RGPD dans les PME : un chantier organisationnel

Déjà huit mois depuis l’entrée en vigueur du RGPD, et pourtant de nombreuses entreprises ne sont toujours pas en conformité.

De nombreuses questions se posent quant à la mise en place de process de traitement des données personnelles, notamment dans les TPE-PME.

Panayotis Liolios, expert-comptable chez Exco Omniconseils, apporte son éclairage sur les méthodes de travail à adopter.

Affiches Parisiennes : Par quoi doivent commencer les PME pour être en conformité avec le RGPD ?

Panayotis Liolios : La première chose à faire est de former et sensibiliser les principaux acteurs de l’entreprise. Ensuite, il faut établir une cartographie de leurs traitements de données.

L’important est qu’ils comprennent que ce n’est pas uniquement une démarche juridique. C’est à la croisée du monde juridique, informatique et organisationnel.

C’est un projet d’organisation à mener dans toute la structure, pas uniquement sur la digitalisation. C’est un sujet de gouvernance.

A.-P. : Quel est le principal souci rencontré par les dirigeants de PME sur la mise en place du RGPD ?

L. : Le manque de temps, sans aucun doute. La première préoccupation des dirigeants de petites et moyennes entreprises est de développer leur business, pas d’être en conformité avec le RGPD.

A.-P. : Selon une étude récente de l’Ifop, la moitié des PME n’ont pas encore renforcé leurs mesures de sécurité numérique alors que 21% d’entre elles ont été victimes d’une cyber-attaques l’an dernier. Comment sensibilisez-vous vos clients à ce risque exponentiel ?

L. : Ce qu’on fait chez Exco, c’est qu’on a commencé à les sensibiliser et à diffuser un fil d’information sur la mise en conformité. Nous présentons à nos clients le RGPD lors de petits-déjeuners et de conférences. Nous leur proposons ensuite de les accompagner de plus près avec un service adapté à leurs besoins (lire encadré ci-dessous).

A.-P. : Doivent-ils impérativement nommer un Data protection officer (DPO) ?

L. : Non, la plupart des TPE, sauf cas particulier des start-up avec des gros fichiers clients comportant des données sensibles, n’ont pas l’obligation d’avoir un DPO. Elles ont simplement besoin de nommer un responsable de la sécurité des données personnelles, ce qui n’est malheureusement jamais fait dans les très petites structures.

Pourtant c’est très bénéfique car il n’y a rien de plus importants que la maîtrise des données dans une entreprise. Par exemple, une TPE qui a très peu de clients personnes physiques doit tout de même gérer les données personnelles de ses salariés, de ses dirigeants et de ses fournisseurs.

A.-P. : Pour les PME, est-il préférable que le DPO soit en interne ou en externe ?

L. : Le choix de nommer quelqu’un en interne ou bien d’externaliser la fonction dépend de chaque entreprise.

Chez Exco, on trouve que le DPO externalisé n’est pas la panacée car la gestion des données est un sujet stratégique pour l’entreprise. Il est donc judicieux qu’elle puisse la maîtriser.

L’entreprise peut toutefois faire le choix de l’externalisation dans un premier temps, pendant sa mise en conformité, avant de nommer son propre DPO.

A.-P. : L’étude montre que 76 % des dirigeants consultés reconnaissent que la sécurité informatique est un vrai enjeu mais 52 % d’entre eux avouent ne pas être en conformité. Que pensez-vous de ce paradoxe ?

L. : Je pense que dans ce chiffre-là il y a des dirigeants qui répondent sans vraiment connaître les contours de l’application du RGPD dans leur entreprise, parce qu’on a des conseils qui interviennent et se rendent compte qu’une partie du travail est faite. Toutefois, il y a des prestataires qui les effrayent et leur vendent qu’ils ne sont pas prêts.

“Le RGPD c’est beaucoup de bon sens.”

L’accès à la mise en conformité est finalement assez simple dans les petites structures. Par exemple, mettre à jour un site internet est rapide, pour les contrats de travail des salariés il suffit de faire des avenants et en général les réseaux informatiques des petites entreprises sont très simples. Il y a donc peut-être un manque de prise de conscience du chemin à parcourir.

En revanche, il est vrai que nos entreprises sont souvent désorganisées et qu’un des éléments de la mise en conformité est de pouvoir amener la preuve que l’on respecte le RGPD. Au niveau de ce formalisme, c’est certain que très peu de petites entreprises sont prêtes.

A.-P. : Quels sont les obstacles techniques majeurs à déjouer ?

L. : Il s’agit de problèmes de procédure et de process pour pouvoir rendre compte que l’on respecte bien le droit des données personnelles.

A.-P. : Comment maîtriser les aspects à la fois juridiques et informatiques du RGPD lorsqu’on a de faibles ressources?

L. : L’important est de s’informer. Nous abordons avec nos clients les aspects généraux juridiques du RGPD en essayant de faire simple. Lorsqu’ils ont des conditions générales de ventes particulières on leur conseille évidemment de s’adresser à un avocat. Aussi, lorsqu’elles ont un réseau informatique particulier et des cyber-risques élevés, on leur conseille de s’adresser à des spécialistes.

C’est une très belle occasion pour les petites entreprises de se poser les bonnes questions et de se réorganiser.

A.-P. : Comment répartir les tâches et organiser la gestion des données ?

L. : Chez Exco, on forme les principaux collaborateurs de l’entreprise en leur expliquant le règlement, en leur démystifiant ce qu’est un registre des traitements et en faisant avec eux un pré-audit flash de leur gestion de données. Avec cette formation courte, ils arrivent à faire des choses très concrètes.

A.-P. : Comment contrôler son traitement de données ?

L. : Il est important de réaliser régulièrement un audit de son registre des traitements, en faisant appel à un expert externe notamment.

A.-P. : Préconisez-vous aux PME de souscrire une assurance spécifique pour les cyber risques ?

L. : Ça nous arrive parfois. Notre réseau ne propose pas encore d’offre de cyber assurance mais nous sommes en train d’y réfléchir.

L’offre d’accompagnement RGPD d’Exco

Ayant constaté qu’une partie de ses clients, dirigeants de TPE-PME, n’étaient pas encore en conformité avec le RGPD, le réseau d’expertise-comptable, d’audit et de conseil Exco Omniconseils a mis au point un processus d’accompagnement sur-mesure.

« Nous essayons de combler le trou dans la raquette sur le marché du conseil aux petites entreprises », témoigne Panayotis Liolios qui gère cette nouvelle offre.

Lancé en décembre dernier, ce service à « coût réduit » consiste à mener des réunions d’information in situ, et à proposer un accompagnement à la méthodologie Cnil pour le traitement des données, établir une cartographie de ces dernières, faire le choix de la nomination du DPO, ou encore réaliser un audit blanc et un PIA (Privacy Impact Assessment) permettant de se mettre dans les conditions d’un éventuel contrôle pour les entreprises qui conservent des données sensibles.

En contact direct et privilégié avec les chefs d’entreprise, le réseau Exco s’est rendu compte que ses experts étaient bien placés pour sensibiliser leurs clients à l’importance de la mise en conformité avec ce « joli règlement très structurant » et étaient en mesure de piloter des process adaptés à chaque structure.

« Le RGPD est souvent réduit à une problématique juridique et informatique. C’est là que nous, en tant que conseil, on a un rôle à jouer pour expliquer qu’il s’agit d’un règlement transversal qui touche toute l’entreprise », confie l’expert.

Si les TPE peuvent se contenter d’une simple formation d’une ou deux journées, les PME peuvent souscrire à un accompagnement plus complet, notamment avec un suivi sur le long terme de maintien de la mise en conformité ou encore d’un DPO externalisé.

Interview d’Anne MOREAUX, Journaliste Affiches Parisiennes