Près de 18 mois après l’entrée en vigueur du Règlement général sur la protection des données à caractère personnel (RGPD) en Europe, les entreprises poursuivent leur mise en conformité. Un exercice plus ou moins difficile selon qu’elles soient grand groupe ou PME.

Entré en vigueur en mai 2018, le RGPD oblige les entreprises et organisations manipulant des données personnelles en Europe à revoir leurs pratiques numériques. Pour appliquer ce règlement, la Commission nationale de l’informatique et des libertés (Cnil) conseille de constituer un registre des opérations de collecte de données, de ne recueillir que les données nécessaires à son activité, de respecter le droit des personnes en matière de consultation, de rectification ou de suppression et de sécuriser convenablement ces informations.

Lentement mais sûrement. Opérateur d’infrastructures IT et hébergeurs de données, Fullsave (40 salariés, 6,7 M€ de chiffre d’affaires 2018, siège à Labège - 31) n’a pas eu grand mal à s’adapter à la nouvelle législation. « Cela n’a pas changé les process en interne car, travaillant en B to B, nous étions déjà dans l’esprit RGPD, explique Laurent Bacca, président. Notre principal travail est d’accompagner les clients qui stockent des données chez nous. Nous nous assurons qu’ils étudient le sujet, ce qui est le cas pour tous à présent. » Lentement mais sûrement, la conversion s’opère. « C’est un processus long à mettre en œuvre, ajoute-t-il. Ceux qui vendent des solutions clefs en main sont des bonimenteurs. » « Ce sont des processus de fond qu’il faut maintenir chaque jour, tant sur la conformité RGPD que sur la sécurité des donnés, personnelles ou non », confirme Sabrina Feddal, fondatrice du cabinet gardois Probe I.T. Car pour cette experte en cybersécurité, le RGPD est l’occasion de « mettre son entreprise à niveau en matière de sécurité informatique ». De plus, remarque-t-elle, « la mise en conformité permet de nettoyer ses bases de données et d’avoir des prospects qualifiés ».

Asymétrie de moyens. « Sans traitement licite des données, pas de mise en valeur de celles- ci », renchérit France Charruyer, avocate toulousaine. Cofondatrice du cabinet d’avocats Altij, celle-ci met cependant en garde contre l’asymétrie de moyens entre grandes et petites entreprises. « Le RGPD est en train de rater sa cible, estime-t-elle. Les grands groupes ont les moyens de s’adapter mais pas les PME qui n’ont ni délégué de protection des données, ni direction informatique pour se mettre en conformité. Les petites entreprises risquent d’être éliminées du marché. Il faudrait mettre en place un Pass Data pour les aider à se mettre en conformité. » De fait, l’investissement nécessaire est parfois difficile à engager pour de petites structures. « Dépenser plusieurs milliers d’euros pour une mise en conformité, c’est beaucoup pour nous, confirme l’adjointe de direction d’une PME héraultaise de 13 salariés. Un délégué de protection des données a été nommé et nous avons fait le minimum légal pour montrer que le processus était enclenché, mais le chantier n’a pas beaucoup évolué depuis un an. Nous profiterons de la prochaine refonte de notre site internet pour nous mettre complètement en conformité. » Un risque assumé alors que la Cnil a rappelé l’achèvement en 2019 « de la phase de transition entre l’ancienne législation et le RGPD », axant à présent son action entre pédagogie et dissuasion. En France, 48 entreprises ont reçu des mises en demeure en 2018. Onze ont été sanctionnées.