La lente infusion du RGPD dans les PME
Six mois après l'entrée en vigueur du Règlement général sur la protection des données (RGPD), où en sont les PME ? Si le sujet commence à être investi par les entreprises, il faudra encore du temps pour apercevoir une mise en conformité optimale.
Je m'abonneEffet de mode, chantier anxiogène ou simple formalité ? Depuis l'instauration du Règlement général sur la protection des données (RGPD) au niveau européen le 25 mai 2018, la mise en conformité dont doivent se saisir les entreprises a suscité de nombreuses interrogations. "C'est un succès au moins médiatique qui incite les entreprises à se saisir des nouvelles obligations, reconnaît Eric Delisle, juriste au service DPO de la CNIL qui intervenait lors d'une table ronde sur un bilan d'étape à six mois du RGPD, mardi 6 novembre à la CCI Paris Ile-de-France. Aujourd'hui, près de 30 000 organismes ont désigné un DPO (délégué aux données personnelles, NDLR) de manière contrainte ou volontaire".
Un premier signe illustrant, selon la CNIL, la situation dans laquelle sont les entreprises face aux sanctions qu'elles encourent à ne pas se mettre en conformité avec le règlement européen. L'organisme partageait début octobre 2018 que 600 notifications de violations des données avaient été reçues concernant près de 15 millions de personnes. Une première sanction a d'ailleurs été annoncée cette semaine au Portugal à l'encontre d'un centre hospitalier.
Mais bien avant l'annonce de sanctions financières en France, la Commission se veut rassurante : "Avant de sanctionner, il y a de nombreuses étapes préalables pour tendre vers une mise en conformité", rappelle Eric Delisle. Dépassionner le débat et la montagne d'obligations à respecter est semble-t-il nécessaire. "2019 sera l'année d'une nouvelle vague de mise en conformité, estime Élise Dufour, avocate et présidente de Cyberlex, une association du droit et des nouvelles technologies. Les grandes entreprises demandent aujourd'hui à leurs sous-traitants d'être en conformité, la concurrence aussi permettra de créer un effet vertueux, ça prendra un peu de temps".
Mobiliser en interne
"Il y a un besoin de dédramatiser les sanctions et convaincre les entreprises que le RGPD est un projet qui ne peut être mené que par l'ensemble des parties prenantes. On est dans une démarche d'amélioration continue de la gestion des données personnelles", juge David Feldman, consultant et fondateur de DFC Partners. "Le sujet est anxiogène mais il est de taille, analyse de son côté Soumia Malinbaum, présidente du comité numérique à la CCI Paris Ile-de-France. Si les grandes entreprises se sont très vite saisies du règlement, les TPE et PME restent en dedans. "Une moitié de petites entreprises a commencé à s'y intéresser, quand l'autre moitié est complètement perdue."
Les chantiers sont complexes et concernent tous les services, de la relation client aux ressources humaines en passant par les systèmes d'information. Plus que la sensibilisation au RGPD, c'est bien davantage sur la manière de mettre en place les nouvelles obligations que les TPE et PME achoppent. Directeur général délégué de Stora Enso France, filiale française d'un groupe finlandais, Eric Munoz reconnaît que "le RGPD crée des tensions en interne et des résistances avec le DPO".
Mise en place de nouvelles procédures, engagement des services juridiques et des systèmes d'information ou encore établissement d'un registre, les nouveautés sont exigeantes. "Le premier frein c'est que l'on rajoute aux collaborateurs impliqués une charge de travail monumental à leur mission", retient surtout David Feldman qui conseille de suivre les étapes l'une après l'autre.
Un argument commercial ?
Pour autant, le RGPD n'est pas qu'un chantier ardu, il peut aussi s'avérer comme une chance de se démarquer de ses concurrents. "Le RGPD n'est pas une mode, puisque les données personnelles des consommateurs sont au centre du règlement. C'est une question de sécurité, de confiance et donc un argument commercial à mobiliser", considère Elise Dufour.
Garantir la sécurité des données personnelles serait donc un atout à mobiliser pour attirer les prospects. Le règlement européen offre d'abord la possibilité aux consommateurs de mieux suivre la gestion de ses données personnelles par les organismes publics et privés. "Il y a besoin de rassurer et de placer le consommateur dans une zone de confort et de sécurité, avance Amandine Pepers, juriste-conseil à la CCI Paris Ile-de-France. C'est là-dessus que des entreprises tireront leur épingle du jeu et s'ouvriront vers de nouveaux business".
Le consultant David Feldman tempère légèrement le débat en considérant que le RGPD a ouvert une longue transition nécessitant que les entreprises se saisissent d'abord de l'intérêt d'être en conformité. "L'argument commercial viendra après", juge-t-il.