À l’heure où vous lirez ces lignes, votre entreprise devra être en principe en conformité avec le nouveau Règlement général sur la protection des données (RGPD), issu d’une directive européenne. Entré en vigueur le 25 mai, ce dispositif figure déjà en bonne place parmi les sujets qui fâchent chez les chefs d’entreprise. Les réactions recueillies ces dernières semaines oscillent entre résignation et indignation. Si chacun, à l’heure du numérique et des scandales planétaires qui secouent les Gafa, mesure l’urgence d’une protection plus efficace de la vie privée, les modalités de la traduction en entreprise de ces principes généraux se heurtent à bien des difficultés. Il suffit pour s’en convaincre de jeter un coup d’œil au document de référence du RGPD, le fameux registre des traitements dont chaque entreprise doit désormais être équipée.
L'indispensable délégué à la protection des données
Même s’il a fait l’objet d’une récente tentative de simplification, on y retrouve tous les ingrédients qui agacent : cadre administratif rigide, obligation de tenir à jour une multitude de rubriques, suspicion a priori en cas de manquement… Le législateur a prévu que la mise en œuvre de ce règlement devait, dans certains cas sensibles, nécessiter la création d’une nouvelle fonction dans l’entreprise, le DPO (Data protection officer). Ce délégué à la protection des données sera indispensable, notamment en cas de traitement de données nominatives à grande échelle ou de manipulation de données à caractère financier, par exemple.
« Dans la pratique, les difficultés vont commencer dans les PME dès qu’il va s’agir de nommer un référent RGPD »
Dans la pratique, les difficultés vont commencer dans les PME dès qu’il va s’agir de nommer un référent RGPD, qui lui, sera indispensable pour assurer la conformité des pratiques. La lecture des qualités requises pour tenir ce poste, énumérées dans un récent article du Journal des Entreprises, donne le ton : « appétence pour le juridique, compétences IT et talents d’organisateur et de coordinateur » sont fortement recommandés. Pas certain que toutes les entreprises disposent immédiatement d’une telle perle rare. Et il y a fort à parier que si ce salarié est déjà en poste, il occupe déjà des fonctions stratégiques et ne sera pas forcément disponible pour assurer ces nouvelles fonctions.
Une réglementation qui peut coûter cher
Et pourtant. Le non-respect de la nouvelle réglementation peut - en théorie - coûter très cher, de 10 à 20 millions d’euros ou entre 2 à 4 % du chiffre d’affaires global de l’entreprise contrevenante. On voit bien que par ces montants dissuasifs, le législateur cherche avant tout à accélérer la prise de conscience sur le sujet des données personnelles. L’intention est évidemment louable. Si les services juridiques des grands groupes sont a priori équipés pour se mettre en ordre de bataille, tant sur le plan humain que technique, il en va tout autrement des PME, qui constituent l’immense majorité des acteurs économiques du pays. Le secteur du bâtiment réclame déjà des dérogations pour ses adhérents. La grogne risque au fil des semaines de se faire plus forte et de gagner de nombreux secteurs. Il serait vraiment dommage qu’un tel enjeu, si sensible dans nos sociétés démocratiques, soit ainsi victime d’un excès de procédure bureaucratique. Dans ce domaine, n’oublions pas de protéger également la pédagogie - et le bon sens.
Ce billet a été publié dans Le Journal des Entreprises n°372, juin 2018, toutes éditions.
