Confinement et RGPD : une période propice pour cultiver son jardin

Près de 2 ans après l'entrée en vigueur du Règlement Général sur la Protection des Données (RGPD), le chemin est encore long. Fin septembre 2019, seulement 28% des entreprises se déclaraient en conformité (rapport Capgemini). Et si c'était le moment idéal pour se pencher sur le sujet ?

Petit rappel, entré en vigueur en mai 2018, le RGPD impose aux organisations de toutes tailles, dès lors qu'elles traitent ou manipulent des données personnelles, de prendre des mesures visant à les protéger. Cette nouvelle obligation a rapidement révélé un formalisme lourd et coûteux sur les plans financier et humain.

Analyser et trier les données personnelles recueillies, constituer un registre de traitement, informer les clients sur leur stockage et leur utilisation (via des politiques de confidentialité), recueillir leur consentement, ou encore leur permettre d'exercer leurs droits d'effacement de ces données (droit de portabilité), constituent autant d'actions très difficiles à mettre en place pour les petites et moyennes entreprises. Harassés de responsabilités, une large part des dirigeants ne dispose pas des ressources internes pour mener à bien cette démarche. Car la protection des données ne se limite pas à de simples cases à cocher, c'est un effort qui doit être maintenu sur du long terme, les risques évoluent comme les techniques des pirates informatiques.

Pour laisser le temps aux PME de s'organiser et mettre ces moyens en oeuvre, la CNIL a fait preuve de tolérance durant la première année. Un calme trompeur car, depuis, les contrôles et les sanctions se sont multipliés.

Aujourd'hui, de trop nombreux dirigeants sous-estiment les risques de condamnations. Du moins, beaucoup estiment que les contrôles de la CNIL ne visent que les grandes entreprises. Ce n'est plus le cas. Toutes les entreprises sont soumises à des risques de sanctions dont les pénalités peuvent s'élever de 2% à 4% du chiffre d'affaires et entraîner la suspension, par exemple, d'un site de e-commerce. Soit l'arrêt total d'une activité dans certains cas. Voici déjà une raison suffisante pour se pencher sur le sujet durant le confinement.

Profiter de la crise pour se mettre en conformité

L'état d'urgence sanitaire est d'autant plus propice aux remises à niveau qu'il entraîne même de nouveaux questionnements concernant les données personnelles des salariés. Les DG et les Daf devant à la fois prendre des mesures pour protéger le personnel, sans pour autant pouvoir collecter des données de santé qui entrent dans la catégorie des données personnelles dites sensibles. Et ce n'est pas simple. Pour exemple : un employeur se rendrait coupable de divulgation de donnée sensible en dévoilant l'identité d'un salarié contaminé au coronavirus, sauf en cas de risque élevé de contamination, auquel cas l'employeur poursuit l'obligation de sécurité qui lui incombe envers ses salariés. A l'employeur de trouver le juste milieu entre son obligation de sécurité envers ses salariés et respect de la vie privée.

Dans le même temps, le gouvernement envisage de mettre en place un " suivi numérique " des citoyens pour limiter la propagation du coronavirus, ce qui repositionne la question de la confidentialité des données au coeur de l'actualité.

Certains dirigeants ont bien compris l'intérêt de profiter de cette période pour ne plus remettre au lendemain ces tâches juridiques et administratives. Ils réalisent même que ce travail apporte une plus-value et des avantages non négligeables à long terme. 92% des dirigeants estiment avoir perçu un avantage concurrentiel depuis leur mise en conformité. L'entreprise gagne en crédibilité auprès de ses clients dont la satisfaction progresse. Le juridique devient un levier pour améliorer la réputation de l'entreprise et, in fine, son chiffre d'affaires.

Bien sûr ces considérations pourraient sembler accessoires quand l'activité est au point mort et que l'enjeu est de ne pas mettre la clé sous la porte. Mais pour celles et ceux qui le peuvent, il est fondamental d'utiliser ce temps pour se renforcer afin d'être prêts lorsque le marché repartira. A l'instar des entreprises qui découvrent de nouveaux modes collaboratifs ou qui profitent de la période pour rappeler leurs anciens clients et détecter des opportunités commerciales, la mise en conformité RGPD - aussi peu excitante qu'elle puisse paraître - peut apporter la petite plus-value décisive qui fera la différence entre ceux qui resteront debout et les autres. Oui, cette période est terrible pour les entreprises qui ont passé des années à construire et faire grandir un projet. Si l'édifice est quasi immobilisé pour un moment, il est temps de cultiver son jardin pour préparer les prochaines saisons.

Philippe Wagner, est le co-fondateur de Captain Contrat, plateforme spécialisée dans les services juridiques à destination des start-ups, TPE et PME.