RGPD vs TPE et PME : une relation turbulente

Geneviève SAQUET
Geneviève SAQUET
Mis à jour le 2019-12-19
Share LinkedIn

Il y a un an, le RGPD entrait en application, eldorado de la donnée et de la protection de la vie privée. Si la culture de la donnée a pris l’importance qu’elle mérite chez les internautes et les consommateurs (on a pu remarquer une augmentation des plaintes à la CNIL en France durant cette année), du côté des entreprises la transition est plus difficile.

Un mouvement à reculons des petites entreprises vers la mise en conformité RGPD

En novembre 2018, 80% des petites entreprises n’étaient pas conformes au RGPD. Il est très clair que les TPE et PME ont des difficultés à trouver un intérêt à la mise en conformité. Pour ces entreprises, la problématique des données à caractère personnel reste floue, et ce même après les multiples tentatives de sensibilisation entreprises par la CNIL, les DPO et autres acteurs du RGPD. Les TPE et PME suivent par exemple avec beaucoup plus d’intérêt l’avancée de la loi PACTE plutôt que leurs obligations au regard du règlement.

Cela s’explique notamment par le coût de la mise en conformité, que les plus petites entreprises ne sont pas prêtes à assumer. Le RGPD est contraignant, complexe, presque anxiogène. Le texte est long (88 pages pour 99 articles et 173 considérants) et difficile à déchiffrer. Les termes peuvent paraître flous pour les non-initiés, et la CJUE, principale juridiction européenne, tarde à fournir son travail d’interprétation (on le sait, la justice est longue). La transformation des mentalités dans l’entreprise que la protection des données exige est un véritable chemin de croix. Sa mise en oeuvre peut-être un casse-tête pour les entreprises.

Les TPE et PME font donc l’autruche. Or, ce n’est pas avec cette méthode qu’ils éviteront les risques dans l’absence de mise en conformité…

Des risques avérés pour les entreprises non-conformes

Ces lacunes dans la mise en conformité des TPE et PME présentent pourtant des risques énormes : contrôles et sanctions, violations de données, altération de l’image de marque…

On recense de nombreux cas d’entreprises ayant vu leur système informatique attaqué, et donc ont subi une violation de données. Cela est problématique au regard du RGPD, d’autant plus que les données personnelles peuvent valoir des dizaines voire des centaines d’euros : une mine d’or pour les hackeurs !

Au titre des contrôles et sanctions, il est important de savoir que la CNIL n’est pas la seule à pouvoir venir vous contrôler. En effet, toutes les autorités de régulation européennes ont une obligation de coopération entre elles. La “CNIL” allemande ou la “CNIL” italienne peuvent décider d’opérer un contrôle dans une entreprise française, dès lors que cette entreprise a des clients allemands ou italiens qui auraient déposé une plainte auprès de l’autorité de régulation de leur pays. Les sanctions peuvent aussi être sévères. Même si la CNIL vise plutôt les GAFAM (Google, Amazon, Facebook, Apple et Microsoft) et les géants de l’Internet, les TPE et PME peuvent aussi être touchées, et ces sanctions représentent jusqu’à 4% du chiffre d’affaire dans une limite de 20 millions d’euros… une somme qui peut donc rapidement grossir.

Au-delà des sanctions de la CNIL, les TPE et PME risquent aussi une sanction commerciale de la part des donneurs d’ordres privés ou publics dans le cas d’une non-conformité. La preuve de cette mise en conformité est souvent réclamée et valorise une entreprise pour les appels d’offre.

Blockproof permet d’éviter ces risques grâce à son outil conformité en RGPD en ligne. N’attendez pas la CNIL et de rater un appel d’offre pour vous mettre en conformité, on fixe une démo gratuite?