La Cnil et de Bpifrance assurent que grâce à ce guide et diverses initiatives associées, les PME ne sont pas démunies, ni sous la menace d'une sanction imminente. Un guide pratique doit les aider à se préparer sereinement.

Le nouveau régime de sanction  qui peut se chiffrer à 4% du CA annuel ne manque pas de provoquer une certaine inquiétude parmi les entreprises ou organisations auxquelles s'appliquera le RGPD à compter du 25 mai.

La CNIL s'efforce d'apaiser ces inquiétudes, qui, selon elle, sont sans fondement.

La présidente de la CNIL, Isabelle Falque-Pierrotin s'est prêtée à un nouvel exercice de déminage face à la levée de bouclier, à l'occasion de la présentation d'un guide pratique de préparation au RGPD à destination des TPE/PME, réalisé en partenariat avec Bpifrance.

« Nous avons voulu endiguer cette espèce de vague un peu alarmiste qui se déverse sur le RGPD, et en particulier sur les petites et les moyennes entreprises » a déclaré Isabelle Falque-Pierrotin pour justifier la démarche.

Présenté comme trop complexe et exposant à des sanctions « démesurées », le règlement se ferait au détriment des entreprises, et surtout les plus petites :

Une position « délétère », mais aussi « fausse » selon la présidente de la Cnil.

Au contraire, le RGPD peut même se révéler facile selon la CNIL pour les petites entreprises.

« Pour la plupart des petites et moyennes entreprises qui n'ont pas de traitements à grande échelle, de données nécessairement très sensibles et ne font pas du ciblage individualisé, il n'y aura pas de contraintes nouvelles »

Voilà qui semble rassurer, mais après avoir dit cela, que fait-on ?

Réponse de la CNIL : un plan d'action.

Fournir ce plan est justement le but du guide pratique mis à disposition dès maintenant.

Bpifrance et Cnil ont présenté la démarche en quatre étapes que sont les grandes phases de la mise en conformité avec le RGPD :

-         Constituer un registre de collecte des données

-         En faire le tri

-         Respecter les droits des personnes

-         Sécuriser les données

Le guide les accompagnera ainsi dans la constitution d'un registre de leurs traitements de données.

Mais, selon la CPME (Confédération des PME), ce registre, à tenir à jour, effraie.

« Beaucoup bloquent sur cette étape-là. Le registre simplifié est donc attendu avec impatience. Ces entreprises inquiètes pourront disposer de cette version allégée cette semaine, comme l'annonçait la Cnil quelques jours plus tôt  ainsi que de modèles de mentions d'information ».

Dans le cadre du guide, « les dirigeants de PME/TPE  disposeront par ailleurs de fiches thématiques consacrées aux grands principes du RGPD, ainsi que des fiches pratiques couvrant les principaux fichiers mis en œuvre dans la plupart de ces entreprises».

Le document doit également leur fournir des éléments pour déterminer leurs obligations lorsque les entreprises communiquent et, ou vendent sur Internet, mais aussi notamment pour protéger les données de leurs salariés et maitriser leur relation client.

Lors de la réunion organisée par les deux organismes, des intervenants  représentants de PME sont venus « vendre le produit » en indiquant   que la démarche qui peut être faite à cette occasion « permet de redonner du sens (à la collecte d’information), d'optimiser les process internes, de fluidifier, et d'harmoniser les process… »

« Cela  peut permettre  à toute l'entreprise de bien comprendre où était la donnée client, ce qu'on en faisait, quelles étaient ses finalités  et donc de revoir un certain nombre de pratiques ». 

A bon entendeur et…à vos marques pour le 25 mai !