Impossible d'y échapper. Le 25 mai, le règlement général sur la protection des données (RGPD) entre en vigueur dans toute l'Europe. Monstre bureaucratique pour les uns, simple mise à jour de concepts existants pour les autres, le nouveau dispositif oblige les acteurs économiques à réexaminer leur politique de gestion des données personnelles. Le RGPD a pour objectif de mieux protéger les données privées des particuliers, qu'ils soient clients, utilisateurs ou employés. Pour ce faire, les entreprises doivent montrer patte blanche aux autorités. Elles doivent mettre en place une série de mesures démontrant que les données personnelles qu'elles collectent (nom, adresse, numéro de téléphone, dossier médical, historique de navigation, CV, mot de passe...) sont en sécurité. Elles doivent également correctement informer les particuliers sur l'usage et le traitement qu'elles font de ces fameuses données.
...

Impossible d'y échapper. Le 25 mai, le règlement général sur la protection des données (RGPD) entre en vigueur dans toute l'Europe. Monstre bureaucratique pour les uns, simple mise à jour de concepts existants pour les autres, le nouveau dispositif oblige les acteurs économiques à réexaminer leur politique de gestion des données personnelles. Le RGPD a pour objectif de mieux protéger les données privées des particuliers, qu'ils soient clients, utilisateurs ou employés. Pour ce faire, les entreprises doivent montrer patte blanche aux autorités. Elles doivent mettre en place une série de mesures démontrant que les données personnelles qu'elles collectent (nom, adresse, numéro de téléphone, dossier médical, historique de navigation, CV, mot de passe...) sont en sécurité. Elles doivent également correctement informer les particuliers sur l'usage et le traitement qu'elles font de ces fameuses données. D'application immédiate, le RGPD concerne toutes les entreprises, de la multinationale à la société unipersonnelle, ainsi que les indépendants et les professions libérales. Si les grandes sociétés se préparent depuis des mois à l'implémentation de ce texte, les petites structures sont un peu plus à la traîne. D'après un sondage réalisé fin février en Wallonie par l'Agence du numérique, plus de la moitié des TPE (très petites entreprises, moins de cinq travailleurs) et 30 % des PME (de cinq à 250 travailleurs) ne sont pas conscientes qu'elles devront se conformer à cette nouvelle réglementation. Pour les petites structures, ce n'est pas un exercice facile. Manque de temps, de moyens, de connaissances ou d'expertise : les obstacles sont nombreux. Et ils expliquent des réactions très contrastées dans le chef des patrons de PME et TPE : " Soit ils sont hyper paniqués, soit ils s'en fichent totalement ", observe Damien Jacob (Retis). Ce consultant en e-commerce, qui a rencontré de nombreux dirigeants de petites sociétés dans le cadre de formations sur le RGPD, donne tort aux deux camps : " C'est faux de penser qu'il n'y a rien à faire. Mais il ne faut pas surestimer la difficulté, ni paniquer ", assure Damien Jacob. C'est ce qu'aimerait croire la patronne de TPE Nathalie Gilis, qui ne cache pas une certaine inquiétude à l'approche de la date fatidique. A la tête de Teckna By Fasano, une petite société familiale (deux personnes) spécialisée dans les imprimantes de rubans pour fleuristes et pompes funèbres, elle s'est plongée récemment dans le RGPD : " J'aimerais être en règle et je ferai de mon mieux. Mais on est une toute petite entreprise et on se focalise sur notre business. Je n'ai pas 1.000 euros à consacrer à cette opération ", explique Nathalie Gilis. Les interrogations de la patronne tournent autour de son listing de données clients et des outils de marketing direct qu'elle a activés sur Facebook. Des problématiques rencontrées par bien d'autres dirigeants de petites structures, et qui peuvent trouver des solutions parfois toutes simples ( lire en pages suivantes). Si une certaine tension s'est installée au cours des derniers mois, c'est aussi parce que certains consultants et avocats ont brandi le RGPD comme un épouvantail, effrayant des patrons de petites sociétés parfois fragiles. Il faut dire que les amendes prévues en cas de manquement ont de quoi pétrifier les entrepreneurs : jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires ! Mais ces sanctions extrêmes seront appliquées pour des cas graves, et visent en premier lieu les grandes plateformes du Net comme Facebook, dont les agissements en matière de traitement des données personnelles sont dans le collimateur des autorités européennes. " Le RGPD a été mis sur pied pour les Gafa (Google, Amazon, Facebook, Apple), même si son champ d'application s'étend à toutes les entreprises qui traitent des données personnelles. Mais l'objectif du règlement n'est certainement pas de nuire aux petites sociétés. Il ne faut pas en avoir trop peur ", confirme Stéphanie De Ridder, avocate spécialisée en protection des données au cabinet Reliance. Le simple fait de posséder certaines données personnelles, comme un listing de clients, n'implique pas forcément des mesures compliquées, explique l'avocate : " Ce qui est important, c'est de savoir ce que vous faites avec ces données, de sécuriser et d'informer adéquatement. Si c'est juste pour des relations contractuelles classiques et pas pour des actions de marketing, quelques mesures administratives simples suffiront ", relativise Stéphanie De Ridder. La difficulté pour les petites entreprises reste d'identifier les actions à mener. Comme tout document de ce type, le règlement est un texte juridique relativement peu accessible, et surtout encore sujet à de multiples interprétations. Ne disposant généralement pas des compétences en interne, les PME se tournent vers les consultants... qui multiplient les offres de séminaires, formations et autres workshops pour informer les entrepreneurs. D'autres proposent des packages complets de mise en conformité. " Pour mettre en ordre une PME, il faut compter environ trois jours de travail ", estime Jacques Folon, associé chez Edge Consulting. " En fonction des besoins, un projet d'implémentation RGPD dans une PME peut coûter de 1.000 à 10.000 euros environ ", complète Adrien van den Branden, avocat chez CMS. Si les activités de la société sont exclusivement hors ligne et concernent une clientèle professionnelle ( B to B), les choses seront vite réglées. Par contre, si elle a une boutique en ligne, est active dans un secteur réglementé comme la finance ou traite des données sensibles (médicales, par exemple), le budget peut grimper, pointe Adrien van den Branden. Le coût potentiel d'une telle opération décourage les plus modestes et conforte les plus réticents à prendre de nouvelles dispositions. Il ne faut cependant pas perdre de vue que l'inaction comporte certains risques. Même si elle ne s'attaquera pas en priorité aux petites structures qui gèrent des données peu sensibles, la future Autorité de protection des données pourra mener des contrôles et sanctionner les contrevenants. Des clients, des employés, voire des concurrents pourront également mettre en cause la gestion des données personnelles d'une entreprise, si petite soit-elle. Personne n'est par ailleurs à l'abri d'un piratage informatique. Il est heureusement possible de minimiser le risque, en évitant au maximum de s'exposer à ces situations dommageables tant financièrement qu'en termes d'image. Pour vous mettre à l'abri des principaux désagréments, nous vous invitons à consulter notre guide pratique dans les pages qui suivent.