TPE, PME, Grands groupes – Le RGPD est-il le même pour tous ?

Grands groupes, TPE, collectivités territoriales… les exigences du RGPD sont les mêmes pour toute entité traitant des données à caractère personnel. Néanmoins, l’effort de mise en conformité varie en fonction du risque. Les attentes seront moindres envers des PME traitant peu de données. A l’inverse, le règlement général relatif à la protection des données s’appliquera dans toute sa rigueur aux grands groupes et aux start-up technologiques.

Pourquoi le RGPD est moins sévère pour les TPE – PME ?

Si les obligations légales sont théoriquement les mêmes pour tous dès lors qu’une entité traite des données à caractère personnel, leur mise en œuvre sera moins lourde pour les PME. Ceci car leurs activités implique pas ou peu de collecte de données.

Certaines PME sont peu digitalisées ou traitent une petite quantité de données personnelles

C’est le risque induit par les traitements de données mis en œuvre qui détermine le niveau de vigilance et de protection à accorder à leur sécurisation.

De fait, de nombreuses entreprises sont peu digitalisées ou génèrent l’essentiel de leur chiffre d’affaire hors ligne. Par exemple :

  • Une boucherie commercialise ses produits au sein même de son établissement ;
  • une entreprise de vente par correspondance peut n’avoir qu’un besoin de présence limité sur Internet. Et donc traiter peu de données en ligne.

Les traitements de données à caractère personnel mis en œuvre dans ces situations ne sont pas complexes (base de prospection téléphonique locale, fichier papier de relation clients ou de livraison…)… et vont concerner un nombre de personnes restreint.

Le RGPD s’appliquera mais avec un degré de rigueur limité.

La prospection commerciale limitée aux opérations courantes

Vous lancez probablement des campagnes de prospection téléphonique. Peut-être inscrivez-vous vos prospects dans une base d’emailing afin de leur adresser épisodiquement une newsletter ? A moins que vous ne préfériez les démarcher par téléphone pour leur présenter les dernières actualités de votre établissement ?

Quoiqu’il en soit, il n’y a pas besoin de réaliser un profilage de vos prospects ni de croiser des bases de données.

Les exigences du RGPD seront donc respectées en adoptant des précautions usuelles :

  • purge des contacts inactifs ;
  • vérification du consentement et de l’information délivrée aux prospects concernant les traitements de données mis en oeuvre ;
  • gestion des oppositions à la prospection

Marché local ou B2B… ces activités peu contraintes par le RGPD

La volumétrie des données traitées et l’importance du nombre de personnes concernées par un traitement de données décident du niveau de sensibilité de celui-ci.

Par exemple, un fermier ou un petit commerçant local peuvent se doter d’un site de e-commerce au même titre que le géant Amazon.

Leurs bases de données clients et prospects seront bien moins importantes que celle du champion international.

Les obligations à respecter seront juridiquement les mêmes dans les deux cas mais le niveau de rigueur exigé par le RGPD pourra être amoindri pour les PME.

De même, pour un commerçant spécialisé dans du B2B, les enjeux en matière de vie privée seront moins structurants. La mise en conformité de ces traitements de données sera donc plus légère. Par exemple, il n’y a pas besoin d’un consentement pour constituer une base de prospection e-mail.

Site vitrine, CRM, marketing automation… Un parc applicatif limité

L’exploitation de la data constitue une orientation stratégique pour les grands groupes. La tendance est à collecter toujours plus de données et réconcilier les bases existantes mais exploitées en silo. Ce dans l’optique d’acquérir une vision la plus complète possible des interactions entre le client/prospect et la marque.

Ces marques ont donc besoin de se doter d’infrastructures de traitements de données toujours plus complexes.

L’activité d’une PME peut au contraire ne requérir qu’un site vitrine basique et des solutions clé en main de gestion de la relation clients ou de prospection.

Là encore, le RGPD est applicable. Mais ces activités sont usuelles et ne nécessiteront pas d’efforts de mise en conformité très lourds.

La mise en conformité RGPD est la même pour tous les projets sensibles

Il serait faux de penser que le RGPD sera léger à mettre en œuvre pour n’importe quelle PME ou petite structure. En réalité, les exigences s’accroîtront dès lors que l’exploitation de la data sera au cœur du business de l’entreprise. Le lancement de projets innovants s’appuyant sur des solutions technologiques nécessitera aussi une vigilance renforcée.

Quand les données sont au cœur du business

De nombreuses start-up fournissent des solutions technologiques faisant de la donnée un actif essentiel :

  • Plateformes de profilage de candidats au recrutement ;
  • Plateformes de personnalisation du ciblage publicitaire en ligne ;

Pour ces entreprises, le RGPD s’appliquera dans toute sa rigueur.

De fait, ses exigences devront être intégrées dès la phase de conception de ces projets afin d’en assurer une sécurisation optimale tout en préservant la viabilité de l’activité.

En effet, le RGPD peut impacter jusqu’au modèle économique d’une entreprise. C’est ainsi que la société Fidzup a dû fermer définitivement ses portes en raison du non-respect des règles applicables en matière de collecte de données de géolocalisation.

Les données sensibles au cœur de toutes les vigilances

Les données à caractère personnel présentent en elles-mêmes un niveau de sensibilité justifiant les exigences requises notamment par le RGPD.

Mais certaines données sont plus critiques que d’autres : origines raciales, état de santé, orientations sexuelles, convictions politiques ou religieuses

Le traitement de ce type de données requiert des mesures supplémentaires. C’est ainsi qu’en 2015, la CNIL a mis en demeure plusieurs sites de rencontres, faute notamment d’avoir collecté un consentement spécifique pour le traitement de ces données.

Attention : n’importe quelle entreprise peut être conduite à traiter ce type de données. Il suffit :

  • d’un prospect utilisant le formulaire de contact du site et souhaitant fournir des éléments d’information liés à sa santé ;
  • d’un conseiller client enrichissant le profil d’un consommateur plaignant à partir d’informations sur ses convictions religieuses.

Ressources humaines : gestion du personnel ou surveillance ?

Comme celles des clients et les prospects, les données des salariés sont soumises aux exigences de la réglementation informatique et libertés.

Certaines PME peuvent toutefois être tentées de recourir à des solutions technologiques afin d’optimiser le pilotage de l’activité.

  • l’installation de caméras de vidéosurveillance avec le risque d’une surveillance constante de l’activité d’un salarié ;
  • la mise en œuvre de dispositifs biométriques de gestion des accès…

Leur plan de mise en conformité s’alourdira ainsi avec le lancement préalable d’une analyse d’impact relative à la protection des données.

 

L’innovation technologique fait le risque Informatique et Libertés

De manière générale, la digitalisation des activités de la PME peut entraîner des risques.

Une PME en recherche de nouveaux clients peut en effet vouloir expérimenter des nouveautés marketing ayant un fort impact technologique.

  • Campagnes de retargetting display,
  • Installation d’une plateforme de gestion des données (DMP)…

Ces projets peuvent être lancés à condition de faire l’objet de garanties sérieuses de conformité. Ce qui pourra induire pour la PME concernée des efforts dépassant largement ce qui aura été nécessaire pour la mise en conformité des activités courantes.

 

Sous-traitance, la responsabilité ne se délègue pas

Faute de moyens, de nombreuses TPE et PME externalisent certaines prestations opérationnelles voire délèguent la réflexion stratégique sur certains aspects.

A ce sujet, pourquoi ne pas se libérer des tâches répétitives via de la sous-traitance offshore ? Par exemple, pour :

  • la gestion des réclamations ;
  • l’organisation de campagnes de prospection téléphoniques.

Le transfert de données hors Union Européenne en découlant génère pourtant un risque informatique et libertés.

De façon générale, le cadrage contractuel des sous-traitants est une nécessité pour maîtriser le risque d’opérations de traitements réalisés pour le compte du client et sous sa responsabilité.

Ce cadrage devra en l’occurrence porter également sur ce transfert de données.

Conclusion : une nécessaire approche par les risques

L’impact du RGPD sur l’activité économique d’une TPE-PME ou d’une entité publique de petite taille dépend des traitements de données opérés.

De fait, chaque entité responsable de traitement doit évaluer les risques inhérents aux traitements de données mis en œuvre et appliquer les mesures appropriées.

Il est donc logique de penser que l’application du RGPD sera moins rigoureuse pour les TPE-PME que pour les grands groupes. Les start-ups technologiques ou les petites entreprises mettant en œuvre des projets innovants devront à l’inverse appliquer des mesures plus strictes.

C’est cette vision par les risques que Data Vigi Protection applique au quotidien. Au travers de notre réseau de DPO, nous proposons une gamme de prestations de mise en conformité qui s’adapte en fonction du niveau de risque des traitements de données personnelles utilisés.

Les PME bénéficieront ainsi d’une mise en conformité de leurs activités sans lourdeur excessive.

Laisser un commentaire