PascalW

Concretement quel sera l'impact de la RGPD sur les PME?
il y a 6 ans par PascalW

Le sujet de RPDG, future réglementation européenne de protection des données personnelles, a été plusieurs fois abordé sur Skiller.

Après de nombreuses recherches et lectures sur ce sujet, il m'a semblé bon de valider ma compréhension de sujet avec ce que les autres en perçoivent.

Ce qui m'intéresse en premier lieu est basic: c'est l'impact "business" concret dans les PME. La question est (réputée) maitrisée dans les grands groupes.

reglementation rgpd systeme d information
2
3

5 réponses

samhee
il y a 6 ans par samhee

Bonjour,

Pour les PME, la nomination d'un DPO sera obligatoire si elle collecte massivement des données personnelles ou si par exemple elle travaille dans le domaine de la santé. Effectivment, ce DPO n'est pas forcément un collaborateur à temps complet, il peut être externalisé et à temps partiel. 

Il y aura très certainement une mise à jour des certifications délivrées par la CNIL, les normes ISO 27k peuvent également  être utilisées. Si vous souhaitez entrer dans cette fonction, il existe quelques formations sérieuses.

Le privacy by design et la réponse aux différents droits des citoyens doit être une collaboration étroite entre le DPO et les équipes techniques, notamment les architectes SI. Les solutions logicielles vendues comme permettant la conformité sont à fuir dans un premier temps: il faut d'abord bien documenter, bien comprendre ce qu'on doit faire et comment le faire avant de s'occuper de l'outillage :)

Et oui, ce monitoring doit être continu car les PME comme les grands groupes sont sous la notion de "accountability" et donc doivent être constamment à jour.  De même toutes les entreprises ayant des données sur les salariés (donc données personnelles) doivent être aidées dans la mise en place de la GDRP, avec ou sans DPO.

3
PascalW
il y a 6 ans par PascalW

Bonjour,

Cette notion de "collecte massive"  me pose déjà en soi un soucis... Les quelques entreprises que j'ai déjà rencontré m'ont toutes affirmé ne pas collecter massivement de données :-)

D'ailleurs, je ne suis même pas certain qu'elles et moi donnions le même sens  à ce mot "collecte"...

Par contre si le fichier du personnel constitue un motif d'application de la GRPD, je suppose que les fichiers clients aussi. Cela élargirait le champ d'application aux indépendants et professions libérales... Ce n'est pas neutre. et je ne suis pas certain que l'ordre des Médecins (ou celui des Avocats) communique sur  cette disposition.

Je suis d'accord la nécessité de documenter clairement l'existant avant d'acquérir une solution GRPD "compliant". De ce que j'ai pu constaté, beaucoup de chef d'entreprise n'ont pas une idée très nette des données utilisées tous les jours dans leur locaux.

Je pense de plus, qu'il sera indispensable d'assortir le tout d'une traçabilité des différentes requêtes reçues, ainsi que des actions de retention puis suppression éventuelles des données. Dans ce cadre les mécanismes d'archivage et de sauvegarde peuvent être impactés.

2
samhee
il y a 6 ans par samhee

Si vous êtes dans une PME de secteur dit "traditionnel', effectivement, la collecte massive de données n'est peut-être pas approprié. Et effectivement, les données client doivent être  protégées même en BtoB (adresses mails, téléphone...)  Et effectivement, le travail avec le SI est primordial, et il faut vraiment mettre en conformité l'archivage et la sauvegarde.

Et pour parler aux professions libérales: www.cnil.fr/fr/une-sanction-pecuniaire-prononc...

3
PascalW
il y a 6 ans par PascalW

Ahah,

 J'ai l'impression que vous aussi sentez qu'il y aura des resistances dans les professions libérales :-)

Sur l'implication avec le SI, c'est ce qui me laisse penser que fusionner le fonction de DPO avec la sécurité du Système d'Information peu avoir du sens.

2
FredericLibaud
il y a 6 ans par FredericLibaud

Le RGPD est disponible en français : eur-lex.europa.eu/legal-content/FR/TXT/HTML/?ur....

Il fait 88 pages et emploi un "vocabulaire" relativement juridique. Autant dire qu'il n'est pas abordable au premier venu.

Comme je l'indique ici, le RGPD a des incidences pour tous les secteurs d'activités, toutes les entreprises et toutes les structures (associations, collectivités, ...). Il s'agit toutefois, de garder un peu de bon sens et de s'y mettre maintenant, car la deadline approche.

Pour pouvoir définir l'incidence du RGPD il est nécessaire de faire l'état de la situation du SI (système d'information), qu'il y ai collecte ou pas de données, que celle-ci soit massive ou pas. Car toute entreprises gère des données et aujourd'hui cette gestion se fait à l'aide d'outils numérique et ces outils étant devenues incontournable. On n'imaginerais pas en effet, une structure gérer comptabilité, paie, stocks... à la main avec des fiches cartonnées par exemple.

Je rappel également que le RGPD impose de s'assurer la mise en conformité de ses fournisseurs, prestataires, ... et le règlement concerne aussi les entreprises transnationales (hors Europe). Ce qui veux dire en claire que si vous confiez des données à une entreprise dont le siège n'est pas en France, ni en Europe d'ailleurs, elle quand même assujettie au règlement et se doit d'être en conformité et vous vous devez de vous en assurez.

Afin de s'assurer d'une bonne transition, il est souhaitable de s'assurer la collaboration d'un professionnel du droit et consultant technique, indépendant de tout fabricants !

3
PascalW
il y a 6 ans par PascalW

Merci @FredericLibaud 

Les principaux éditeurs anglo-saxons ont entamé une grosse campagne de sensibilisation outre atlantique expliquant que les retombés n'étaient pas qu'européennes.

Votre article est intéressant et fait la part belle à la prestation et sous-traitance. Vous décrivez les problèmes de responsabilités en cascade et leurs apparentes complexités. C'est un sujet que les entreprises appliquant SOX connaissent déjà... Avec un peu de rigueur et de bonne volonté de chacun, on y arrive.

L'article de Korben est intéressant également mais savez vous quels seront les moyens de contrôle mise en oeuvre? La CNIL a peu de moyens et de nombreux professionnels de l'emailing prétendent déjà ne rien risquer faute de contrôle...

2
olivierChaillot
il y a 6 ans par olivierChaillot

Ne connaissant pas bien le sujet, et donc n'ayant pas encore d'avis ... alors que tu sembles t'être penché sur "la chose" ... peux tu nous faire une synthèse ou nous conseiller quelques lectures pour nous forger un avis ?

Merci

2
PascalW
il y a 6 ans par PascalW

Merci de cet aveux!

Il me semblait bien que ce sujet n'était peut être pas encore au cœur des préoccupation de tout le monde !

En terme de référence, je te suggère ce que propose la CNIL sur le sujet (au moins on ne peut l'accuser de vouloir vendre ses services)
www.cnil.fr/fr/reglement-europeen-sur-la-prote...

ou Wikipedia

fr.wikipedia.org/wiki/R%C3%A8glement_g%C3%A9n%...

Il y a un très bon dossier sur  www.lenetexpert.fr/ et sur www.donneespersonnelles.fr

Tous les éditeurs de solutions de sécurité (Trend, Symantec, ...) traitent ces sujets mais vu de leur propre fenêtre.

Sur Skiller, il y a eu au moins les questions suivantes:

skiller.fr/question/qu-avez-vous-fais-pour-met...

skiller.fr/question/des-recommandations-d-audi... (où déjà tu te demandais ce que cela pouvait être  :-) )

De mémoire, il y a eu une troisième question mais je ne l'ai pas retrouvé...
Je ne souhaite pas proposer de synthèse parce que ce ne serait que mon interprétation.

Je me pose quelques questions comme: qui est finalement concerné par la nomination d'un DPO? Comment mettre à jour les contrats existants? Comment sensibiliser (et faire appliquer) les périodes de rétentions et de droits à l'oubli? Comment s'assurer de la fiabilité "by-design" des futures applications quand on est pas spécialiste de dev? Existera t il une certification pour les entreprises développant des applications?...

J'ai en tête une démarche d'audit (c'est assez simple finalement) , ce qu'il faut pour réaliser des cartographies des données et de leurs flux (quand c'est visuel c'est plus sympa), Mais j'ai du mal à me convaincre que la mise en place d'un contrôle continue soit pertinent et viable dans des PME. La fonction de DPO pouvant être mutualisée et externalisée, je suis tenté de proposer mes services sur une fonction plus large de "Security and Data Officer" (en anglais ça fait plus djeun's et innovateur).

Voila! Tu sais tout!

2
olivierChaillot
il y a 6 ans par olivierChaillot

je n'ai plus qu'à passer un peu de temps à lire ...

merci

1
PascalW
il y a 6 ans par PascalW

Je viens de trouver une belle synthése réalisée par @Pbernardon :medium.com/usages-collaboratifs-et-savoirs/la-...

2
Pbernardon
il y a 6 ans par Pbernardon

Oui j’ai écrit cet article, il y a quelques temps. Nous aidons les organisations à cartographier les données à caractère personnel de manière automatique et perpétuelle en nous appuyant sur une solution basée sur de l’intelligence artificielle et de la semantique.

3
CyrilHIJAR
il y a 6 ans par CyrilHIJAR

Bonjour,

Je ne peux pas vous répondre mais le DPO de la société oui. Il organise même une conférence sur le sujet :

www.eventbrite.fr/e/billets-dans-la-peau-du-dp...

2
PascalW
il y a 6 ans par PascalW

Ca à l'air intéressant! Vais je tenter de traverser la frontière et vers en Occitanie pour cela?

Merci

1

Vous aimez Skiller?

Rejoignez la communauté.