Le RGPD pour les PME : mission impossible ? Spoiler : non !

Presque sept mois après l’entrée en vigueur du nouveau règlement européen sur la protection des données, quel est l’impact du RGPD pour les PME ?

Le RGPD est-il adapté aux PME ?

Pour les dirigeants de PME, le RGPD semble souvent difficile à comprendre, à accepter et à mettre en place.

Cette réglementation, qui au départ était surtout destinée à limiter les abus pratiqués par les géants du web comme Google ou Facebook, pose des questions complexes aux entreprises de dimensions plus modestes.

Selon des données IPSOS de 2016 et les statistiques de l’INSEE [source], les TPE et PME représentent 99,8% des entreprises en France. Une grande majorité d’entre elles sont des microentreprises. Ces TPE et PME réalisent chaque année environ 1300 milliards d’euros de chiffre d’affaires, soit un peu plus du tiers du chiffre d’affaires total des entreprises françaises. Si seulement 11,7 % de ces TPE et PME exportent à l’international, toutes sont concernées par le RGPD, d’autant plus que la localisation des serveurs hébergeant les données de l’entreprise (cloud, site web, logiciel SaaS) est souvent méconnue.

Si les PME ont des difficultés à mettre le RGPD en application, cela a donc un impact non négligeable sur l’économie française. C’est d’autant plus vrai que, par-delà le fantasme de l’esprit startup et l’apologie de l’entrepreneuriat facile pour tous sur les réseaux sociaux, beaucoup de PME sont en fait des entreprises familiales qui n’ont pas toujours une grande culture du numérique et encore mois de la data.

Quels sont les freins à la mise en œuvre du RGPD dans les PME ?

Nous observons principalement deux attitudes au sein des PME que nous accompagnons dans leur transition numérique et leur communication digitale en ce qui concerne le RGPD – deux freins.

Frein 1 : « Le RGPD, cela ne nous concerne pas. »

Il y a d’abord les entreprises qui pensent qu’elles ne sont pas du tout concernées par le RGPD. « On verra plus tard » ou « Cela ne nous concerne pas car nous ne traitons pas de données personnelles. »

Le problème est que souvent la notion de données personnelles est mal comprise. A titre d’exemple, si vous avez un site web qui utilise Google Analytics, vous avez accès à des adresses IP et à des adresses MAC. Or ces données pourraient permettre d’identifier une personne, même si c’est indirectement ou par recoupement avec d’autres données. En conséquence, elles sont considérées comme des données personnelles.

Autre exemple, la plupart des entreprises ont des fichiers sur leurs employés ou sur leurs clients qui contiennent rarement uniquement des informations strictement professionnelles.

Enfin, les supports papiers sont tout autant concernés par le RGPD que les données numériques…

Frein 2 : « Le RGPD, on n’y arrivera jamais. »

La deuxième attitude fréquemment rencontrée au sein des PME quand il est question du RGPD est une forme d’abattement. Ce découragement est lié notamment à la crainte du coût de la mise en conformité RGPD et à la complexité, réelle ou supposée, de la démarche.

Les réseaux sociaux ont un double impact sur la représentation que les PME ont du RGPD. En effet, d’un côté, ils permettent la diffusion de nombreux articles plus ou moins documentés sur le sujet. Avec un effort pour vérifier l’information (on n’insistera jamais assez sur ce point !), les réseaux sociaux permettent donc de se tenir informé sur le sujet et de trouver le chemin vers des ressources utiles en ligne.

Mais d’un autre côté, il y a les habituels opportunistes, des sociétés peu scrupuleuses qui entretiennent l’idée d’une procédure toujours extrêmement complexe, afin d’en tirer profit en proposant des prestations onéreuses pour « vous mettre en conformité sous peine d’amende ». Sur ce sujet comme sur tant d’autres qui génèrent ce type de sollicitations abusives (pseudo-inscriptions Pages Jaunes, pseudo-protection de votre marque à l’international…), il convient de faire preuve de discernement et de bien se renseigner sur la société qui propose ce « service ».

Concrètement, comment les PME peuvent-elles se mettre en conformité avec le RGPD ?

Après maintes discussions avec d’autres professionnels de l’informatique, des avocats, des spécialistes du droit des affaires, nous en arrivons à la conclusion suivante.

La mise en application du RGPD, comme celle d’un grand nombre de lois, repose en pratique, au moins en partie, sur la lecture qui en est faite au regard du contexte concerné.

Sans aller jusqu’à dire que c’est une question d’interprétation, il s’agit du moins de bien identifier, pour chaque entreprise, les « zones à risque » et les critères de référence pertinents. L’entreprise va elle-même définir ces critères, en prenant en compte son organisation, les contraintes spécifiques de son activité, le type de données qu’elle manipule… Sur cette base, elle pourra constituer sa propre « norme RGPD », par rapport à laquelle elle va établir des règles et poser ses propres limites.

Dans un deuxième temps, si c’est nécessaire, on pourra faire appel à un spécialiste pour résoudre certains problèmes complexes sur le plan technique ou juridique.

Alors, le RGPD pour les PME : mission impossible ?

Assurément non ! Le RGPD invite à un questionnement qui permet de prendre des décisions éclairées et de devenir plus responsable, plus respectueux des utilisateurs, plus autonome et ainsi d’assurer la continuité de ses services et la pérennité de son entreprise.

Certes cela va demander du temps et de la méthode… mais ça en vaut la peine ! La contrainte réglementaire peut et doit être transformée en opportunité de développement, comme une démarche qualité. Dans le cas du RGPD, la réglementation est l’occasion en premier lieu d’adopter de bonnes pratiques qui participent d’une transition numérique réussie.