RGPD : les interrogations des entreprises

2018 l’année de la RGPD ! Mais comment s’y retrouver ?
Gaëlle Béranger est responsable d’études à la Chambre de commerce et d’Industrie de Nantes Saint-Nazaire et déléguée à la protection des données personnelles pour la mise en conformité de la CCI au RGPD. Elle a animé des réunions d’information auprès des entrepreneurs pour les aider à mieux comprendre le Règlement Général sur la Protection des Données. Elle a pu constater beaucoup d’inquiétudes et d’idées fausses. Décryptage.

 

Qui est le public rencontré lors de vos réunions ?

Ce sont essentiellement des dirigeants de PME – TPE, des RH et des responsables du service comptable, du département marketing, des commerçants et des artisans. J’ai constaté une intensification du nombre de participants au fur et à mesure que la date d’entrée en application, le 25 mai dernier, approchait. Le RGPD est perçu comme une « usine à gaz », un règlement dont la mise en conformité apparaît très compliquée et chronophage, importante en termes de coûts. Le recrutement du DPO, le délégué à la protection des données personnelles, faisait notamment partie de leurs interrogations.

Comment ont-ils anticipé cette question du DPO ?

Avec la forte médiatisation du sujet quelques jours avant le 25 mai est apparue la crainte de ne pas disposer d’un nombre suffisant de DPO (1). La CNIL (Commission nationale informatique et liberté) avait elle-même estimé le nombre de postes de DPO nécessaires à 80 000. Les entrepreneurs ont pu penser que le DPO allait devenir un métier à part entière et qu’il y aurait pénurie. Or, toutes les entreprises n’ont pas l’obligation de recruter un DPO. C’est obligatoire pour les organismes publics et pour les entreprises qui traient de données personnelles et/ou sensibles à grande échelle.

On a pu constaté ces derniers mois l’apparition d’un marché de prestataires. Qui sont-ils ?

Attention aux arnaques. Je tiens à mettre en garde contre ces soi-disant « prestataires » qui veulent vous vendre un ensemble de solutions techniques pour vous mettre en conformité avec le RGPD. Mais le RGPD est tout sauf ça! C’est avant tout du bon sens et des bonnes pratiques. On n’achète pas une solution technique pour se mettre en conformité. La CNIL, elle-même, met en garde sur son site contre ces pratiques abusives. Sur Twitter, on a pu voir dernièrement des tweets d’organismes utilisant le logo de la CNIL pour vendre ou proposer ces solutions. Référez-vous au discours de la CNIL: « vérifier l’identité des démarcheurs et la nature des services proposés ».

Comment réagissaient les entrepreneurs en fin de réunion ? Avaient-ils le sentiment que cela était moins compliqué qu’il n’y paraissait ?

Concernant le B2B, nous les avons rassurés car ils ont perçu la nécessité de mettre en place des bonnes pratiques plutôt qu’un système ultra-complexe ex-nihilo. Pour les entreprises travaillant en B2C, c’est plus compliqué car certaines n’ont aucune pratique pour recueillir le consentement du client. Or, il faut pouvoir recueillir et conserver, s’il s’agit d’un site internet, la trace du consentement. Cela génère des coûts et des process importants.
Le sous-traitant doit évidemment se mettre en conformité. Certains sous-traitants font payer cette mise aux normes à leurs clients.

 

Finalement, cette mise en conformité peut-elle se transformer en un véritable atout commercial ?

Oui, dans le sens où cela peut rassurer les clients et également les salariés : mes données personnelles sont en sécurité, je peux faire confiance. Beaucoup de prestataires ont, de leur côté, su transformer cela en un avantage concurrentiel.
En règle général, la mise en conformité au RGPD permet de revoir les processus, d’alléger le stockage, de purger les données et donc de mettre en place des bonnes pratiques qu’il faudra conserver, bien sûr. Le RGPD impose une limitation de la durée de conservation des données : le référentiel de durée établi par la CNIL pour un fichier prospects/clients est de 3 ans.
Un meilleur ciblage commercial à travers des données plus fiables et consenties est bien évidemment un atout marketing que l’entreprise pourra mettre en avant.

 

Pour aller plus loin

La CCI Nantes Saint-Nazaire propose des formations pour devenir délégué à la protection des données (DPO) et pour se mettre en conformité avec le RGPD.

RGPD : consultez notre interview de Stéphane Baïkoff, avocate chez Simon Associés à Nantes.

The following two tabs change content below.
Auparavant journaliste pour Ouest-France, puis journaliste free lance au Vietnam pendant 8 ans, je suis actuellement rédactrice print et web indépendante, basée à Saint-Nazaire.

Derniers articles parSabrina Rouillé (voir tous)

Sabrina Rouillé

Auparavant journaliste pour Ouest-France, puis journaliste free lance au Vietnam pendant 8 ans, je suis actuellement rédactrice print et web indépendante, basée à Saint-Nazaire.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *