Lorsqu’elle traite avec des partenaires commerciaux situés à l’étranger, la PME doit s’assurer que ceux-ci respectent – eux aussi – le nouveau règlement général sur la protection des données (RGPD). L’accompagnement d’un partenaire extérieur peut se révéler intéressant.
L’avantage majeur du nouveau RGPD est évidemment de mettre toutes les entreprises de l’Union européenne sur pied d’égalité en matière de traitement des données à caractère personnel. En effet, plus question pour un État de se montrer plus laxiste ou plus strict dans la gestion des données personnelles. « Désormais, la notion de registre de traitement des données est identique dans tous les pays, tandis que la désignation d’un délégué à la protection des données ou DPO est similaire partout », précise d’emblée Bernard Persoons, CEO de BDE Group, spécialisé en accompagnement et en conseil personnalisés en informatique.
Pourtant, constate Bernard Persoons, beaucoup de PME et surtout d’organismes publics (communes, CPAS, provinces) n’ont même pas encore entendu parler du RGPD, alors même que les acteurs du secteur se mobilisent. « C’est inquiétant, mais pas encore trop alarmant. Dans un premier temps, une prise de conscience est nécessaire, après quoi il faudra prendre les premières démarches sur la voie de la conformité RGPD. A cet égard, nous conseillons un pilotage du projet en interne avec l’assistance d’un partenaire extérieur qui maîtrise la problématique et peut aider à prendre les premières mesures. » Bref, la PME aura intérêt à considérer le RGPD d’abord sous l’angle juridique que sous l’aspect informatique, en réalisant d’abord un audit de la situation actuelle des flux de données pour voir si ce qui est fait actuellement répond déjà à la règlementation et ce qui doit être amélioré.
Et face à ceux qui voient dans la conformité RGPD un projet pharaonique (une grande banque belge aurait ainsi lancé son plan RGPD voici deux ans et demi), Bernard Persoons estime qu’il importe surtout que la PME (dé)montre qu’elle a déjà pris des décisions de mise en conformité, par exemple dans le cadre de procès-verbaux de réunions. « Il importe de faire de ce projet une opportunité plutôt qu’un coût », ajoute-t-il. « En se faisant assister par un partenaire spécialisé, la PME évitera de réinventer la roue et pourra rapidement franchir les premières étapes sur la voie du respect du RGPD. » Certes, beaucoup de PME ne seront pas prêtes à l’échéance du 25 mai 2018, mais « si les sanctions peuvent être lourdes, il faut tenir compte de la proportionnalité. Et surtout, savoir que le projet est possible. »
D’ailleurs, il n’est pas certain (c’est un euphémisme) que les autorités de contrôle soient prêtes à l’échéance fatidique. En effet, chaque pays doit mettre en place un organisme certifié, chez nous l’Autorité de Protection des Données (ex-Commission Vie Privée). Or, celle-ci ne disposerait pas (encore) des moyens nécessaires pour assurer ses missions. En outre, tous les pays de l’UE ne seraient pas au même niveau, ce qui risque de provoquer des distorsions dans le contrôle et la répression. C’est la raison pour laquelle la Commission vient d’annoncer une enveloppe de près de 4 millions d’euros pour le financement de ces autorités nationales.
Beaucoup de PME et surtout d’organismes publics (communes, CPAS, provinces) n’ont même pas encore entendu parler du RGPD, alors même que les acteurs du secteur se mobilisent.
Il reste moins de cent jours avant l’entrée en vigueur du règlement général sur la protection des données, le 25 mai prochain. À l’attention des PME, la Commission vient de lancer un nouvel outil en ligne pratique, qui doit les aider à se conformer aux nouvelles règles du RGPD et à en tirer parti : principes, fondements légaux, question fréquentes sur l’application de la réglementation et sur les droits des citoyens, mais aussi obligations et sanctions. Voir https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/ Contact : J.-Ph. Mergen ; Tél. : 02 210 01 77 – jpm@beci.be. |