TPE en démarrage : pensez Privacy by Design !

Nolwenn Le Bras, consultante Management et Protection des données personnelles chez Ageris, a animé, fin 2018, pour Technopole Martinique, un Atelier de la Jeune Entreprise ayant pour thématique : « RGPD : comment l’appliquer au sein d’une TPE en démarrage ? ».
Elle y a livré de précieux conseils à la dizaine de participants !
 

Le recueil et le traitement des informations, que vous, ou vos prestataires, pouvez être amenés à collecter dans le cadre de votre démarche entrepreneuriale, et qui peuvent sembler anodines, est encadré par la Commission Nationale de l’Informatique et des Libertés (CNIL).
Le 25 mai 2018, le règlement européen (RGPD – Règlement Général sur la Protection des Données) est entré en application et encadre le traitement des données personnelles sur le territoire de l’Union européenne.
 

De nombreuses formalités auprès de la CNIL disparaissent ainsi. En contrepartie, la responsabilité de votre organisme est renforcée. Vous devez désormais assurer une protection optimale des données à chaque instant et être en mesure de la démontrer en documentant leur conformité.
Mais en tant que TPE qui démarre, comment intégrer ces obligations dès vos premiers pas ?
 

Après avoir étudié la faisabilité de votre projet, vous avez enfin effectué les démarches administratives pour faire le saut vers l’entrepreneuriat ! Gérer et structurer votre entreprise, communiquer, trouver vos premiers clients, sont autant d’activités qui occupent le plus clair de votre temps. Vous commencez par la même occasion à consigner des données : un fichier pour les prospects, un pour les clients. Vous mettez à disposition des internautes qui visitent votre site web un formulaire de contact. Peut-être avez-vous déjà des salariés ou des prestataires à propos desquels vous stockez des données.
 

La notion de « données personnelles » est à comprendre de façon très large. Une « donnée personnelle » est « toute information se rapportant à une personne physique identifiée ou identifiable ». Un traitement de données doit avoir un objectif : vous ne pouvez pas collecter ou traiter des données personnelles juste « au cas où ». Chaque traitement doit avoir un but légal et légitime au regard de votre activité professionnelle.
 

Respecter la vie privée dès la conception et le choix de vos outils de gestion est donc primordial.
C’est le leitmotiv du concept de « Privacy by Design ». L’objectif : garantir que la protection de la vie privée soit intégrée dans les nouvelles applications technologiques et commerciales dès leur création. Pour chaque nouvelle application, produit ou service traitant des données à caractère personnel, les entreprises et autres responsables du traitement doivent réfléchir à offrir à leurs utilisateurs ou clients le plus haut niveau possible de protection des données.
 

Négliger les questions de « Privacy » peut avoir des conséquences graves pour votre entreprise (poursuites judiciaires, vols de données, perte de notoriété…). Il est aujourd’hui d’autant plus facile pour les particuliers de déposer plainte auprès de la CNIL, que le RGPD impose aux gestionnaires d’informer les personnes sujettes à de la collecte de données sur cette possibilité de recours.
 

Le site internet de la CNIL (www.cnil.fr) propose des ressources en ligne ainsi qu’une assistance si vous recherchez plus d’information où souhaitez bénéficier d’une assistance.
 

Si malgré vos efforts, une plainte est déposée à votre encontre, ne paniquez-pas ! La CNIL se rapprochera dans un premier temps de vous pour tenter de vous accompagner vers une régularisation.
 

Attention : Un traitement de données personnelles n’est pas nécessairement informatisé. Les fichiers papier sont également concernés et doivent être protégés dans les mêmes conditions.