RGPD : tous concernés?
Le règlement européen RGPD (Règlement européen sur la protection des données) entre en application le 25 mai 2018. Contrairement à ce que beaucoup pense ou ignore : ce règlement s'applique à tous : TPE, PME, PMI, associations, moyennes et grandes entreprises, administrations...
Le RGPD vise à mettre en place une sécurisation et une protection des données personnelles. Sans entrer dans les détails ce règlement s'applique à toutes les entreprises traitant des données personnelles de membres européens. Ainsi même une société hors de l'union européenne, à partir du moment ou elle traite des données personnelles de membres au sein de lUE doit s'y soumettre.
Beaucoup voit cela comme une contrainte (procédures à mettre en place, documents à rédiger ...). C'est pourtant une formidable opportunité : elle place les entreprises sur le même niveau (ce règlement s'applique à tous petits et grands...), elle obliges les entreprises à la transparence améliorant ainsi la confiance que le public peut leur porter. En obligeant à se pencher sur les procédures de traitement elle sécurise l'information et ainsi la société qui met RGPD en place.
Dans quel(s) cas mon entreprise est concernée?
La réponse est assez simple (hors cas particuliers ce qui est dit ici est valable pour toutes les entreprises).
Vous avez :
- un fichier client nominatif
- un fichier fournisseur nominatif
- vous avez des employés
- un site web qui collecte des données (même un simple email pour une newsletter)
Dans tous ces cas vous êtes amené un traiter des information non anonymes (nom, prénom, adresse a minima) vous êtes donc concernés.
J'entends souvent dire je fais du B to B donc je ne suis pas concerné. Sûrement pas! Sauf si dans vos fichiers vous n'avez que des contact du style Nom de la société, adresse de la société, téléphone du standard, email générique du style contact@lasociete.fr. Ce qui est très rare : vous avez le plus souvent un nom de responsable (commercial, vendeur, acheteur, dirigeant, RH, ...)... donc nominatif.
De plus à moins d'être seul dans la société : vous avez des employés donc vous gérer des informations nominatives.
Enfin, quasiment aucune société ne travaille seule : vous êtes sous traitant ou vous faites appel à des sous traitants ... ceux ci doivent donc être en conformité avec RGPD. En effet si vous êtes conforme que que votre sous traitant ne l'est pas, de facto vous devenez non conforme.
Deux exemples pour comprendre :
Vous avez des employés et vous sous traitez la paie : si votre sous traitant paie n'est pas conforme vous n'êtes pas en mesure de répondre au exigence du RGPD! Vous expédiez des colis à vos clients : vos prestataires de transports reçoivent de vous les informations nominatives de vos clients, ils faut donc qu'ils soient conformes à RGPD.
Là vous voyez poindre une raison supplémentaires d’être RGPD : si vous êtes sous traitant et que votre donneur d'ordre vous demande vos action pour le RGPD et que vous lui répondez RGPquoi? Il y a de grande chance qu'il passe par un autre prestataire!