Table de matières
Bien trop souvent, les géants du web accaparent les devants de la scène en matière de protection des données. L’affaire Cambridge analytica a par exemple mis Facebook au cœur de l’actualité. Toutefois, il ne faut pas oublier que les PME ont également l’obligation de sécuriser le patrimoine numérique des tiers. En France, les petites structures doivent se conformer à la Loi Informatique et Libertés et au RGPD.
Les textes de référence en matière de protection des données
En France, les entrepreneurs retiennent principalement la Loi informatique et liberté. Ce texte a été maintes fois modifié pour s’adapter au contexte technologique. Il protège notamment les droits individuels des citoyens français sur leurs données personnelles détenues par une entité tierce. L’adoption de cette législation a également abouti à la création de la Commission Nationale de l’Informatique et des Libertés (CNIL). Celle-ci veille au respect des réglementations en vigueur et peut sanctionner les structures récalcitrantes.
Dans un souci de cohérence, les législateurs ont apporté quelques modifications aux lois françaises pour s’aligner à la politique numérique européenne. Ainsi, les établissements concernés doivent désormais se référer au Règlement Général sur la Protection des données. Celui-ci adopte une approche légèrement plus coercitive en prévoyant des sanctions plus lourdes. En outre, il introduit également de nouveaux concepts comme le « droit à l’oubli », destiné à préserver l’intégrité des mineurs sur les réseaux sociaux. Ce texte oblige les PME à respecter certaines normes de traitement. Cette mesure vise avant tout à écarter les risques de détournement et de fuite de données.
Les PME sont-elles obligées de se conformer au RGPD ?
Le RGPD concerne toutes les entreprises qui disposent d’un système informatique, quelle que soit leur taille. À ce titre, il s’applique à la plupart des PME. D’ailleurs, cette nouvelle législation rompt avec les contrôles initiés par la Loi Informatique et Libertés. La réglementation actuelle incite les sociétés à entamer un projet de mise en conformité pour ensuite en informer la CNIL. Le principe d’accountability oblige les responsables à préparer une documentation spécifique pour se prémunir contre d’éventuelles inspections.
En pratique, se conformer au RGPD PME nécessite l’intervention d’une personne qualifiée. Solliciter un DPO sera vivement conseillé pour détecter les failles de sécurité dans une PME et pour faire le tri des données. Ces opérations permettront par la suite de constituer un registre de traitement de données et de sécuriser les workflows. Les spécialistes en la matière peuvent également fournir une assistance juridique à l’établissement concerné dans le cadre d’une procédure précontentieuse. Habituellement, la CNIL envoie une lettre de mise en demeure dès qu’elle constate des manquements. La société doit réagir au plus vite pour éviter les sanctions. En régularisant sa situation dans les meilleurs délais, l’entreprise ne sera pas contrainte de payer une amende.