Plusieurs textes ont été adoptés pour protéger les citoyens contre les détournements de données. Ces lois ne donnent pas uniquement des voies de recours aux victimes de ces délits, elles soumettent les entreprises digitales à de nouvelles obligations. Les PME ne sont pas épargnées par ces dispositions législatives. Ainsi, les dirigeants des petites structures doivent bien s’informer sur ce sujet.
Aperçu sur les lois auxquelles il faut se conformer
En France, la loi Informatique et Libertés régit les activités liées au traitement et à la collecte de données. Ce texte ne concerne pas uniquement les offreurs de services web et les sites e-commerce. Ses dispositions s’appliquent à tous les établissements qui récoltent et stockent des informations concernant sa clientèle. On peut ainsi inclure les sociétés commerciales, les banques, les hôpitaux ou les institutions publiques. Cette loi insiste sur l’importance des demandes de consentement avant toute opération de collecte. En outre, elle prévoit la création de la Commission Nationale de l’Informatique et des Libertés (CNIL) qui contrôle son application.
Au niveau européen, le Règlement Général sur la Protection des Données (RGPD) est incontournable. En vigueur depuis le 25 mai 2018, ce texte est applicable dans l’ensemble de l’Union européenne. Il oblige les entreprises à se conformer à certaines normes de traitement. Les sociétés doivent réaliser régulièrement des audits afin de détecter les vulnérabilités du système. Par ailleurs, la nomination d’un Data Protection Officer (DPO) est également obligatoire pour les grandes compagnies. La loi Informatique et Libertés a récemment subi une modification pour s’aligner aux dispositions du RGPD. Ainsi, se conformer au RGPD PME suffit pour prouver sa bonne foi face à la CNIL.
PME : les étapes à suivre pour se conformer au RGPD
Qu’il s’agisse d’une PME ou d’une grande entreprise, il est toujours conseillé de demander conseil à la CNIL avant d’entamer une mise en conformité. Cet établissement donnera des indications précises sur les étapes à suivre. Dans tous les cas, il faudra solliciter un DPO. Ce dernier est en mesure de répertorier les traitements de données en vue de créer un registre. Cette base de données facilitera la réalisation d’audits. Le spécialiste pourra offrir une formation aux administrateurs. Il enseignera aux employés les précautions à prendre pour se protéger contre les cyber attaques. Il s’agit aussi de transmettre les bonnes pratiques pour optimiser les workflows et promouvoir une gestion irréprochable.
Dans le cadre d’une mise en conformité RGPD PME, le site-vitrine de la société doit subir quelques modifications. Les conditions d’utilisation seront affichées sur la page principale. Cet élément doit être dépourvu d’éléments pré-cochés. Par ailleurs, l’adoption du protocole HTTPS est également incontournable pour éviter les tentatives de phishing.
Pour dénicher un DPO apte à superviser ces opérations, il est conseillé de contacter des agences spécialisées.