Nouveau règlement sur la protection des données: de la vertu… aux vices

Le 25 mai prochain, le monde va changer pour les entreprises privées, mais également pour les entreprises publiques. Nos données personnelles seront mieux protégées grâce à l’instauration d’une nouvelle réglementation européenne qui répond au doux nom de RGPD, règlement général sur la protection des données.

L’idée, comme toujours, part d’un bon sentiment. Mais à l’arrivée, la mise en pratique se révèle difficile, une vraie césarienne pour filer la métaphore, pour la simple raison qu’il n’est pas facile pour une PME de se mettre en conformité avec ce nouveau règlement européen de protection des données. Et il n’est pas question de hausser les épaules ou de se dire, ce n’est pas grave, car la sanction prévue en cas de non-respect de cette protection des données de clients, de fournisseurs ou de prospects est carabinée: l’amende peut s’élever jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires ! Le résultat, évidemment, c’est que ce genre de législation fait vivre des tas de consultants qui nous expliquent ce qu’il faut faire pour être en conformité avec ce nouveau règlement européen.

Et si vous pensez que c’est purement technique, détrompez-vous. Je vous en donne quelques exemples triviaux, mais tellement réels. Si dans votre entreprise, un collaborateur note un mot de passe sur un Post-it et le laisse à la vue de tout le monde, l’entreprise est en infraction. De même, la firme Sage a listé quelques habitudes qu’il faudra bannir en entreprise: par exemple célébrer l’anniversaire d’un collègue. En effet, la date d’anniversaire d’un collaborateur est une donnée personnelle, et dans le cadre de cette nouvelle législation qui entre en vigueur ce 25 mai, cette information ne peut plus être partagée sans son consentement formel. Il est donc important de vérifier le consentement de tout le monde avant d’établir un calendrier partagé des anniversaires. Même chose avec les cartes de voeux professionnelles: si les adresses utilisées sont celles des domiciles, alors il s’agit de données personnelles dont le traitement n’est pas autorisé par ce nouveau règlement européen. Et donc, là aussi, il faudra obtenir le consentement préalable du client ! Et imaginez que vous deviez passer une commande au traiteur au sein de votre entreprise. Eh bien, là aussi, si vous avez des collaborateurs allergiques aux noix, ou qui mange casher ou halal, il faudra faire attention. Pourquoi ? Ces données sont considérées comme des données personnelles, et donc, avant de décrocher le téléphone et de passer commande, l’entreprise doit s’assurer qu’elle a l’accord des salariés concernés par ces allergies ou ces interdits alimentaires avant de partager ce genre d’information avec le traiteur.

Bref, vous l’avez compris, cette nouvelle législation est très vicieuse dans son application et beaucoup de petites entreprises vont le découvrir dans les semaines à venir. Nous voilà prévenus, nous avons jusqu’au 25 mai pour prendre les mesures nécessaires… Après, ce sera plus compliqué !