Atelier RGPD : par où les TPE doivent-elles commencer ? (2/2)

RGPD, DPO, DCP, « accountability »… Au cœur du tintamarre qui bruite sur la toile, difficile d’y voir clair. Mais avant de céder aux chants des prestataires, voici comment seul, il est possible de mettre les voiles. Lors d’un atelier consacré au règlement général sur la protection des données (RGPD) spécial TPE/PME organisé par les « digiteurs » de la CCI Paris-IdF le 4 juin dernier, Jessy Pollux, consultante en protection des données, a présenté à son auditoire un vade-mecum précieux. Au programme : 1 lexique, 5 principes, 3 actions.

• Atelier RGPD : par où les TPE doivent-elles commencer ? (1/2)

Atelier RGPD : les 3 actions à mettre en place

Pour sûr, chronophage et fastidieux, le travail d’inventaire, de classification et d’attention permanent qu’exige la mise en application du RGPD est loin d’être un cadeau pour les dirigeants de TPE/PME. Toutefois, quand faut y aller, faut y aller. Jessy Pollux, également DPO externalisée, recommande de commencer par l’informatique, de mettre en place les « mentions CNIL » (clauses et chartes incontournables)  et de se lancer dans le registre de traitements.

S’attaquer prioritairement à son parc informatique est primordial : l’antivirus et le pare-feu sont-ils à jour ? Quid des mots de passe ? Ai-je un serveur FTP sécurisé (pour les échanges de fichiers) ? Jessy Pollux appelle surtout à la vigilance pour les équipements personnels utilisés dans un contexte professionnel. Un kit développeur est proposé par la CNIL. Outre l’informatique, quid des documents papiers : comment sont-ils rangés ? Qui peut y avoir accès ? Acheter une armoire à clef est aussi une mise en conformité ! Il est également essentiel de sensibiliser ses collaborateurs. Chacun manie toute la journée des DCP (salariés, intérimaires, stagiaires, alternants, etc.).

À ce sujet, Jessy Pollux conseille d’insérer dans le contrat de travail une clause qui aborde les instructions données par le responsable de traitement aux employés sur le terrain (pour la protection des DCP). Une charte réseaux sociaux est d’ailleurs la bienvenue. Plusieurs mentions d’information doivent en outre être mises en place. La CNIL propose plusieurs exemples (à adapter ou compléter) dont le fameux « bandeau cookie » (qui informe l’internaute dès son entrée sur le site de l’entreprise).

Enfin, vient le temps de s’occuper du registre, a fortiori de définir les traitements, et de partir à la chasse à l’information. Une analyse d’impact relative à la protection des données (AIPD) peut s’avérer nécessaire (cf. infographie de la CNIL). Pour cela, un outil gratuit est fourni par l’autorité de contrôle : l’outil PIA. Le but est de cartographier l’ensemble des traitements et DCP de l’entreprise. Enfin, une to do list RGPD récapitulative des tâches à effectuer (cases à cocher) est à la disposition des TPE sur le site de la CNIL.

Bon à savoir : concernant la sous-traitance, la responsabilité est toujours (en pratique) celle du gérant. Autrement dit, ce dernier est tenu de donner des instructions au sous-traitant, de vérifier ses garanties, de lui demander de faire remonter ses traitements, et ce même s’il s’agit d’une grande entreprise. À la question d’un participant de savoir s’il était possible de « toquer à la porte de Peugeot », la réponse est oui. Aussi saugrenu que cela puisse paraitre, les TPE/PME ne doivent pas avoir de scrupule à solliciter les « gros » sous-traitants pour un audit (avec un contrat, c’est mieux).

Atelier RGPD : que faire en cas de contrôle de la CNIL ?

« La CNIL demande prioritairement si vous avez enclenché quelque chose… jusqu’à lundi dernier », prévient Jessy Pollux. Un an après l’entrée en application du RGPD, a fortiori trois ans après le début de « sa mise en conformité », La CNIL semble serrer la vis. Toutefois, une phase de discussion est encore possible en cas de contrôle. Si ce n’est plus l’intention qui compte, mieux vaut avoir des arguments solides pour arrondir les angles.

Tout d’abord, la sanction de la CNIL est proportionnée à la taille de l’entreprise et au degré de coopération de l’entreprise contrôlée. Un « pardon, j’efface tout » ou une demande de délai sont donc toujours à tenter, même si la sanction demeure possible dans tous les cas. Aussi, la sanction peut être publiée et ainsi écorner l’image de l’entreprise. Jessy Pollux indique que cette publication peut être un élément de négociation lors de la phase de discussion.

Sur place ou en ligne, l’autorité de contrôle ne vient jamais par hasard et la raison de sa venue sera tue. Ce peut être un contrôle sur dénonciation (concurrents, collaborateurs, etc.). « Ces derniers temps, la CNIL appelle avant de venir », confie la DPO, mais aucune obligation en ce sens pèse sur l’autorité. Selon la spécialiste, la CNIL intervient généralement entre 6h et 21h. À noter enfin, il est obligatoire d’alerter l’instance en cas de perte de DCP dans les 72h suivant ladite perte (sauf s’il l’on justifie que la perte n’aura aucune conséquences pour les personnes concernées). Le hic ? La notification des violations de données n’empêche pas la sanction. À ses risques et périls…

• Atelier RGPD : par où les TPE doivent-elles commencer ? (1/2)

Matthieu Barry