides édités par la Cnil. Ils listent les actions essentielles pour constituer un registre de traitements de ses données, faire le tri de ses données, apprendre à respecter les droits des personnes et sécuriser ses données. Enfin, il est possible de se tourner vers des structures comme la Confédération des PME ou le médiateur des entreprises pour avoir accès à des actions de sensibilisation et des outils d’auto-évaluation.
