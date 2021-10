Affiches Parisiennes : Par quoi doivent commencer les PME pour être en conformité avec le RGPD ?

Panayotis Liolios : La première chose à faire est de former et sensibiliser les principaux acteurs de l'entreprise. Ensuite, il faut établir une cartographie de leurs traitements de données.

L'important est qu'ils comprennent que ce n'est pas uniquement une démarche juridique. C'est à la croisée du monde juridique, informatique et organisationnel.

C'est un projet d'organisation à mener dans toute la structure, pas uniquement sur la digitalisation. C'est un sujet de gouvernance.

A.-P. : Quel est le principal souci rencontré par les dirigeants de PME sur la mise en place du RGPD ?

P. L. : Le manque de temps, sans aucun doute. La première préoccupation des dirigeants de petites et moyennes entreprises est de développer leur business, pas d'être en conformité avec le RGPD.

A.-P. : Selon une étude récente de l'Ifop, la moitié des PME n'ont pas encore renforcé leurs mesures de sécurité numérique alors que 21% d'entre elles ont été victimes d'une cyber-attaques l'an dernier. Comment sensibilisez-vous vos clients à ce risque exponentiel ?

P. L. : Ce qu'on fait chez Exco, c'est qu'on a commencé à les sensibiliser et à diffuser un fil d'information sur la mise en conformité. Nous présentons à nos clients le RGPD lors de petits-déjeuners et de conférences. Nous leur proposons ensuite de les accompagner de plus près avec un service adapté à leurs besoins (lire encadré ci-dessous).

A.-P. : Doivent-ils impérativement nommer un Data protection officer (DPO) ?

P. L. : Non, la plupart des TPE, sauf cas particulier des start-up avec des gros fichiers clients comportant des données sensibles, n'ont pas l'obligation d'avoir un DPO. Elles ont simplement besoin de nommer un responsable de la sécurité des données personnelles, ce qui n'est malheureusement jamais fait dans les très petites structures.

Pourtant c'est très bénéfique car il n'y a rien de plus importants que la maîtrise des données dans une entreprise. Par exemple, une TPE qui a très peu de clients personnes physiques doit tout de même gérer les données personnelles de ses salariés, de ses dirigeants et de ses fournisseurs.

A.-P. : Pour les PME, est-il préférable que le DPO soit en interne ou en externe ?

P. L. : Le choix de nommer quelqu'un en interne ou bien d'externaliser la fonction dépend de chaque entreprise.

Chez Exco, on trouve que le DPO externalisé n'est pas la panacée car la gestion des données est un sujet stratégique pour l'entreprise. Il est donc judicieux qu'elle puisse la maîtriser.

L'entreprise peut toutefois faire le choix de l'externalisation dans un premier temps, pendant sa mise en conformité, avant de nommer son propre DPO.

A.-P. : L'étude montre que 76 % des dirigeants consultés reconnaissent que la sécurité informatique est un vrai enjeu mais 52 % d'entre eux avouent ne pas être en conformité. Que pensez-vous de ce paradoxe ?

P. L. : Je pense que dans ce chiffre-là il y a des dirigeants qui répondent sans vraiment connaître les contours de l'application du RGPD dans leur entreprise, parce qu'on a des conseils qui interviennent et se rendent compte qu'une partie du travail est faite. Toutefois, il y a des prestataires qui les effrayent et leur vendent qu'ils ne sont pas prêts.

"Le RGPD c'est beaucoup de bon sens."



L'accès à la mise en conformité est finalement assez simple dans les petites structures. Par exemple, mettre à jour un site internet est rapide, pour les contrats de travail des salariés il suffit de faire des avenants et en général les réseaux informatiques des petites entreprises sont très simples. Il y a donc peut-être un manque de prise de conscience du chemin à parcourir.

En revanche, il est vrai que nos entreprises sont souvent désorganisées et qu'un des éléments de la mise en conformité est de pouvoir amener la preuve que l'on respecte le RGPD. Au niveau de ce formalisme, c'est certain que très peu de petites entreprises sont prêtes.

A.-P. : Quels sont les obstacles techniques majeurs à déjouer ?

P. L. : Il s'agit de problèmes de procédure et de process pour pouvoir rendre compte que l'on respecte bien le droit des données personnelles.

A.-P. : Comment maîtriser les aspects à la fois juridiques et informatiques du RGPD lorsqu'on a de faibles ressources?

P. L. : L'important est de s'informer. Nous abordons avec nos clients les aspects généraux juridiques du RGPD en essayant de faire simple. Lorsqu'ils ont des conditions générales de ventes particulières on leur conseille évidemment de s'adresser à un avocat. Aussi, lorsqu'elles ont un réseau informatique particulier et des cyber-risques élevés, on leur conseille de s'adresser à des spécialistes.

C'est une très belle occasion pour les petites entreprises de se poser les bonnes questions et de se réorganiser.

A.-P. : Comment répartir les tâches et organiser la gestion des données ?

P. L. : Chez Exco, on forme les principaux collaborateurs de l'entreprise en leur expliquant le règlement, en leur démystifiant ce qu'est un registre des traitements et en faisant avec eux un pré-audit flash de leur gestion de données. Avec cette formation courte, ils arrivent à faire des choses très concrètes.

A.-P. : Comment contrôler son traitement de données ?

P. L. : Il est important de réaliser régulièrement un audit de son registre des traitements, en faisant appel à un expert externe notamment.

A.-P. : Préconisez-vous aux PME de souscrire une assurance spécifique pour les cyber risques ?

P. L. : Ça nous arrive parfois. Notre réseau ne propose pas encore d'offre de cyber assurance mais nous sommes en train d'y réfléchir.