Depuis 2018, chaque organisation qui manipule des données personnelles est soumise au Règlement Général sur la protection des données et, qu’importe la taille de la structure, se doit de protéger les données de clients, prospects, partenaires, adhérents, salariés, dont les informations personnelles ou professionnelles font l’objet de traitements : acquisition, exploitation, diffusion, archivage, etc.
Des guides spécifiques
La CNIL a souhaité très tôt aider les TPE en publiant divers guides de mise en œuvre du RGPD, l’objectif étant de favoriser une intégration de la démarche de protection des données dans les procédures quotidiennes lorsqu’il n’existe pas de fonction uniquement dédiée à la conformité ou à l’organisation. Plus récemment, l’autorité de contrôle s’est aussi intéressée aux associations amenées à manipuler des données personnelles de donateurs, bénévoles, bénéficiaires.
Les TPE et associations vraiment concernées par le RGPD ?
Il est important de comprendre que ce règlement ne s’adresse pas qu’aux poids lourds de l’exploitation des données personnelles recueillies sans réel consentement via des cookies et dispositifs de ciblage plus ou moins sophistiqués. Il vise surtout à imposer la gestion du risque encouru par les données sensibles des individus et le respect de leurs droits, ce qui détermine, pour la CNIL, la nature de la sanction en cas de manquement constaté .
Or, depuis 4 ans, nombre de petites structures ont bel et bien démarré une mise en conformité au RGPD mais elle se heurte souvent à une sorte d’essoufflement au fil des remplacements de collaborateurs, des aléas de la vie des entreprises durant la crise sanitaire et une digitalisation menée tambour battant mais sans réel recul sur l’organisation mise en place. L’épisode des « cookies » a monopolisé les énergies sur le sujet du consentement mais le registre des traitements n’a pas toujours reflété les changements de prestataires, d’outils, de méthodes.
Enfin, une augmentation notable des risques de piratage des données, de hameçonnage et rançongiciels a fait prendre conscience à chacun que ce qui compte n’est pas le volume des données exposées mais bien la nature des données personnelles manipulées. Certaines petites organisations ont ainsi découvert, parfois à leur dépend, que leurs clients ou adhérents représentent une cible recherchée.
RGPD et cybersécurité : même combat !
Bilan : en 2022, il n’est que temps de refaire un point sur la situation et réajuster les procédures. Désormais, le RGPD pour les données personnelles et la cybersécurité pour les données vitales à l’activité sont à traiter de concert, chaque démarche participant à la consolidation de l’autre.
Au programme donc :
- Mettez à jour la cartographie des applications, la liste des procédures et complétez le registre des traitements. Partez à la chasse aux transferts de fichiers par mail, en tableur ou autre format lisible à des prestataires dont vous ignorez tout de leur capacité à éviter les fuites de données.
- Conservez toutes les traces des mesures que vous prenez pour réduire les risques (affichages, procédures, charte, etc.) et répondez aux demandes d’exercice des droits qui vous parviennent. Ne négligez aucune demande.
- Poser vous la question de remplacer par des solutions numériques françaises ou européennes les abonnements à toutes les application américaines en cloud. Ce n’est pas toujours plus cher.
- Vous utilisez Office 365 ? alors vérifiez que les équipes ont eu la formation bureautique nécessaire et sont sensibilisées aux bonnes pratiques, que vos dossiers sensibles ne sont pas ouverts à tous ou répliqués sur les postes individuels.
- Votre conformité dépend avant tout de l’implication de l’équipe et des parties prenantes. Un budget n’est pas déterminant. Mais si vous souhaitez pérenniser votre activité et la sécuriser, un développement sur mesure avec des garanties d’hébergement en France, d’automatisation de transferts sécurisés et l’interconnexion d’applications constitue une base solide et structurante d’une conformité sur la durée.
- Enfin, ne pas oublier que l’Etat aide les TPE dans leurs efforts de transformation numérique, une occasion d’améliorer productivité, sécurité et conformité.
Vous recherchez une entreprise pour mettre en conformité RGPD votre TPE
ou pour vous accompagner dans la sécurité de votre parc informatique ?