Les TPE face au règlement européen sur la protection des données

« Le thème de la cybersécurité n’est plus virtuel ». Samara Maraaf, juriste spécialiste en protection des données, présente les objectifs du RGPD (Règlement général sur la protection des données) qui sera effectif le 25 mai 2018. « Cette réforme a la volonté de moderniser un cadre et de redonner confiance aux consommateurs face aux géants du web.» Le Parlement européen, qui a pris ce règlement le 14 avril 2016, souhaite ainsi uniformiser la législation. L’application du RGPD entraîne de grandes modifications dans l’organisation des administrations, des associations et des entreprises, dont les TPE, qui doivent « opérer un changement organisationnel et technique très important ».

Plus de pouvoir accordé au client

Une totale transparence de la méthode de collecte et du traitement des données clients est demandée aux entreprises. De ce fait, de nouveaux droits sont attribués aux internautes. Le droit à la portabilité des données donnera l’autorisation à une personne de récupérer les informations qu’elle a fournies à une société « sous une forme aisément réutilisable ». Un droit à la réparation des dommages matériel ou moral est aussi introduit. Il permet à toute personne victime d’une violation du RGPD d’exiger un dédommagement à l’entreprise coupable.

L’obligation de notification étendue à tous

L’obligation de notification ne concerne pour le moment que les opérateurs téléphoniques et internet. « Si Orange observe une faille dans sa cybersécurité, l’opérateur doit prévenir la CNIL dans les 72 heures sous peine de sanction, explique Samara Maraaf. Et si les données d’un des clients sont volées, alors un message personnalisé doit lui être envoyé. » Dès le 25 mai 2018, les sociétés de toutes tailles devront, elles aussi, prévenir la CNIL dès qu’elles détectent une tentative d’intrusion dans leur système électronique et alerter personnellement les clients dont les données ont été dérobées.

Une sanction plus importante

Si l’entreprise ne respecte pas les droits de personnes en matière de données, la sanction pourra représenter désormais jusqu’à 4% de son chiffre d’affaires. Une amende renforcée introduite surtout pour les grandes entreprises afin que la conséquence soit plus dissuasive. Mais pas de panique pour les TPE, Frédéric Libaud, expert en numérique qui accompagne les entrepreneurs sur leurs problématiques digitales, estime que « les entreprises ne devraient pas être sanctionnées dès le début de la mise en place de la règlementation. »

L’application de la réforme ne sera pas simple : « plus de 70% des dirigeants n’ont pas conscience de la problématique. » Pourtant selon lui,  « il sera plus facile  pour les TPE d’effectuer les modifications demandées par la RGPD à partir du moment où l’on met en place des initiatives simples. » Cependant, il le reconnait, « la législation n’est pas forcément très terre à terre… »

Pour aller plus loin : Données personnelles et vie privée

Melissa Carles