< Retour au sommaire

Êtes-vous vraiment si certain(e) de maîtriser vos obligations découlant du RGPD ?

Le Règlement général sur la protection des données, le fameux RGPD : impossible de ne pas en avoir entendu parler, à moins de s’être exilé sur un autre continent au cours des mois écoulés ! Pour autant, être sensibilisé à cette nouvelle législation ne veut pas dire automatiquement en comprendre tous les enjeux, et encore moins s’y conformer. En témoigne l’enquête qu’Acerta a menée auprès de 661 PME.

Dans 89% des PME interrogées, on considère que l’entreprise ou le métier sont concernés par le règlement européen sur la protection des données personnelles. Et 74% indiquent avoir effectué des démarches pour se mettre en conformité avec le nouveau règlement : 57% précisent avoir elles-mêmes pris des mesures et 28% ont eu recours à un consultant ou un comptable. « On ne peut que se réjouir du degré de sensibilisation des entreprises à un sujet dont, il est vrai, on a énormément entendu parler », relève Michaël Zahlen, Senior Consultant chez Acerta Consult.

Mais, on le sait également, toute la complexité réside dans une application correcte du RGPD, dès lors que celle-ci doit tenir compte du contexte et des activités de l’entreprise en question, précise-t-il. « Cette application sera, par exemple, plus complexe pour un petit cabinet médical qui opère des prélèvements sanguins ou pour une entreprise de trois personnes qui distribue un mailing à ses clients et propose un système de cartes de fidélité, que pour une firme de nettoyage ou une société de construction employant 200 personnes mais qui, elles, traitent beaucoup moins de données sensibles. »

Pas réaliste ?

Michaël Zahlen précise néanmoins que toute entreprise sans aucune exception traite des données personnelles et est donc concernée par le RGPD. « À partir du moment où l’on traite les données d’un employé, on traite des données personnelles. Et vu la complexité du règlement, je rejoins totalement les PME pour dire que c’est assez contraignant. » Ainsi, 38% des PME sondées par Acerta disent comprendre la nécessité du respect des données privées dans un cadre de ressources humaines, mais jugent que les mesures contraignantes du RGPD ne sont pas nécessaires pour y parvenir. Plus d’un tiers (36%) indiquent par ailleurs que le RGPD est bien pour les grandes entreprises, mais que le règlement n’est pas une norme réaliste pour les plus petites structures.

Les autres résultats de l’enquête conduisent à relativiser la perception de conformité que laisse entrevoir la forte sensibilisation au sujet. Plus d’un quart (27%) des PME admettent qu’elles n’ont rien fait pour être à jour, et 14% ne savaient pas qu’il y avait des mises à jour suite à la traduction du RGPD à l’échelle belge via diverses adaptations législatives. 40% s’en remettent à leur consultant ou comptable, « dont on peut douter qu’ils prennent l’initiative de les informer, par exemple, de la modification de la loi sur les caméras de surveillance », note Michaël Zahlen. Enfin, à la question de savoir « Pour quelles raisons n'avez-vous rien fait pour vous mettre en règle avec la loi ? », pas moins de 48% des répondants ont indiqué qu’ils ne savaient pas comment faire, et 39% disent qu’ils manquent de temps. Si l’autorisation expresse préalable pour le traitement des données personnelles et la tenue d’un registre de traitement sont des concepts assez connus (respectivement 74% et 65% des PME déclarant les connaître), d’autres mesures essentielles, comme le droit à l’oubli (45%) et la désignation d’un Data Protection Officer dans l’entreprise (42%) semblent moins bien acquises.

Du « sur mesure »

La sensibilisation théorique est donc une chose, l’adaptation pratique en est une autre, pointe Michaël Zahlen qui conclut par quelques recommandations. « On ne peut pas dire qu’on protège les données personnelles si on ne mène pas un exercice d’inventaire complet au niveau de l’entreprise. Il importe ensuite d’avoir un responsable du sujet en interne — qui peut être en PME le dirigeant de l’entreprise pour autant qu’il s’y soit formé et qu’il soit en mesure de se tenir au courant de l’actualité en la matière. Une politique de confidentialité des données doit être rédigée, puis signée par les travailleurs ou annexée au règlement de travail. Ensuite d’autres initiatives simples peuvent être prises, comme un règlement des usages sur internet et les réseaux sociaux. Un autre point d’attention concerne la géo-localisation des véhicules utilisée par de plus en plus de PME, par exemple dans la construction. On le voit : le degré de protection doit être aligné avec l’activité et les pratiques de chaque organisation. »

Michaël Zahlen
Senior Consultant
Acerta Consult

Sur le même sujet


< Retour au sommaire

Vous cherchez, vous trouvez!

HR Square | Revue, Infolettre, Réseau, Site web, Séminaires,...

Devenez membre maintenant!
Bénéficiez des avantages