Un guide pratique CNIL/ Bpifrance pour faire avaler le RGPD aux PME
A J-38 de l’entrée en application du RGPD, la CNIL s’associe à Bpifrance afin d’aider mes PME de se mettre en conformité avec le nouveau règlement européen relatif à la protection des données personnelles. Un guide pratique peut-il suffire ?
Trop peu, trop tard, c’est un peu le sentiment laissé par l’annonce conjointe réalisée par la CNIL et Bpifrance autour de l’accompagnement des TPE/PME françaises. Les deux partenaires viennent de publier un guide de sensibilisation de 32 pages destiné aux patrons de PME quelque peu désemparés devant le battage médiatique fait sur l’entrée en vigueur prochaine du règlement européen sur la protection des données personnelles.
Car si l'on sait que le RGPD vise avant tout à protéger les internautes européens contre les abus des géants du net et des réseaux sociaux, celui-ci va aussi s’appliquer aux 4 millions d’entreprises françaises dont les moyens informatiques sont bien plus modestes.
Mounir Mahjoubi monte au créneau pour défendre les espoirs soulevés par le texte
L’initiative est louable, car ces entreprises n’ont souvent pas de DSI dédié et encore moins de DPO nommé, donc personne susceptible d’ingurgiter le texte européen et les textes de loi qui sont toujours en discussions. Le guide édité par la CNIL et Bpifrance se veut didactique.
Mounir Mahjoubi, secrétaire d’état au numérique, qui assistait à la conférence de lancement de ce guide, a ainsi souligné : « la loi française n’est pas encore votée, mais les débats au parlement sont très actifs et expriment d’un côté les inquiétudes liées à ce règlement, mais aussi les espoirs qu’il soulève. […] Ce règlement va entrer dans nos vies avec ces possibilités de portabilité, d’accès aux données, de transparence, de valorisation. De l’autre côté, on a un questionnement pour ceux qui vont avoir à porter cette transformation, les entreprises. Ces questionnements ne sont pas uniquement liés à la peur quant à l’application du RGPD, ils sont aussi liés à l’espoir de générer de la valeur sur ces données. Pour les PME, les entreprises, ce nouveau règlement, c’est à la fois des obligations qui sont proportionnées en fonction de la taille de l’entreprise ; pour la PME qui n’a pas de fichiers de données personnelles, le RGPD c’est très peu d’obligations nouvelles. Pour une très grosse entreprise dont la majorité de l’activité est basée sur le traitement de données personnelles, il y aura beaucoup plus d’obligation ».
Le secrétaire d’état estime que le RGPD, en poussant les ComEx des entreprises à mettre la problématique de la donnée sur la table va permettre une prise de conscience de l’importance de la donnée. « Cette prise de conscience, imposée par le droit, c’est une très grande opportunité offerte aux entreprises européennes pour prendre le virage de la transformation numérique par la donnée. Le faire dans un équilibre entre valorisation d’un côté et protection de l’autre est essentiel. Pour les plus petites PME qui n’ont pas accès à un cabinet de conseil, un juriste pour les aider, les obligations peuvent être comprises par les dirigeants de l’entreprise, ce guide permet d’en saisir les enjeux et estimer comment se saisir de cette accélération ».
Isabelle Falque-Pierrotin veut désamorcer le marketing de la peur
Le guide pratique de la CNIL et de Bpifrance doit donc aider les entreprises dans leur compréhension de la portée réelle du RGPD, notamment alors que les chefs d’entreprise sont confrontés à la communication alarmiste des ESN et des éditeurs de solutions « RGPD ready » qui agite le spectre d’amendes colossales en cas de non-conformité.
Isabelle Falque-Pierrotin, présidente de la CNIL a tenu à préciser : « évidement, le régulateur qu’est la CNIL ne va pas fondre sur les acteurs à partir du 25 mai ! Nous allons collectivement suivre une courbe s’apprentissage, et il est évident que, pour les petites et moyennes entreprises, nous prendrons en compte ce nécessaire apprentissage et les accompagnerons. La position actuelle de la CNIL est de faire connaître les nouvelles obligations lorsqu’elles s’appliquent à ces acteurs. Le régulateur aura vis-à-vis des acteurs notamment les plus petits une activité de régulation pragmatique et réaliste ».
Si l’effort de pédagogie de la CNIL est notable, avec des représentants présents dans de très nombreux événements IT ou métiers afin d’expliquer les tenants et aboutissants du RGPD, force est de constater que mettre en ligne un pdf est bien insuffisant pour aider des patrons de PME déjà confrontés à des réglementations européennes et nationales dignes de Kafka et un contexte économique notoirement difficile, notamment dans l’industrie ou la distribution.
La publication de ce guide est à mettre en regard des publications de l’ANSSI. L’Agence nationale de la sécurité des systèmes d'information cherche de son côté à éveiller le même public aux dangers liés à la cybersécurité et force est de constater que, guides après guides, nos PME restent extrêmement exposées au risque cyber et se retrouvent en première ligne lors des attaques de maliciel.
Bpifrance ambassadeur du RGPD auprès des entrepreneurs
Si le rôle des membres de la CNIL n’est certes pas d’aller dans les PME pour déployer des logiciels de chiffrement et rédiger les procédures de traitement des données à la place des dirigeants, Bpifrance compte jouer un rôle de conseil auprès des créateurs de startups qui ont recours à ses services.
Pour sa part, Nicolas Dufourcq, directeur de Bpifrance s’est montré quelque peu lyrique quant à l’entrée en vigueur prochaine du RGPD : « nous sommes en contact chaque année avec 50 000 entrepreneurs en tête à tête, et nous pouvons leur faire passer ce message que si, c’est vrai, les réglementations qui tombent verticalement sont des contraintes pour vous, on peut comprendre la gène et les coûts que cela représente, mais dans le cas du RGPD, on ne peut dire cela. Le RGPD est protecteur de vos clients, protecteur de votre entreprise. Au moindre pépin sur vos données, vous pouvez subir une mort subite de votre réputation et vous ne vous en remettrez jamais ».
Nicolas Dufourcq a ajouté que Bpifrance n’est pas seulement une banque, mais aussi une structure d’accompagnement et qui propose aux entrepreneurs des prestations de conseil, notamment via ses accélérateurs. « Nous proposons aux entrepreneurs des prestations de conseil, des voyages à l’étranger, des échanges avec les écoles de commerce, des programmes extrêmement intensifs et au sein de ces accélérateurs, il y aura une verticale protection des données, tout comme il en existe en stratégie internationale, le marketing stratégique, le lean management, etc. ».
Bpifrance va s’appuyer sur un réseau de 200 consultants qui seront les vecteurs de diffusion du RGPD auprès des entreprises dans ce que Nicolas Dufourcq appelle la bonne parole du RGPD. Dommage que toutes les PME françaises ne soient pas des startups et ne puissent bénéficier de tels conseils.