Vous êtes ici : AccueilMots clésRGPD TPE / PME

RGPD TPE / PME

 

Le RGPD exempte, limite un certain nombre d’obligations pour les TPE / PME.

Cela ne signifie aucunement qu’il faut en déduire que les entreprises concernées sont exemptées de toutes obligations…

Dans les FAQ ci-dessous nous ne donnons que quelques exemples des nombreuses situations auxquelles l’entreprise va se trouver confrontée.

 

L’audit est-il obligatoire, nécessaire pour s’assurer de la conformité à la RGPD ?
Oui, une “cartographie” de votre entreprise, de son fonctionnement doit être réalisée dans le cadre de l’audit pour vous indiquer les tâches à mettre en œuvre pour être en conformité.

La conformité une fois obtenue est-elle valable de manière permanente ?
Non, pour maintenir cette conformité vous devez vous assurer par les conseils d’un spécialise (DPO externe ou d’un avocat spécialisé) que chaque projet, action, traitement direct ou indirect sera ou est en conformité avec la RGPD.
Il doit exister une relation permanente entre le dirigeant de l’entreprise et le DPO qui doit être tenu au courant, participer à tout ce qui concerne ou pourrait concerner les données personnelles.

Les contrats que nous serions amenés à signer avec des fournisseurs doivent-ils être pour ce qui concerne le traitement des données soumis au DPO ?
Oui, parce que dans le cas contraire, s’il s’avérait que le fournisseur ne respecte pas la RGPD, ce serait un motif de perte de conformité pour votre entreprise.
Un seul critère ne respectant pas la RGPD peut-être à l’origine d’une déclaration de non-conformité avec les conséquences financières correspondantes.

Le dirigeant de l’entreprise peut-il lui-même déclarer son entreprise être en conformité après avoir étudié le RGPD ?
Oui dans la théorie, mais avec un risque important d’être pénalement et financièrement sanctionné si dans le cadre d’un contrôle les autorités compétentes constatent qu’il s’est avéré que cette déclaration ne s’appuyait pas dans les faits sur à la fois des compétences ni sur des mises en œuvre qui auraient dû être réalisées.

Si le dirigeant en exercice de l’entreprise décide de gérer la RGPD où devrait-il déclarer, à ses dires, sa conformité ?
Uniquement dans ses documents officiels, mentions légales, CGV / CGS. Il n’y a pas, plus de déclaration à faire à la CNIL pour un site par exemple “vitrine”, mais dans tous les cas si des données personnelles sont utilisées, traitées, détenues par l’entreprise la création et la mise à jour d’un registre des traitements vérifiable par la CNIL doit impérativement être mis en place.
La mise à jour de tous les registres des différents traitements doit se faire au fil de l’eau, c’est à dire dès que le changement est intervenu, dans le contexte de l’entreprise, mais pas une semaine après.

Le dirigeant peut-il être le DPO de son entreprise ?
Non

Le DPO est-il obligatoire dans une TPE / PME ?
Non, sauf cas particulier, mais un DPO professionnel externe dans le cadre d’une prestation adaptée à l’entreprise, offre un confort de travail et une tranquillité d’esprit.
La CNIL recommande fortement qu’un DPO soit désigné, sa présence offre un confort de travail qui laisse l’entreprise libre de sa créativité tout en sachant qu’un “garde-fou” est présent.

Y a-t-il obligatoirement un responsable des traitements ?
Oui, c’est le dirigeant en exercice. Une délégation de cette fonction et des responsabilités qui y sont rattachées peut être  prévue au contrat et à la fonction de DPO.

Peut-il y avoir une délégation externe de la fonction des traitements, toujours sous la responsabilité principale du dirigeant, sans qu’il y ait un DPO dans l’entreprise ?
Ça va être délicat…bien que le DPO ne soit pas, sauf cas particuliers, obligatoire dans les TPE / PME, il doit y avoir une supervision de ce que fait, propose de faire sur la demande du dirigeant, du responsable du marketing, du DRH… le responsable des traitements.
Dans ce cas qui va le valider, le dirigeant ? A-t-il réellement les connaissances nécessaires. A notre sens c’est prendre un gros risque.
EDP ne le prendrait probablement pas.

Est-il toujours possible de solliciter, d’informer des prospects de nos offres commerciales, de nos nouveaux articles ou services dans le cadre d’une prospection commerciale par mail ou sms ?
Non, il vous faudra obtenir leurs consentements préalables dans le cadre d’un formulaire que vous mettrez en place sur votre site, ou blog…et qui devra clairement définir les conditions du consentement demandé au consommateur. Il existe toutefois des exceptions que nous ne traiterons pas ici, mais le principe de base est bien celui de l’obtention du consentement préalable. Vous pouvez lire également ce paragraphe dédié au sujet de la prospection commerciale.

 

RETOUR AU COCKPIT

 

 

Votre entreprise a subi une violation de données (des données personnelles ont été, de manière accidentelle ou illicite, détruites, perdues, altérées,divulguées ou vous avez constaté un accès non autorisé à des données) ?
Vous devez le signaler à votre DPO, et en absence de DPO à la CNIL dans les 72 heures si cette violation est susceptible de représenter un risque pour les droits et libertés des personnes concernées.
Si ces risques sont élevés pour ces personnes, vous devrez les en informer.

 

 

Euro Data Protection  et Sirpac Informatique sont des marques du Groupe Sirpac SAS