Comment une PME devrait-elle se conformer au RGPD ?

Le Règlement Général sur la Protection des Données ou RGPD est une nouvelle réglementation européenne entrée en vigueur depuis mai 2018. Il concerne le traitement et la circulation des données à caractère personnel. Ce sont les éléments sur lesquels les entreprises s’appuient pour proposer des services et des produits. Toute entité manipulant des données personnelles doit se conformer au RGPD, même une association ou une PME. Celle-ci doit se mettre en conformité au RGPD PME. Il en est de même pour les unités non européennes qui collectent et moulinent des données européennes.

Un registre de traitement des données : une obligation pour se conformer au RGPD

Les PME concernées, au même titre que les entreprises sont celles qui collectent et utilisent des données à caractère personnel. Dans ce cas, elles sont responsables des traitements. Mais, si elles traitent de telles données pour le compte d’autres entreprises, elles sont classées PME sous-traitantes. Quel que soit le type, une PME doit obligatoirement constituer un registre de traitement de données. Il contient toutes les activités de traitements et doit répondre à 6 questions :

  • Qui ? Noms et coordonnées du responsable du traitement ou du responsable adjoint, du représentant du responsable du traitement et du délégué à la protection des données (DPO) ;
  • Pourquoi ? Finalité du traitement des données : une formulation générale et un descriptif plus complet ;
  • Quoi ? Description des catégories des personnes concernées et des données traitées pour chacune des finalités identifiées ;
  • Où ? Pour permettre de localiser les données, de préciser les destinataires, les transferts de données vers des pays tiers à l’Union européenne ;
  • Jusqu’à quand ? Informations concernant la durée de la conservation des données ;
  • Comment ? Description générale des mesures de sécurité techniques et organisationnelles mises en place.

Autres exigences du RGPD

Une autre recommandation du RGPD PME est de renforcer la gouvernance des données ou la Data gouvernance. Il s’agit avant tout de respecter les obligations légales imposées. Ensuite, l’exigence concerne l’instauration d’un cadre interne d’optimisation de l’utilisation des données. La gouvernance n’est pas à appliquer à un produit ou service, mais à la dimension de l’entreprise. C’est donc un système organisationnel qui vise à tirer profit du capital « données ». Il s’appuie sur les piliers suivants : règles d’administration, organisation avec les rôles et les attributions des acteurs, finances, contrôle de la mise en place des mécanismes, et les risques liés aux données (vols, perte).

Enfin, la PME doit désigner un DPO. C’est le délégué à la protection des données. Ce DPO peut être un salarié en interne ou un consultant RGBD externalisé. Seulement, il ne doit pas être en situation de conflit d’intérêts en cas de cumul de fonctions de DPO avec une autre fonction.