emlyon junior conseil

Deux ans après la loi RGPD, comment les entreprises se sont-elles adaptées ?

04/06/2020
image représentative de l'article sur la RGPD par l'emlyon junior conseil

Le 25 mai 2018, le Règlement Général sur la Protection des Données, aussi appelé RGPD et voté par la Commission Européenne, entre en vigueur. Ce texte uniformise le traitement et le stockage des données sur l’ensemble du territoire de l’Union européenne. Deux ans après son adoption, emlyon junior conseil revient sur l’adaptation des entreprises à cette nouvelle règle. 

Des mesures appliquées inégalement

Parmi les différentes structures d’entreprises, les PME sont celles qui connaissent le plus de difficultés à mettre en place la loi RGPD. L’entreprise doit fixer une durée de conservation, pour chaque type de données récoltées. De même, il est nécessaire d’informer chacun des clients de la liste des données conservées qui le concerne. 

Selon le type d’entreprise, ses procédures et son équipe, cette obligation peut représenter un travail colossal. Les PME n’ont pas nécessairement les ressources financières pour engager un spécialiste. Elles doivent donc souvent se former en autonomie. Cela peut s’avérer compliqué et énergivore pour une entreprise de cette taille. 

Pour les PME qui choisissent d’embaucher un spécialiste, ce dernier va souvent faire face à de nombreuses difficultés. C’est un métier transversal qui nécessite d’échanger avec tous les services de l’entreprise. Néanmoins, cette problématique du RGPD est rarement une priorité pour les collaborateurs à l’emploi du temps souvent déjà chargé. 

Pour les ETI et les grandes entreprises, la quantité de données collectées est généralement l’obstacle majeur au bon fonctionnement du RGPD. C’est en analysant secteur par secteur qu’on peut identifier la difficulté d’application de ces mesures.  

13 200 entreprises créées en 2019 sont spécialisées dans le secteur de l’information et créatrices d’applications (étude de l’INSEE sur la création d’entreprise en 2019). Ce sont principalement ces entreprises dans les nouvelles technologies qui sont les plus touchées par cette mesure. La grande majorité d’entre elles possède un modèle économique fondé sur une équipe réduite. La mise en place de ces mesures a parfois nécessité de nouveaux recrutements, voire une réorganisation complète des process et des équipes. Il s’agit de nommer le fameux DPO (Data Protection Officer) qu’impose la loi RGPD.

Un objectif atteint: pousser les efforts et sensibiliser à la cause

Malgré la difficulté d’application de certaines mesures, la CNIL (Commission Nationale de l’Informatique et de la Liberté) est plutôt satisfaite de l’application de la loi. En 2019, elle se félicite que 19 000 délégués à la protection des données aient été désignés par plus de 53 000 organismes.  

On comprend donc que ce texte a pour effet premier de sensibiliser les entreprises à la protection des données. L’objectif aujourd’hui est de faire prendre conscience à chaque entreprise de l’importance de la protection des données personnelles. Il s’agit aussi de pousser chacune d’entre elles à instaurer des mesures à son échelle afin de garantir au mieux la protection des données de ses clients.

Comment les entreprises font-elles aujourd’hui ?

La plupart des entreprises profite du “flou” qui entoure la loi. Pour rappel, le texte RGPD contient quatre impératifs: 

  • Constituer un registre répertoriant les données stockées ;
  • Trier les données ;
  • Permettre aux clients d’exercer leur droit d’accès, d’effacement ou de modification des données ;
  • Sécuriser les données des clients. 

Pour cela, les entreprises sont tenues d’affecter un responsable RGPD. 

Aujourd’hui, seules les entreprises présentant des problématiques centrales autour du RGPD, comme Facebook par exemple, embauchent un juriste et/ou un informaticien comme délégué RGPD, comme le recommande l’Union européenne. A côté de cela, la majorité des autres entreprises optent pour la formation en interne d’un employé car de nombreuses fiches pratiques existent sur l’application de la loi – nous vous conseillons par exemple: RGPD: Par ou commencer.  

RGPD : par où commencer (CNIL)

En ce qui concerne le registre de stockage des données, si l’Union européenne en fournit un exemple type, il n’est cependant pas obligatoire. Par conséquent, les PME et ETI choisissent pour la plupart d’adapter leur modèle de registre à ce qui est facilement accessible pour leurs entreprises. Elles suppriment alors certaines catégories telles que la durée de conservation des données ou l’identité de ceux qui ont accès aux données. 

Le respect du droit des personnes représente une des mesures les plus compliquées à instaurer. La manière la plus simple de procéder reste d’écrire une procédure simple à appliquer en interne, pour gérer ce type de demande. La procédure doit être relue et corrigée par chaque service de l’entreprise. Ainsi, il est possible de confirmer que cette mesure est applicable dans chaque service ayant accès à des données utilisateurs. 

Quelle que soit la démarche que vous choisissez d’adopter, emlyon junior conseil peut vous accompagner dans l’audit, le suivi ou la mise en place de la procédure RGPD. Appuyé d’une équipe de juriste à portée de main, nous saurons vous conseiller sur la meilleure manière à adopter pour appliquer la loi RGPD en fonction de votre structure. N’hésitez pas à nous contacter.