Le RGPD, ou l’enfer bureaucratique

 

Si la règlementation européenne sur les données personnelles RGPD  tend à protéger les individus, sa mise en place semble avoir été conçue pour user les nerfs des PME et TPE. Tentons de revenir sur les éléments à mettre en place pour une mise en conformité en douceur.

Le DPO, ou le chef d’orchestre de la règlementation

le DPO (pour Data Protection Officer) est un véritable spécialiste du RGPD. Nommé parmi les salariés ou spécialement embauché pour ce poste, il doit veiller à la protection des données personnelles, à la mise en place de la règlementation, à la rédaction des documents essentiels et à l’application des bonnes pratiques qu’ils contiennent. Obligatoire seulement à certaines conditions, il forme les collaborateurs au respect des données personnelles. Il traite également les demandes et les plaintes en lien avec la règlementation. Sa nomination doit être faite sur le site de la CNIL via un formulaire.

 

Le BCR, un document indispensable et chronophage

le BCR (Binding Corporate Rules), ou les « règles contraignantes de l’entreprise » est un recueil des bonnes pratiques liées aux données personnelles. Y sont consignées toutes les procédures de réception, de traitement, de stockage et de suppression des données. Le BCR est également un rappel des droits des collaborateurs quant à leurs données personnelles. En libre-service au sein de l’entreprise, le BCR est consultable par l’ensemble des collaborateurs. Il peut être mis à jour et la mise en pratique de ses règles peut être audité par le DPO. Il doit être validé par la CNIL, via le formulaire de demande WP 133, disponible sur leur site internet.

 

La charte informatique, un document à ne pas négliger

plus connue, la charte informatique regroupe les règles d’utilisation du matériel informatique propre à l’entreprise. Systématiquement signée, peu lue, elle n’en reste pas moins indispensable et désormais liée au BCR. Sa précision évitera de répéter un certain nombre d’informations dans un BCR déjà très chargé.

 

Quand l’informaticien devient (définitivement) indispensable

mettre en pratique le RGPD s’avère être un parcours du combattant pour les petites entreprises. Sans un spécialiste en informatique à même de déterminer le lieu et les modes de stockage des données personnelles, ainsi que la manière de les supprimer définitivement du réseau, la tâche semble vouée à l’échec. Il devra travailler de concert avec un juriste et les entités décisionnelles de l’entreprise pour élaborer l’ensemble des documents nécessaires à la mise en conformité de leurs pratiques. Le RGPD suppose également une sécurité accrue des équipements informatiques, à commencer par la connexion internet. L’acquisition de solutions de protection efficaces et l’éducation des collaborateurs à une utilisation raisonnée de la technologie sont aussi une dimension que sous-entend la règlementation, et qu’il conviendra de ne pas négliger. Ces actions à mener sont autant de tâches chronophages, imposées à des petites entreprises qui ploient déjà sous le poids de la chose administrative. Le RGPD n’a pas fini de faire parler de lui !