RGPD, le poil à gratter des TPE/PME !
webadmin.fr poursuit ses recherches de partenariats afin de proposer les services les plus complets d’une agence web et RGPD est souvent négligé par celles-ci.
J ’ai rencontré Stella Manga Chesnay à l’occasion de formations créer son site web en 2 jours.
Stella, qu’est-ce que RGPD ?
« C’est le Règlement Général sur la Protection des Données, entré en vigueur le 25 mai 2018. C’est un règlement européen qui vise à renforcer la protection des données à caractère personnel dans l’Union Européenne et qui doit garantir l’accès de chacun à ses données personnelles, où qu’elles soient enregistrées. »
Comment en es-tu venue à t’occuper de ce sujet pointu et négligé par les TPE/PME ?
« J’ai une formation de juriste avec un Master en droit bancaire, des affaires, de la finance et des valeurs mobilières que j’ai complété en 201x avec un Master 2 en droit de l’environnement, de la qualité et de la sécurité dans les entreprises à l’Université de Paris-Saclay.
Je suis originaire du Cameroun et après une carrière salariée de plusieurs années à Dubaï aux Émirats Arabes Unis, je suis venue m’installer en France en 2013 où j’ai travaillé dans plusieurs cabinets d’avocats et cabinets conseil. J’ai été amenée à travailler sur les problématiques RGPD qui ont été prises en compte très tôt par les grandes entreprises qui y ont vu aussi un facteur de gain de crédibilité et de différenciation concurrentielle. Je me suis demandé alors comment on pouvait intéresser les TPE/PME à RGPD alors que le plus souvent elles n’avaient pas les budgets nécessaires et ne se sentaient pas concernées.
Comme je nourrissais depuis longtemps l’idée de créer ma propre société, j’ai sauté le pas en 2019 et j’ai créé mon cabinet conseil, SMC Compliance, spécialisé dans l’accompagnement RGPD des petites entreprises et des petites structures, car les associations aussi sont concernées. »
Que conseilles-tu aux TPE/PME en matière de RGPD ?
« De se mettre en conformité ! Car contrairement à ce qu’elles peuvent penser elles sont concernées de la même manière que les plus grosses sociétés et surtout, la CNIL, qui est l’autorité en charge de faire appliquer la loi, contrôle maintenant aussi bien les petites que les grosses entreprises. »
Quelles sont les sanctions ?
« Des amendes pouvant atteindre 4% du chiffre d’affaires annuel. J’ai l’exemple récent d’une PME de 7 personnes qui a dû payer 20 K€ d’amende pare que des caméras de surveillance filmaient des personnes en dehors du périmètre autorisé. La CNIL a aussi des outils de surveillance des sites web non conformes. Les entreprises prises en faute le sont le plus souvent par dénonciation ou parce que la CNIL a lancé une campagne ciblée sur une catégorie d’activité suite à des manquements constatés.
Les premières entreprises visées sont celles qui manipulent des données dites sensibles : données de caractéristiques physiques à caractère médical ou non, données politiques ou financières… Mais toutes les données à caractère personnel comme le simple enregistrement d’adresses mail ou de numéros de téléphone sont concernées, sur un ordinateur comme dans un téléphone portable ou un simple ficher papier ou encore un classeur de cartes de visite. Or toutes les entreprises enregistrent des données clients et fournisseurs nominatives. Elles doivent les sécuriser, les crypter, signaler à la CNIL toute perte ou fuite et en donner accès aux personnes concernées qui doivent pouvoir demander à les supprimer. »
Concrètement que proposes-tu aux entreprises, selon quelles étapes et quel calendrier ?
« Je propose d’abord des formations de sensibilisation sur 4 heures qui peuvent être mutualisées entre plusieurs sociétés.
Ensuite je propose de réaliser un audit qui peut durer entre une demi-journée pour un micro-entrepreneur et 2 jours pour une PME. Cet audit vise à cartographier les données enregistrées. Où sont-elles situées, qui y a accès et comment, quelles sont les mesures de sécurité, quels sont les traitements effectués. Les livrables sont le registre de traitement des données personnelles demandé par la CNIL et un rapport de préconisations à mettre en œuvre qui couvre aussi bien des solutions logicielles que des solutions physiques de contrôles d’accès.
Enfin je peux accompagner et piloter le processus de mise en conformité, et mettre à jour le registre au fur et à mesure en tant que Délégué à la Protection des Données (DPD ou DPO en anglais). »
Combien ça coute ?
Donner des fourchettes de tarifs.
Comment te tiens-tu informée des évolutions ?
« Par la CNIL bien sûr et en suivant la jurisprudence. »
Qu’est ce qui peut pousser à te consulter toi plutôt qu’un autre dans un marché aujourd’hui pléthorique ?
« Dans un domaine où aucune certification n’est requise on trouve des propositions discutables et peu crédibles. Il y a même des sites Internet qui vous proposent d’être conforme en 3 clics ! Je compte sur mon expérience de juriste et sur ma profonde connaissance du sujet pour faire la différence. »
Stella, mariée, deux enfants, se veut une femme moderne et dynamique, sportive et combative à tous les sens du terme (elle pratique la boxe thaï). Elle est pleinement intégrée et engagée dans la vie économique et sociale avec une expérience internationale précieuse. Elle saura à la fois vous rassurer et vous conseiller avec une bienveillance toute féminine dans un domaine qui soucie nombre d’entrepreneurs et leur fait courir un risque financier non négligeable.