RGPD : quelles mesures à mettre en place dans les PME valaisannes ?
RGPD : ces quatre lettres sont sur toutes les lèvres ces jours. Le Règlement Général sur la Protection des Données sera appliqué dès le 25 mai prochain dans l’Union européenne. Il concerne également les PME suisses qui traitent les données de clients de l’UE. Pour mieux comprendre les implications concrètes, la Fondation The Ark a organisé récemment deux ateliers d’une demi-journée avec des PME valaisannes issues de nombreux domaines d’activités. L’avocat Stephan Kronbichler, spécialisé dans le droit de l’informatique et la protection des données a donné à cette occasion des éléments concrets à appliquer dès que possible.
« Le RGPD n’est pas un tsunami juridique qui sort de nulle part. Les lois sur la protection des données, en Suisse et en Europe, existaient déjà avant le nouveau règlement », selon Stephan Kronbichler. Les directives actuelles donnent des cadres dans lesquelles les pays doivent légiférer. Avec le RGPD, on passe à un règlement qui s’applique directement dans les pays et qui est beaucoup plus détaillé.
« Dans le règlement, il y a 70 dispositions qui permettent encore aux pays de légiférer, de manière plus ou moins stricte. Mais seuls quatre pays l’on déjà fait ». Au final, on ne sait pas encore très bien si le RGPD va augmenter ou diminuer la protection des données.
Les principes ne changent pas
Stephan Kronbichler se veut rassurant : « les grands principes en matière de protection des données ne changent pas. Ce qui change, ce sont les exigences formelles, notamment au niveau des informations à donner. L’obligation d’informer est plus détaillée et le droit des personnes aussi ».
Le RGPD prévoit des sanctions jusqu’à 20 millions d’euros. D’après M. Kronbichler, ces sanctions maximales ne concernent pas les PME valaisannes, mais plutôt des entreprises de la taille de Google ou Facebook.
Cinq mesures concrètes à appliquer rapidement pour les PME
Stephan Kronbichler encourage les PME à mettre en place rapidement quelques mesures concrètes, qui permettront d’être en conformité avec le RGPD et, prochainement, avec la Loi sur la protection des données suisse qui sera également révisée :
- Faire l’inventaire de tous les traitements de données dans l’entreprise
Où et comment traitez-vous les données personnelles ? « Il faut analyser les processus de l’entreprise, mais également les systèmes (informatique, ERP, CRM…). En combinant les deux approches, vous pourrez découvrir des données oubliées ».
- Documenter (par exemple via une feuille Excel toute simple)
Quelles données collectez-vous ? Sur quelles bases, depuis quelles sources, dans quel but et pendant combien de temps ? Sont-elles transférées, notamment à l’étranger ? « Faire cet inventaire crée une plus-value pour votre entreprise : cela va peut-être vous donner des idées sur comment mieux valoriser ces données ». Il s’agit également de documenter les mesures de protection (techniques et organisationnelles) prises pour la sécurité de vos données.
- Structurer et prioriser
Avez-vous des fichiers à double, des données obsolètes ? Eliminez-les ! « Le RPGD suit une approche fondée sur le risque et demande ainsi des mesures appropriées en fonction du risque. Il faut donc faire en fonction de vos budgets et priorités. Mettez plutôt l’accent sur les données les plus sensibles ou celles qui présentent des risques de réputation. Faire le ménage auparavant évite des coûts inutiles ».
- Mettre à jour les documents contractuels
Vos conditions de traitement des données sont-elles à jour (si elles existent) ? Il s’agit notamment de préparer/réviser : la déclaration de consentement (à compléter avec les informations obligatoires qui figurent dans le RGPD et à publier sur votre site internet), la mention des cookies sur votre site internet, des chartes avec vos prestataires de service (notamment lors de transferts de données à des tiers ou au sein d’un même groupe).
- Compléter les processus de l’entreprise
Respectez-vous les droits des personnes concernées (notamment l’accessibilité et l’effacement des données) ? « Mettez en place les processus nécessaires et prévoyez également une procédure en cas de violation de la protection des données ». Vous devez déterminer à l’avance qui informer et quelles sont les mesures correctives à prendre.
La donnée : une richesse
La mise en conformité RGPD n’est pas un projet IT. « Il doit être piloté au niveau de la direction, via un chef de projet dédié. Tous les départements de votre PME doivent collaborer », rappelle Stephan Kronbichler.
Ce dernier souligne encore que les données sont une richesse pour les PME. « Le RGPD est une chance : les PME peuvent ainsi prendre conscience du pouvoir de la donnée, et de ce que l’on peut en faire (ou ne pas faire) ».
Propos recueillis le 16.05.2018