ENTREPRISES & STRATÉGIES — Services & Conseils

Un an après

Les PME à la peine pour la mise en œuvre du RGPD



242480.jpg

Les PME et professions libérales sont loin d’avoir intégré les exigences liées au RGPD. (Photo: Shutterstock)

Voilà un an que le RGPD (règlement général sur la protection des données) est entré en vigueur, le 25 mai 2018. Les petites et moyennes structures sont encore à la traîne dans sa mise en pratique.

Les grandes entreprises disposaient de ressources juridiques nécessaires à la mise en pratique du RGPD (règlement général sur la protection des données). Pas les PME. Et un an après son entrée en vigueur , le 25 mai 2018, c’est justement là que le bât blesse.

«Beaucoup de petites structures n’ont encore rien mis en place», note Jeff Braun, avocat au cabinet Kaufhold & Réveillaud.

Les petites structures, comme les professions libérales (médecins, fiduciaires, etc.), n’ont pas forcément les moyens suffisants pour se mettre en conformité, alors même qu’elles disposent et gèrent de nombreuses données à caractère personnel et sensible.

Formation des salariés

La CNPD (Commission nationale pour la protection des données) n’a pourtant pas ménagé ses efforts en matière d’éducation et de sensibilisation des entreprises.

«Il reste encore une marge d’amélioration de la formation des salariés par les entreprises. Une grande partie des notifications reçues par la CNPD ont pour origine des erreurs humaines. Il est donc indispensable d’investir dans la formation du personnel et pas seulement dans des logiciels informatiques», observe Emmanuel Réveillaud, partner dans le même cabinet.

Avant d’ajouter: «Il s’agit en outre d’une nouvelle logique de réglementation. En effet, les entreprises étaient auparavant dans une situation de demandes d’autorisation. Aujourd’hui, elle doivent elles-mêmes mettre en place un système adapté à leur activité spécifique: c’est le fameux ‘principle of accountability’.»

Bonne volonté

Selon le cabinet, n’avoir engagé aucune initiative pour mettre en œuvre le RGPD est «indéfendable» auprès de la CNPD, quelle que soit la taille de l’entreprise. «La priorité de la CNPD a été de s’occuper des grandes entreprises qui brassent une grande quantité de données personnelles sensibles. Petit à petit, toutes les entreprises vont également être visées par des audits sur leur mise en conformité avec le RGPD. La CNPD n’exige pas d’être parfait au moment d’un audit, mais il faut au moins prouver sa bonne volonté en étant transparent sur les problèmes rencontrés», affirme Jeff Braun.

Effet extraterritorial

Les grandes entreprises luxembourgeoises, elles, n’en ont pas terminé pour autant avec le nouveau règlement et ne doivent notamment pas négliger l’effet extraterritorial de celui-ci. Un aspect d’autant plus difficile à gérer si leur maison mère n’est ni dans l’Espace économique européen ni dans la «white list» de la Commission européenne .

À titre d’exemple, si la banque chinoise ICBC demande la liste des salariés d’ICBC Luxembourg, il s’agit déjà d’un transfert international de données personnelles qui peut s’avérer complexe.

Quatre entreprises luxembourgeoises suivent par ailleurs le régime de «binding corporate rules» spécifique aux multinationales, à savoir: ArcelorMittal, Rakuten, eBay et Paypal.