Actualités

Le RGPD, 1 an après : où en êtes-vous ?

Le Règlement Général sur la Protection des Données (RGPD) est entré en application il y a bientôt un an (le 25 mai 2018). Ce règlement impose aux entreprises de toutes tailles de prendre un certain nombre de mesures.

Quels sont les enjeux et les risques ? Le point avec Marc Cornet, référent RGPD au sein de la CCI des Vosges.

Marc Cornet, vous êtes référent RGPD pour la Chambre de Commerce et d’Industrie des Vosges. L’acronyme "RGPD" hérisse souvent les poils d’un bon nombre chef d’entreprise et pour cause... 

Pouvez-vous nous dire qui est concerné ?

Toutes les entreprises de tous les secteurs d’activité sont concernées par cette problématique, que ce soit les commerçants, les sous-traitants, les artisans... Mais pas seulement ! Sont également concernés les professions libérales, les associations, les collectivités ou les organismes publics. 
Bref, toute structure qui détient des données personnelles concernant des Européens, doit se conformer au RGPD.
On ne peut pas donc pas se cacher derrière son petit doigt en pensant "c’est pas moi, c’est mon prestataire informatique qui gère !".

Expliquez-nous plus précisément quels sont les types de traitements de données concernés ?

Là encore, le panel de possibilté est très large et touche forcément tout le monde, d’une façon ou d’une autre. Que les supports soient papiers ou informatiques, qu’ils soient automatisés ou non.

Cela concerne par exemple la collecte de coordonnées de prospects (via questionnaire ou autre), la gestion des clients, des usagers ou des fournisseurs, les informations liées à la gestion des ressources humaines (la paie ou le recrutement entre autres), les annuaires internes, les contrôles d’accès (badgeuses), les fichiers des clients mauvais payeurs, les données liées aux cartes de fidélité et bien sûr, les données présentes et collectées via les sites Internet des structures, que ce soit sur le front ou le back office. 

Pourquoi se mettre en conformité ?

Tout le monde est conscient que c’est une problématique complexe à aborder pour une entreprise. Et on peut facilement être tenté dans ce type de situation, de la repousser à plus tard, un peu dans l’esprit "les problèmes liés au RGPD n’arrivent qu’aux autres". 

Mais outre le fait de se mettre en conformité avec la loi et d’éviter les sanctions en cas de contrôle, le principal risque pour une entreprise ou pour toute autre structure concernée, est de subir une cyber-attaque. Celles-ci sont de plus en plus fréquentes. Et si par malheur, cette cyber-attaque se solde par une fuite de données personnelles, l’entreprise ou la structure concernée sera dans l’obligation de le déclarer à la CNIL sous 72h. Avec à la clé, de lourdes sanctions possibles, puisque l’entreprise ou la structure n’était pas en conformité. 

Une sorte de "double peine", en somme ?

C’est exactement ça ! Non seulement vous subissez une cyber-attaque, avec toutes les conséquences que cela inclut - notamment par exemple l’impossibilité de travailler pendant plusieurs jours - mais en plus vous devrez rendre des comptes à la CNIL sur les données perdues et votre non-conformité. Avec de possibles lourdes sanctions, donc. 

Mais le risque de piratage informatique n’est pas le seul encouru. En cas de non-conformité, vous pouvez également voir certains de vos clients ne pas vouloir signer vos Conditions Générales de Ventes (CGV), et donc ne pas faire affaire avec vous. C’est un cas concret que nous avons rencontré récemment.

L’image de votre structure peut également en patir. Autre cas de figure possible : que cela rentre en ligne de compte dans la négociation du rachat de votre structure. Il n’y a donc que de bonnes raisons à se mettre en conformité !

A qui s’adresser pour se mettre en conformité ?

La première étape consiste à faire un point sur la situation actuelle de la structure, afin de savoir avec précision quels sont les points d’amélioration à travailler et avec quel degré de priorité. 
Mais attention aux arnaques ! Comme souvent quand de nouvelles réglementations sont obligatoires, de nombreux démarcheurs sans scrupules tentent de profiter du peu de connaissances de beaucoup de structures sur le sujet, pour leur vendre tout et surtout, n’importe quoi !
Le plus simple reste selon moi de s’adresser à la CCI des Vosges. Nous travaillons avec des entreprises expertes, dont nous avons pu mesurer le sérieux et la rigueur.

Et pour en savoir plus ?

La CCI des Vosges organise, à l’occasion du 1er anniversaire de la mise en application du RGPD, toute une série de rencontres et de réunions d’information sur le sujet, où tous les profils et toutes les interrogations seront les bienvenus.
Nous avons d’ailleurs pris le parti d’organiser ces réunions un peu partout dans les Vosges, de venir à la rencontre des entreprises et leur faciliter l’accès à ces réunions. 

Quand et où auront lieu ces différents rendez-vous ?

Le programme définitif est en train d’être finalisé, mais ce que je peux déjà vous dire avec certitude, c’est que 4 réunions seront organisées entre le 21 et le 28 mai prochains, dans des formats 17h30 - 19h30, à Epinal, Saint-Dié-des-Vosges, Remiremont et Vittel. Les informations plus précises seront disponibles très prochainement sur le site Internet de la CCI des Vosges. 

Par ailleurs, un petit déjeuner intitulé "RGPD, un an après" est organisé le mardi 27 mai au Quai Alpha, à Epinal. 

Nous suggérons également aux personnes directement intéressées par cette question au sein des entreprises (DPO, juristes, etc.), une table ronde sur la sécurité et le RGPD, le 24 avril prochain de 9h30 à 12h, dans les locaux de l’INIST-CNRS à Vandoeuvre-lès-Nancy (contact inscriptions : nathalie.brunet@afcdp.net)

Et bien sûr, je suis à disposition pour toute question sur le sujet. 


> Recommandez cette page :

Viadeo
Vos prochains rendez-vous Voir tous les événements
Dans l'actualité Lire toutes les actualités