Comment bien gérer les données personnelles peut contribuer au développement du chiffre d’affaires de votre entreprise ?

Être conforme au RGPD : une contrainte et un atout pour développer son activité

Le RGPD, c’est quoi ?

Le RGPD est l'acronyme de Règlement Général sur la Protection des Données. Il s'agit d'un texte européen qui vise à renforcer les droits des personnes concernant le traitement de leurs données personnelles par les organismes publics et privés afin de protéger la vie privée des citoyens européens et de leur donner plus de contrôle sur leurs données personnelles.

Entré en vigueur le 25 mai 2018, il impose aux organismes de respecter des principes et des obligations, tels que

• le consentement des utilisateurs ;
• la transparence ;
• la sécurité ;
• ou encore, dans certains cas, la désignation d'un délégué à la protection des données.

Ces obligations sont souvent mal vécues par les entreprises. Ainsi, selon une étude réalisée par le cabinet KPMG en 2021, les deux tiers des entreprises, estiment que le frein principal à la mise en œuvre du RGPD est la charge de travail liée aux actions à mener.

Quels sont les risques de ne pas respecter le RGPD ?

Ne pas respecter le RGPD, c’est exposer son entreprise à des risques bien réels, même quand on est une TPE-PME.

C’est un risque financier lié aux amendes que peut infliger la Commission nationale de l'informatique et des libertés (CNIL) en cas de manquement. La CNIL a intensifié ses contrôles en 2022 et a récemment démontré qu’elle n'épargne pas les TPE-PME. Ainsi, deux médecins libéraux ont récemment été sanctionnés (6 000 € pour l’un, de 3 000 € pour l’autre) pour avoir laissé librement accessibles sur Internet des milliers d’images médicales hébergées sur leurs serveurs.

Cela devient aussi un risque commercial. Une entreprise spécialisée dans la fabrication et la vente de matériaux agricoles a été condamnée pour non-conformité au RGPD : le Tribunal a estimé que l’absence de page dédiée à la  politique de confidentialité sur son site e-commerce et de mentions légales constituait un acte de concurrence déloyale. Et un opticien a ainsi obtenu la nullité du contrat qui le liait avec l'agence web qui travaillait pour lui en invoquant le non-respect du RGPD.

Le RGPD offre aussi des opportunités pour l'entreprise

Au-delà de ces risques, ne pas respecter le RGPD, c’est aussi passer à côté d’opportunités pour développer votre chiffre d’affaires. Le RGPD n’est pas qu’une charge qui consiste à cocher des cases pour être conforme à la réglementation.

C’est un atout pour développer votre activité. La CNIL en fait d’ailleurs un des axes de son plan stratégique 2022-2024 : faire du RGPD un atout pour l'image ou la compétitivité de l'entreprise.

C'est ce que nous allons vous montrer au travers d'exemples concrets, en fonction de votre situation.

Quelles sont les opportunités offertes par le RGPD pour développer son entreprise ?

Que vos clients soient des particuliers (B2C) ou des professionnels (B2B), votre projet de mise en conformité RGPD peut devenir un élément clé de différenciation. Voici quelques exemples pour découvrir comment en tirer parti.

Les clients de votre TPE / PME sont des particuliers ?

Selon le baromètre Data Privacy Day 2023, près de 9 Français sur 10 souhaiteraient mieux comprendre et mettre en place des solutions pour protéger leurs données personnelles sur Internet. Ainsi, placer la protection des données personnelles au cœur de votre culture d’entreprise vous permet de répondre à leurs attentes.

Une démarche de protection de la vie privée dès la conception (en anglais "Privacy by Design”) permet de concevoir un produit ou un service qui soit respectueux des données personnelles dès sa conception. Cela implique de prévoir une manière de collecter le moins de données personnelles possible (en application du principe de minimisation des données collectées défini par l’article 5 du RGPD).

Le bon réflexe est de se demander ce qui est pertinent et nécessaire au regard de l’objectif poursuivi.

Par exemple, lorsqu’une personne crée son compte, ne collectez que les informations dont vous avez réellement besoin. Pour un site e-commerce, l’identité, les coordonnées et l’adresse postale sont nécessaires. Sa date de naissance et sa situation maritale surement moins. Supprimer ces champs permet de minimiser la collecte de données personnelles, et ce, dès la conception.

Jetez un œil à la politique de confidentialité mise en place par cet entrepreneur. Il a choisi de faire de la confidentialité de ses clients sa priorité.

Les clients de votre TPE / PME sont des professionnels ?

Les grands groupes s’efforcent d’être en conformité avec le RGPD pour éviter les sanctions financières de la CNIL pouvant aller jusqu’à 4% du leur chiffre d’affaires mondial. L’explosion des cyberattaques renforce ce besoin de protection des données. Car une violation des données personnelles (divulgation, piratage etc.) peut porter un coup sévère à la réputation des grands groupes. Cette pression se répercute sur leurs fournisseurs.

Si vous travaillez avec des grands comptes ou souhaitez le faire, vous êtes de plus en plus confrontés à des audits complets de leur part avant la conclusion d’un contrat. Ils vous demandent d’être en capacité d’apporter les preuves de votre sérieux en matière de protection des données personnelles et de cybersécurité. Cela devient un prérequis systématique au début d’une nouvelle relation commerciale. Être prêt à fournir l’ensemble de la documentation en matière de conformité devient ainsi un atout concurrentiel majeur pour décrocher de nouveaux contrats.

Votre TPE / PME a des difficultés à recruter ?

La crise sanitaire a renforcé la quête de sens des candidats. Ils sont de plus en plus sensibles à la marque employeur, aux valeurs prônées par l’entreprise, à la politique RSE (Responsabilité Sociétale des Entreprises).

Des données personnelles sont collectées lors du processus de recrutement. Avec la numérisation croissante de ce processus, il faut redoubler de vigilance quant à la protection des données collectées. C’est un moyen de créer un climat de confiance et valoriser votre engagement auprès de vos futurs salariés.

En informant les candidats du soin que vous prenez à respecter le RGPD, vous renvoyez l’image d’une entreprise sérieuse et responsable. Cela contribue à créer une marque employeur attractive !

La CNIL répond d’ailleurs aux questions incontournables à se poser sur le recrutement et les données personnelles dans les TPE-PME.

Quelles sont les questions à se poser pour réaliser sa mise en conformité RGPD ?

Comment faire concrètement pour se mettre en conformité au RGPD quand on est une TPE-PME et profiter des bénéfices qui viennent d’être cités dans le précédent paragraphe ? Voici un aperçu rapide des questions essentielles à se poser pour construire un programme de conformité adapté à votre situation.

Quels outils stockent des données personnelles ?

Faites la liste des outils que vous utilisez et des données que vous y enregistrez. Par exemple, si vous envoyez une newsletter à vos clients, vous stockez et traitez potentiellement les données suivantes : nom, prénom, numéro de téléphone, numéro client, date de naissance, etc.

Attention : quand vous utilisez une solution numérique américaine - dans notre exemple de newsletter - le risque qu’il ne soit pas conforme au RGPD est élevé.

Quels types de données je trouve dans ces outils ?

L'article 4 du RGPD rappelle que les données à caractère personnel sont toutes les informations se rapportant à une personne physique identifiée ou identifiable directement (exemple : nom et prénom) ou indirectement (exemple : le numéro de sécurité sociale, une adresse e-mail, l’enregistrement de conversations, adresse IP).

Même si les données se rapportant à une personne morale sont exclues, il ne faut pas oublier que derrière une entreprise se cache toujours une personne physique ! La donnée personnelle est alors relative à l’email professionnel et l’identité de la personne physique qui représente l’entreprise.

Est-ce que j’ai vraiment besoin de collecter ces données personnelles ?

Dans certains cas, la loi vous oblige à détenir certaines informations (exemple : éditer les bulletins de salaire de vos salariés) ou un contrat (exemple : émettre les factures de vos fournisseurs ou clients).

Dans les autres cas, ne demandez à vos clients et partenaires que ce qui est nécessaire à votre activité ! Réfléchissez bien en amont aux données dont vous avez vraiment besoin. Comme évoqué précédemment, le principe de minimisation exige de ne collecter que les informations indispensables à l'activité de votre entreprise. Autrement dit, moins vous collectez de données personnelles, plus vous êtes conformes.

Collecter des informations personnelles dont vous n'êtes pas capable de démontrer l'utilité pour votre activité vous expose à des sanctions. Par exemple, lorsqu'une personne souhaite s'inscrire à votre newsletter, vous n'avez besoin que de son identité et son e-mail. À l'inverse, il convient de s'interroger sur la pertinence de demander la date de naissance de la personne ou son poste.

Les questions suivantes permettent d’identifier les données personnelles de votre entreprise et surtout de minimiser les données personnelles à collecter et traiter :

• Qu'est-ce que je vais faire de ces données ?
• Pour quoi je les utilise ?
• Pendant combien de temps je les conserve ?
• Comment sont-elles sécurisées ? Qui y a accès ?

Les réponses à ces questions vont vous aider à construire votre registre des traitements de données personnelles. Ce document est obligatoire. Prévu à l’article 30 du RGPD, il constitue un outil de pilotage et de démonstration de votre conformité au RGPD. Votre entreprise doit déclarer dans ce document la manière dont elle utilise les données personnelles. Pour chaque utilisation des données (ou traitement), vous devez pouvoir renseigner les éléments suivants :

• les catégories de données personnelles concernées (par exemple, l’identité, les coordonnées, les échanges)
• les catégories de personnes concernées (clients, prospects, employés, candidats etc.)
• la base légale. Il s’agit du fondement juridique autorisant votre entreprise à collecter les informations (par exemple le consentement de la personne, en vertu d’un contrat avec un client ou en vertu de la loi).
• la finalité, c’est-à-dire l’objectif pour lequel votre entreprise collecte et utilise ces informations.
• la durée de conservation, c'est-à-dire une estimation du temps du moment où votre entreprise compte supprimer les données.
• les personnes ayant accès aux informations, c’est-à-dire à la fois les personnes (ou services) au sein de votre entreprise mais à la fois les outils utilisés pour gérer ces données : le service de messagerie, la solution de stockage utilisée, les bases de données internes, les solutions tierces (par exemple les outils Saas), etc.

Comment je peux faire pour mettre mon site web en conformité RGPD ?

Un site web recueille généralement des données personnelles sur ses utilisateurs. En particulier si vous utilisez des outils de mesure du trafic qui récoltent des informations sur le parcours de l’utilisateur sur le site. Pour ce type de données, un consentement est obligatoire via les fameux cookies !

Les sites e-commerces, notamment ceux basés sur les outils tels que Shopify, Prestashop ou Magento collectent beaucoup de données personnelles liées aux comptes utilisateurs, en particulier les données bancaires des clients pour lesquels le consentement, le contrat ou l'intérêt légitime, peuvent justifier la collecte de ces informations.

En tout état de cause, 3 actions doivent être mises en œuvre en priorité :

1. Afficher une bannière pour recueillir le consentement des internautes : en utilisant une solution appropriée si vous placez des cookies (ou traceurs) en vue de mesurer l’audience de votre site. A noter : la CNIL a identifié des solutions permettant de s’affranchir du recueil du consentement.
2. Informer les internautes de la manière dont vous traitez leurs données personnelles et comment vous assurez leur protection : en rédigeant votre politique de confidentialité. Les mentions obligatoires sont listées dans l’article 13 du RGPD. Voici un exemple de politique de confidentialité.
3. Donner la possibilité aux internautes d’exercer leurs droits sur leurs données personnelles : un des éléments les plus importants du RGPD.  En pratique, l’internaute doit pouvoir vous faire parvenir sa demande facilement (formulaire en ligne, coordonnées dédiées).

Évaluez l’approche la plus adaptée à votre entreprise pour vous mettre en conformité avec le RGPD

Se lancer seul ou être accompagné ?

Se mettre en conformité quand on est une TPE-PME est un projet que vous pouvez mener seul. Cela nécessite de se poser les bonnes questions, en particulier si vous avez peu de moyens financiers et humains à dédier à cette tâche.  La CNIL a regroupé de nombreuses ressources pour vous accompagner dans cette démarche :

• TPE-PME

Attention, en fonction de votre activité,  la gestion d’un tel projet peut vite s'avérer chronophage et coûteux et faire peser des risques non négligeables en cas de non-conformité liés à une mise en œuvre insuffisante ou inadaptée. C’est pourquoi, il peut être judicieux de se faire accompagner.

Classiquement, il est possible de faire appel aux services de cabinets d’avocats et de cabinets d’audit spécialisés en matière de protection des données personnelles et de mise en conformité. Cependant, le recours à cette solution nécessite souvent des moyens financiers conséquents.

Pour répondre à cette problématique, il est aussi possible d'utiliser une solution en ligne dédiée à la gestion des données personnelles.  Généralement proposés en Saas, ces outils permettent, le plus souvent, à la fois d’automatiser un certain nombre de tâches et de bénéficier d’un accompagnement personnalisé.

Enfin, dans certains cas, votre structure peut être également obligée de nommer un délégué à la protection des données personnelles (souvent appelé “DPO”). Celui-ci peut être en interne à l'entreprise ou en externe.

Toutes ces solutions peuvent se cumuler ou non. La réponse dépendra de votre besoin et de vos ressources.

Pour évaluer quelle voie retenir, prenez en considération :

• le volume de données à traiter ;
• le caractère sensible des données traitées (origines raciales, opinions politiques, convictions religieuses, données génétiques et données de santé) ;
• et les éventuelles obligations d’avoir un DPO. 

Ensuite, intégrez les critères propres à votre entreprise comme le budget et le temps que vous pouvez allouer à ce projet ou encore la présence de compétences suffisantes en interne ou pas pour traiter ce sujet réglementaire (et surtout la motivation à gérer un tel projet seul !).  

Nous détaillons ci-dessous deux des options possibles : s’équiper d’un logiciel SaaS RGPD ou dédier des ressources humaines à la gestion du projet.

Utiliser des outils numériques pour vous aider à mieux gérer ?

Gérer la conformité RGPD de façon manuelle risque de devenir source d’erreurs si vous collectez un volume important de données. Vos équipes devront réaliser des successions de tâches manuelles : de la réception d'une demande d’exercice de droit en passant par son traitement jusqu’à la confirmation à l'utilisateur que sa demande est traitée.

Le travail peut être aussi très chronophage et représenter un coût non négligeable. notamment en raison des demandes de droit d'accès que vos clients peuvent effectuer afin de s'assurer que vous respectez leurs droits. Ainsi selon la dernière édition du Baromètre de la confiance des Français dans le numérique de l’ACSEL, près d’un quart des consommateurs veulent avoir l’assurance que leurs données sont bien supprimées s’ils en font la demande.  

Par exemple, si vous lancez votre e-boutique, vous allez nécessairement être amené à manipuler les données personnelles de vos clients… Vous recevrez donc des demandes de suppression de données. Ce type de demande nécessite d'intervenir sur vos différents outils pour supprimer la données où elle est présente : le site e-commerce, l'outil de gestion de la relation-client (CRM), la solution de paiement, l'outil de gestion de newsletter, etc... Le temps passé sur chaque demande est estimé à environ 30 minutes à chaque fois…

Si vous recevez environ 20 demandes d’exercices de droits par mois en lien avec votre e-boutique, le coût total annuel pour gérer ces demandes s’élève à plus de 500 euros par mois, soit près de 7.000 euros à l’année.

Des solutions technologiques existent pour simplifier la gestion de votre conformité RGPD en automatisant ces processus souvent répétitifs et coûteux comme la demande d’exercice de droit.  Ces outils de gestion des demandes d’exercice des droits sont accessibles dès 200 euros par mois et permettent de piloter la conformité RGPD dans sa globalité (registre de traitement, exercice de droits, sécurité etc.).

Utilisez ce calculateur pour faire votre propre estimation du coût annuel des demandes d’exercice de droit et confrontez cela au coût annuel d’un outil d’automatisation.

Pour faciliter votre mise en conformité, un logiciel spécialisé RGPD est donc une option à étudier. Comparez plusieurs outils en fonction de son coût, de son expérience utilisateur et de son service après-vente pour choisir celui qui correspond le mieux à l’activité de votre entreprise.

Dédier des ressources à la gestion de la conformité RGPD

Désigner un délégué à la protection des données (DPD ou DPO en anglais “Data Protection Officer”) n’est généralement pas obligatoire pour les TPE et PME pour être en conformité mais cela permet :

• de s’assurer de la bonne gestion de la conformité RGPD de l'entreprise ;
• et de sécuriser la collecte et le traitement des données personnelles.

Avoir un interlocuteur privilégié est d’ailleurs fort utile dans 3 situations :

• pour répondre aux demandes d'exercices des droits y compris toutes demandes d'informations.
• en cas d'incident sur les données personnelles (piratage, vol, fuite, accès non autorisé, destruction, altération etc.). Pour ces "violation de données", le RGPD prévoit que le DPO doit être l'interlocuteur de référence pour en informer la CNIL et les personnes concernées.
• en cas de contrôle, le DPO est la personne la plus à même de répondre aux questions de la CNIL, d’envoyer la documentation et de suivre la procédure.

Qui désigner en tant que DPD ? Il n’y aucune obligation de diplôme ou de champ d’expertise pour devenir DPD. La seule limite réside dans le conflit d’intérêt. Ainsi le DPD ne peut pas cumuler ce rôle avec une fonction dirigeante au sein de la Direction Marketing, de la Direction des Ressources Humaines ou de la Direction des Systèmes d’Information… Mais cela peut être le dirigeant ou l’un des salariés. Vous pouvez aussi envisager d’externaliser la fonction via des prestataires spécialisés.

Le conseil des experts

En conclusion, respecter le RGPD, c’est l’occasion de transformer une obligation réglementaire en levier de croissance pour votre entreprise en se posant les bonnes questions en amont et en mettant en place ensuite l’organisation adéquate pour assurer la réussite de votre projet de mise en conformité.

Alors maintenant que le RGPD n’a plus de secret pour vous, qu’attendez-vous pour valoriser votre fichier client?

Fiche pratique réalisée par Leto et Charmat Method, activateurs France Num. Charmat Method conseille les TPE-PME sur les solutions digitales à intégrer pour transformer obligations en leviers de croissance. Leto est un logiciel RGPD en mode SaaS qui permet de cartographier automatiquement les données personnelles collectées via des outils et propose une saisie intelligente du registre de traitements.

En savoir plus

• Entreprises : comment mettre en œuvre les droits des utilisateurs conformément au RGPD ?
• RGPD : Comment se mettre en conformité ? Mode d'emploi par la CNIL et Bpifrance
• Modèle de registre simplifié RGPD par la CNIL
• Guide de la sécurité des données personnelles de la Cnil : la référence pour les professionnels