PME, TPE, startups : comment apprivoiser le RGPD?
By Sylvain Rolland | La Tribune
La Commission nationale informatique et libertés (Cnil) et Bpifrance publient mardi 17 avril un guide pratique pour aider les PME et les TPE à apprivoiser le complexe Règlement européen sur la protection des données (RGPD), qui entrera en vigueur le 25 mai. De quoi aider les PME, TPE et startups globalement toujours à la ramasse ?
Les entreprises en avaient bien besoin. D’après les différentes estimations des cabinets de conseils, l’immense majorité des sociétés françaises (entre 50% et 70%) n’ont même pas commencé à s’en préoccuper, et moins de 20% seront prêtes le 25 mai prochain, lors de l’entrée en vigueur du Règlement européen sur la protection des données personnelles (RGPD). Le texte, voté en 2016 par Bruxelles, impose à toutes les entreprises qui traitent des données personnelles (startups, TPE, PME, ETI, grands groupes) une série d’obligations concernant le traitement et l’exploitation des données personnelles de leurs clients et salariés. Avec la révolution numérique, quasiment tout le monde est donc concerné, d’une TPE dans le bâtiment avec ses fichiers clients à la multinationale.
Mais si les grands groupes disposent des moyens financiers et humains conséquents pour la mise en conformité, ce n’est pas forcément le cas pour les PME et les TPE, qui pèsent pourtant la quasi-totalité des 4 millions d’entreprises actives en France. Pour les aider, la Commission nationale informatique et liberté (Cnil) et Bpifrance ont présenté mardi en présence du secrétaire d’Etat au Numérique Mounir Mahjoubi, un guide pratique expliquant aux PME comment appliquer au mieux les dispositions du règlement.
Vaincre la peur du RGPD
Ce guide, qui se veut clair et pédagogique, doit aider les plus petites entreprises à comprendre ce qu’est le RGPD, en quoi il leur est utile, et comment intégrer à leur fonctionnement les dispositions du texte. Il les aide par exemple à construire leur registre de données, à les sécuriser, explique l’importante de notions comme le triage des données et le consentement explicite des clients ou fournisseurs concernés.
“Les obligations du RGPD sont proportionnelles à la taille des entreprises. Mais les plus petites d’entre elles n’ont pas les moyens de se payer un cabinet de conseil, un juriste ou un avocat. D’où l’importance d’un guide car le RGPD est surtout un espoir de valeur, une opportunité pour les PME/TPE de prendre le virage du numérique via la valorisation de la donnée“, a estimé Mounir Mahjoubi.
De son côté, Isabelle Falque-Pierrotin a insisté sur la nécessité de changer de discours vis-à-vis de la régulation, et minimisé les contraintes imposées par le RGPD pour les PME/TPE:
On a voulu endiguer cette vague alarmiste qui dit que le RGPD se fait au détriment des entreprises et en particulier des plus petites. C’est une approche délétère et fausse car le RGPD est facile pour les TPE/PME, il n’y a pas forcément de contraintes nouvelles, ce sont davantage des principes de bon sens“, estime Isabelle Falque-Pierrotin, la présidente de la Cnil.
Il est exact que le RGPD représente surtout un effort de “toilettage” pour les entreprises qui respectent déjà les précédentes réglementations comme la loi Informatique et Libertés de 1978 et la directive européenne de 1995 révisée en 2004.
Problème : en réalité, beaucoup s’arrachent les cheveux devant la complexité du chantier. Il faut dire qu’avant le RGPD, la réglementation n’était pas assez contraignante pour pousser la plupart des entreprises à la respecter à la lettre. Désormais, en plus des principes et droits nouveaux, les régulateurs pourront infliger des amendes s’élevant jusqu’à 4% du chiffre d’affaires mondial d’une entreprise.
De quoi créer une panique à bord chez de nombreuses entreprises, même si Isabelle Falque-Pierrotin admet que les moyens dédiés à l’action de contrôle et de sanction restent largement insuffisants pour garantir la stricte application du règlement par toutes les entreprises concernées. Pour Nicolas Dufourcq, le directeur de Bpifrance, le déclic se fait toujours attendre dans de nombreuses entreprises :
“Il faut prendre conscience que les clients sont prêts à donner beaucoup de données pour être dans une bulle numérique, mais ils demandent en échange un niveau de protection élevé, qu’ils n’avaient pas jusqu’alors“, explique-t-il.
Douleur puis enthousiasme chez ceux qui ont franchi le pas
Si peu d’entreprises sont aujourd’hui en situation de conformité en France, celles qui ont commencé à travailler sur la question depuis plusieurs mois en voient déjà les bénéfices. C’est le cas de Huckink, TPE de 7 employés filiale de la PME Welljob, spécialisée dans l’installation de bornes de recherche d’emploi dans les lieux de passage. Nathalie Daoud, la directrice du développement de Huclink, estime que la mise en conformité a permis à son entreprise, qui fonctionne avec de nombreuses agences partenaires, d’améliorer considérablement ses process:
“On ne va pas se mentir, au début on se dit : “encore une contrainte”, et il est très difficile de mobiliser des gens en interne pour se saisir du sujet. Puis on a participé à des séminaires sur le RGPD, on a échangé avec d’autres boîtes sur les best practices, on a monté notre propre plan d’action supervisé par un DPO, et cela nous a aidé à comprendre quelles données on utilisait, pourquoi, et à repenser totalement nos process internes”, se réjouit-elle.
Malgré les difficultés, l’éditeur de logiciels américains Pros (1.300 salariés dont une centaine en France), qui commercialise des solutions de “pricing” [fixation de prix] et de devis pour les entreprises dans le monde entier, a fini aussi par trouver comment tirer parti du RGPD:
La mise en conformité est très fastidieuse, car il faut embarquer tous les services en interne malgré la logique des silos. C’est aussi très complexe au niveau légal, car il faut revoir tous les contrats avec les fournisseurs et clients, donc cela demande beaucoup d’interactions qui mettent tout le monde sur les dents. Mais, dans le fond, l’obligation du consentement explicite nous force à faire le tri dans nos bases de données dormantes. Au final, on va perdre en volume mais gagner en qualité. Nos bases seront mieux qualifiées et nous pourrons mieux les valoriser. C’est positif », témoigne Virginie Dupin, vice-présidente du marketing en Europe et au Moyen-Orient.
Idem pour Nicolas Berbigier, le Pdg et cofondateur de la startup Famoco (120 salariés), qui commercialise des solutions NFC.
“Le RGPD nous a forcés à nous remettre à niveau sur la sécurité des données. Comme nous traitons de données sensibles, il a aussi donné un nouvel argument de vente aux commerciaux, qui savent désormais mieux expliquer aux clients comment on traite les données et connaissent donc mieux le produit”, explique-t-il.
Pour la Cnil, l’important est surtout que les entreprises commencent leur mise en conformité. “Le régulateur n’est pas là pour sanctionner mais pour aider toutes les entreprises à s’élever au standard européen qui deviendra bientôt mondial sur les données personnelles”, ajoute Isabelle Falque-Pierrotin. Qui promet que la Cnil “ne va pas fondre sur les entreprises pour les sanctionner”, mais tiendra compte d’une “courbe d’apprentissage”… du moment qu’un effort est réalisé.