Le contexte.
On parle beaucoup du RGPD (Règlement Général sur la Protection des Données) dans les grandes entreprises, mais les très petites entreprises (TPE) pensent souvent être épargnées. Grosse erreur ! Elles sont soumises aux mêmes règles, avec des conséquences qui peuvent être désastreuses. Découvrons comment au travers d’une banale histoire personnelle vécue et qui montre à quel point un simple oubli peut coûter cher.
Une histoire qui en dit long sur les risques du RGPD.
Récemment, lors de mon dernier déplacement pour des raisons professionnelles, j’ai eu besoin de laver mes vêtements. Rien d’extraordinaire. Je me rends dans une laverie automatique. Le service était loin d’être top, mais je vous passe les détails… Pas satisfait, je le fais remarquer à la responsable qui était là. Le ton est monté un peu. Pour justifier sa position, elle me sort : « Je vais vérifier les images de vidéosurveillance ! ».
Là, elle venait de se piéger toute seule, sans se rendre compte qu’elle venait de dévoiler une non-conformité au RGPD.
Où ça coince ?
Aucun affichage d’information au public n’est apposé dans l’enceinte de la laverie.
Cet affichage est obligatoire et son format est réglementé. Il doit indiquer, entre autres, les coordonnées du responsable du système, le délai de conservation des images, les finalités du système, et informer des droits des personnes concernées. Ce manque de transparence est une infraction qui pourrait coûter cher.
Les finalités du système de vidéosurveillance.
Deuxièmement, Il est crucial de définir explicitement pourquoi on utilise la vidéosurveillance. Les images doivent être collectées et utilisées pour des raisons précises et légitimes, comme la sécurité des biens et des personnes, et non pour espionner ou surveiller les employés ou les clients.
Je me suis abstenu de faire toute remarque sur le sujet, de donner une leçon de morale, ou encore moins de faire une dénonciation auprès de l’autorité de régulation. Cela aurait déclenché un contrôle et aurait abouti à des sanctions pour cette très petite entreprise. Une amende aurait été catastrophique pour la pérennité de son affaire, et loin de moi cette idée, je sais à quel point il est difficile de maintenir un commerce debout.
Mais soyons francs : beaucoup n’auraient pas hésité à faire un signalement à la CNIL. Et là, ça devient vite compliqué.
Les TPE, premières victimes.
Ce commerçant est-il prêt à justifier sa conformité ? La documentation de la conformité est un concept obligatoire introduit par le RGPD (accountability), est-il prêt à supporter le montant de l’amende ? Autre point important, dans son activité ce commerçant ne collecte aucune donnée sur ses clients, mais les images de vidéosurveillance sont des données personnelles et elles doivent être traitées selon le RGPD. Cette boutique a d’autres obligations comme la tenue de registres, par exemple le registre des sous-traitants (elle utilise un terminal de paiement fourni par un prestataire qui doit lui aussi être en conformité avec le RGPD).
Exemple concret de sanction: la boulangerie sanctionnée
Le 10 juin 2024, une boulangerie sanctionnée de 5 000 € d’amende pour vidéosurveillance non conforme. En plus, elle devait se mettre en règle sous peine d’une nouvelle amende. Pour une petite boutique, c’est un coup dur. Je ne connais pas les tenants et aboutissants de cette histoire, mais cela ne m’étonnerait pas que la situation soit similaire, un conflit avec un client.
Importance de la conformité pour les petites entreprises.
La finalité de cette histoire, c’est que beaucoup de petites entreprises pensent être à l’abri d’un contrôle de la CNIL, mais les dangers se situent bien au-delà de la CNIL. Voilà pourquoi il est important pour toute entreprise d’être en mesure de pouvoir prouver sa conformité. Cela n’est souvent pas facile par manque de temps et aussi face à la complexité du RGPD, au manque de connaissances.
Faire appel à un consultant externe pour la mise en conformité de vos données à caractère personnel vous soulage de cette tâche et vous éloigne des éventuelles sanctions.
Sesame Nouvelles Technologies accompagne les entreprises de toutes tailles dans leurs démarches de conformité au RGPD.
Vous voulez savoir comment ? Réservez un entretien gratuit, nous ferons un point sur votre situation et verrons comment nous pouvons vous aider, sans aucun engagement de votre part.
Dernier point, vous êtes sûrement curieux de savoir quel était ce différent ? Et bien, mon linge était mal lavé, la responsable avançait que j’avais surchargé la machine et j’avançais que non. Voilà votre curiosité satisfaite…
Je vous dis à très bientôt.