RGPD : un dirigeant de TPE-PME sur deux sait qu’il n'est pas dans les clous

Six mois après l'entrée en vigueur de ce nouveau règlement, bon nombre de TPE-PME sont toujours en difficulté. Pour autant, ces changements ne doivent en aucun cas devenir une fatalité.

Le 25 mai dernier entrait en vigueur le règlement européen sur la protection des données nommé RGPD. Réaction aux dérives autour de la data, ce règlement a pour objectif affiché de redonner au citoyen européen le contrôle sur ses informations privées. Un règlement impliquant des changements d’organisation de grande ampleur touchant de la même façon les entreprises du CAC40 que les TPE-PME. Avec des sanctions potentiellement très lourdes, pouvant même remettre en cause la survie d’une organisation, comme en témoigne la toute première amende inspirée par ce nouveau règlement imputée il y a quelques jours au Centre Hospitalier de Barreiro-Montijo au Portugal (pour un montant de 400 000 euros).

Plus proche de chez nous, en France, la CNIL a reçu plus de 3767 plaintes depuis le 25 mai. Fin septembre, le site internet de cette institution indiquait que 600 notifications de violations de données (concernant près de 15 millions de personnes) avaient été reçues. Autant de chiffres qui ne rassureront pas les chefs d’entreprise, et notamment ceux de petites TPE-PME. Les craintes émises par ces derniers au moment de l’entrée en vigueur du RGPD face à la difficulté des démarches à entreprendre et au manque de ressources humaines et financières pour se mettre en règle se confirment aujourd’hui.

2,2 millions de TPE-PME entre épée de Damoclès et roulette russe…

Six mois après l’entrée en vigueur de ce nouveau règlement, près d’un dirigeant sur deux (48%) de TPE-PME n’est toujours pas certain d’être en conformité, voire sait ne pas l’être (respectivement 34% et 14%) : soit un total d’environ 2,2 millions d’entreprises. C’est le résultat alarmant d’un sondage OpinionWay pour Captain Contrat, mené auprès de plus de 500 dirigeants d’entreprises de moins de 250 salariés. Pour les 14% de chefs d’entreprise qui savent qu’ils ne sont pas dans les clous, le manque de temps, d’accompagnement et de moyens humains et financiers pour se mettre en conformité apparait évident. Si le pourcentage peut paraître relativement "faible", cela représente en valeur absolue près de 650 000 entreprises françaises risquant des peines pouvant atteindre 4% de leur chiffre d’affaires.

Sans surprise, le détail des résultats révèle que plus l'entreprise est petite, plus elle semble désarmée. Dans le cas de ce sondage, la part de dirigeants inquiets quant à l’application du RGPD par leur entreprise passe de 49% pour les entreprises de moins de 10 salariés, à 28% pour les entreprises de plus de 150 salariés. Si les petites entreprises sont soumises aux mêmes exigences que les ETI et les grands groupes, elles n’ont clairement pas les mêmes ressources pour s’y conformer.

Le problème du RGPD est en réalité assez similaire à celui du prélèvement à la source par exemple ou celui des démarches pour la création d’une entreprise : les entrepreneurs français n’ont ni le temps, ni les ressources, ni l’accompagnement nécessaire dont ils ont besoin aujourd’hui pour suivre les règles et se mettre en conformité. Il ne faut pas s’étonner que 6 mois après la mise en application du RGPD, près d’une TPE-PME sur deux ne soit pas ou ne s’estime pas complètement en conformité : peu de moyens ont été mis à leur disposition pour les aider à franchir le cap.

Une difficulté, mais en aucun cas une fatalité

Trop cher, trop long, trop compliqué… Pour faire face à leurs difficultés telles que le RGPD perçu comme un obstacle insurmontable, les petites entreprises bricolent bien souvent leur juridique et n’ont pas le réflexe de s’appuyer sur un avocat. Ces idées reçues sur les services des avocats font du tort aux entrepreneurs qui passent à côté d’un soutien majeur pour les accompagner efficacement dans leurs démarches juridiques. Passer par un professionnel du droit offrira également une sécurité face aux "arnaques" au RGPD émanant d’entreprises qui démarchent de manière agressive les entrepreneurs et sous-entendent qu’une prestation « éclair » (simple échange téléphonique, envoi d’une documentation, etc.) suffira à assurer la mise en conformité.

Faire un premier état des lieux est indispensable. Il faut comprendre l'utilisation qui est faite des données personnelles au sein de l'entreprise, revoir les conditions générales de vente, rédiger une politique de confidentialité… Autant de missions que les avocats peuvent mener pour aider les TPE-PME à se mettre en conformité. Dès lors, il apparaît indispensable de donner à ces dirigeants de TPE-PME et avocats les moyens et outils pour se rencontrer.