La Réglementation Européenne sur les Données Personnelles pour les PME : contrainte ou opportunité ?

thie68News

La Règlementation Européenne sur les Données Personnelles pour les PME : contrainte ou opportunité ?

On entend parler de plus en plus de la RGPD dans les PME, mais souvent de façon parcellaire ou superficielle, avec des chef d’entreprise qui s’auto-persuadent que « vu ma taille je ne suis pas concerné », ou bien « j’ai des clients B2B, je ne suis pas concerné » ou aussi « ça ne concerne que les informaticiens »… Etc.

Au-delà de ces clichés, nous allons essayer de voir dans cet article (forcément trop bref) que la RGPD est un game changer, d’une part dans notre intérêt en tant que citoyens face à des géants américains peu soucieux de nos intérêts personnels, et d’autre part parce que ce que nous considérons aujourd’hui comme des contraintes sont susceptibles de devenir des normes au niveau international.

Pourquoi sommes-nous tous concernés en tant que citoyens européens ?

La RGPD entrera en vigueur le 24 mai 2018 dans tous les pays de l’Union Européenne, chaque pays ayant des possibilités d’en personnaliser certains points (cf. âge de consentement des mineurs), mais dans tous les cas ne pourra faire moins bien que ce Règlement.

L’objectif est clairement que les européens puissent se réapproprier les données personnelles qu’ils ont confié à des tiers, et en particulier :

  • Éviter que ces données soient collectées et traitées à leur insu,
  • Éviter que ces données tombent « accidentellement » dans des mains mal intentionnées.

En se contentant d’une l’actualité récente, quelques exemples :

Or à partir du 25 mai 2018 où la RGPD sera applicable, ce genre de comportement sera lourdement sanctionné, jusqu’à 4% du CA ou 20 millions d’euros, le montant le plus important étant retenu (cf. Article 83).

Au-delà de la contrainte règlementaire, des opportunités de développement « durables » pour les entreprises

Réduire la RGPD à de simples contraintes est aussi réducteur : pour faire un parallèle, les normes anti-pollution sont certes une contrainte, mais elles aussi sont là pour répondre à un objectif commun de santé publique. Et elles donnent aussi de nouvelles opportunités aux entreprises qui jouent de cette contrainte pour imaginer de nouveaux produits ou services.

On peut donc aussi soutenir que la mise en application de la RGPD au sein des entreprises européennes sera en soi à terme un avantage concurrentiel durable, au-delà de la protection des données personnelles des citoyens européens : sa mise en œuvre implique par contrecoup de meilleurs process de sécurisation des données des entreprises dans leur ensemble, et au final protégera mieux nos savoir-faire de l’espionnage industriel de tiers.

Mais l’extra-territorialité de la RGPD alliée au poids économique de l’Europe donnent aussi à la RGPD le potentiel d’en faire une « norme » internationale dans les décennies à venir, quelques articles pour s’en convaincre :

La supériorité américaine des GAFAM qui seraient susceptibles de faire comme bon leur semble n’est donc pas inéluctable.

EDIT 04/04/2018 Un article du LINC (prospective de la CNIL) qui va dans ce sens, Le Règlement européen à la protection des données est-il un produit d’exportation ?

Ce mouvement de fond m’a convaincu en 2017 d’orienter mes activités de conseil auprès des entreprises innovantes en direction des problématiques RGPD :

  • Sensibilisation générale à la RGPD,
  • Formation RGPD des équipes et des responsables de services,
  • Accompagnement dans la mise en place de la RGPD (KPI, plan d’action, cartographie…)
  • Délégué à la Protection des Données (DPO) externalisé, avec une certification « DPO Bureau Veritas » depuis février 2018,
  • Missions ponctuelles d’accompagnement en avant-vente pour cadrer les enjeux RGPD en amont des projets.