À la une

RGPD : 7 informations clés

Ce 25 mai, est entré officiellement en vigueur le Règlement Général sur la Protection des Données (RGPD). Voté le 27 avril 2016 par le Parlement européen, ce texte vise à mieux protéger les données personnelles et la vie privée des citoyens européens. En phase avec les attentes de l’opinion publique de plus en plus soucieuse du traitement des informations qu’elle renseigne, ce règlement européen cristallise les inquiétudes et interrogations des dirigeants d’entreprise. Ces derniers devront en effet conformer leurs organisations à ce texte, entreprises privées comme publiques.

1. Qu’est-ce qu’une donnée personnelle ?

Pour le RGPD, une « donnée à caractère personnel » correspond à « toute information se rapportant à une personne physique identifiée ou identifiable ; est réputée être une ‘’personne physique identifiable’’ une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».

Devenues de véritables actifs prioritaires, ces données personnelles, et notamment les traces numériques renseignées volontairement ou pas (comme les adresses IP) se sont avérées être de véritables mines d’or pour les entreprises. La collecte et l’utilisation des données, par la cession de celles-ci à des fins marketing par exemple, est en effet monnaie courante pour de nombreuses entités.

2. RGPD : qu’est-ce que c’est ?

RGPD, acronyme de Règlement Européen de la Protection des Données, ou GDPR pour General Data Protection Regulation en anglais, est le nouveau texte de référence relatif aux données personnelles en Union européenne. Son but est principalement de renforcer la sécurité des données personnelles, en s’adaptant aux réalités du monde numérique. Adopté par le Parlement européen le 14 avril 2016, promulgué au Journal officiel le 27 du même mois, sa mise en application a été décalée au 25 mai 2018.

L’intérêt de cette réforme de la législation européenne est de supplanter une directive en vigueur datant de 1995. Cette-dernière est obsolète, eu égard aux évolutions technologiques de ces dernières décennies, et notamment l’explosion du numérique et des usages qui en découlent, ainsi que l’apparition de nouveaux modèles économiques comme « l’uberisation ». En 1995, certains géants d’internet comme Google ou Facebook (membres des GAFA), n’existaient pas, et il en va de soi que leurs émergences respectives ont profondément modifié les usages.

La promulgation du RGPD permet également d’atténuer la fragmentation juridique en Europe. Son objectif est ici d’harmoniser le panorama juridique et d’offrir un cadre commun à l’ensemble des pays membres de l’UE.

3. Quels apports majeurs ?

Afin de mieux protéger nos données personnelles, le RGPD apporte de nombreuses solutions et obligations. Les plus pertinentes selon nous résident dans la notion de portabilité des données. Par exemple, il est désormais possible de récupérer un historique et le transférer vers un service concurrent.

Aussi, le texte renforce le droit à l’oubli. Initialement inexistant, ce droit a fait jurisprudence avant de devenir un point fondamental de la Loi française. La procédure de demande de suppression de contenus pouvant nuire à l’image s’avère donc facilitée. Le RGPD fixe un âge de majorité numérique par défaut pour les ressortissants européens à 16 ans. A partir de celui-ci, le jeune est considéré comme responsable de ses données numériques.

Enfin, le texte instaure un statut spécial pour certaines données dites sensibles comme les opinions politiques, les croyances religieuses, les orientations sexuelles. Ici, les organisations ne pourront pas collecter ni traiter ces informations sans autorisation expresse de la personne concernée.

4. Qui doit se conformer ?

Dans un objectif de conciliation entre protection de la vie privée des citoyens européens et de l’innovation technologique, chaque citoyen peut se défendre s’il considère qu’une organisation est trop intrusive ou s’il n’est pas en accord avec l’utilisation de ses données.
D’après la CNIL, entreprises privées TPE-PME comme grands groupes, associations et collectivités sont donc concernées :

  • « Si elles collectent, stockent, utilisent des données à caractères personnel. Dans ce cas, les entreprises sont ‘’responsables de traitements’’. » ;
  • « Si elles traitent des données à caractère personnel pour le compte d’autres entreprises. Dans ce cas, les entreprises sont ‘’sous-traitantes’’. ».

Par conséquent, chaque entité manipulant des données personnelles est concernée par cette mise en conformité et au respect de ce règlement. Par ailleurs, au RGPD s’applique le principe d’extra-territorialité. En effet, ce texte ne s’applique pas seulement aux organisations établies sur le territoire européen mais à toutes organisations collectant et traitant des données de personnes qui se trouvent sur le territoire de l’Union Européenne.

5. Quel(s) impact(s)/obligation(s) pour les entreprises ?

Pour les entreprises : de nouvelles contraintes…

Les 11 chapitres et 99 articles qui composent le Règlement induisent par conséquent de nouvelles contraintes à respecter pour les entités concernées. L’organisation interne de celles-ci doit évoluer, notamment par la désignation d’un pilote. Chacune d’entre elles doit désigner un « délégué à la protection des données », en charge des missions d’informations, de conseil et de contrôle interne.

Documenter la conformité est également une prérogative prépondérante de ce nouveau règlement. Toute organisation doit désormais regrouper la documentation des actions réalisées afin de prouver la conformité. Il est nécessaire pour les organisations d’avoir obtenu le consentement préalable à la collecte des données, que les sites internet et serveurs sont sécurisés, que les sous-traitants sont eux-mêmes en conformité, et d’être en mesure de le prouver.

Le RGPD implique également des attitudes à adopter en cas de problèmes : en cas de défaillance ou d’attaque, l’organisation doit alerter les autorités dans un délai de 72h après en avoir pris connaissance.

Enfin, il existe des mesures spécifiques aux activités liées au web et à la relation client comme la présence du droit de modification/suppression des données, un registre répertoriant les points de collecte etc.

… Mais aussi des opportunités !

Si le Règlement impose des mesures à suivre pour les organisations, nous pouvons aussi recenser de nombreuses opportunités. Cette directive européenne va notamment permettre de simplifier les relations commerciales au sein de l’Union Européenne. Aussi, la mise en conformité au RGPD peut aussi devenir un argument commercial et de confiance. Selon un sondage OpinionWay pour Havas, il est établit que 8 français sur 10 se déclarent prêts à boycotter les marques non-conformes au RGPD, quitte à payer plus cher. Cette tendance se confirme par ailleurs chez les millenials (moins de 35 ans). Le RGPD constitue un label de confiance pour le consommateur.

Plutôt que de considérer cette législation comme une (nouvelle) contrainte, les organisations peuvent donc tirer profit de leur mise en conformité. Dans une société de plus en plus soucieuse de l’utilisation des données renseignées, et notamment sur internet, la conformation à une telle directive constitue une occasion de mettre en exergue des pratiques raisonnées de l’utilisation des données récoltées. Que ce soit auprès des clients, fournisseurs, partenaires ou sous-traitants, tous seront rassurés après avoir été informés des pratiques sécuritaires mises en œuvre au sein de l’organisation. expresse de la personne concernée.

6. Quel coûts engendrés ?

Selon une étude du cabinet SIA Partners, la mise en conformité au RGPD s’avère être onéreux. Sont à prendre en considération dans l’évaluation du coût de nombreux facteurs tels que les coûts relatifs à la sensibilisation et la formation des salariés et une éventuelle création de poste de Data Protection Officer. Aussi, l’analyse préalable et l’audit de l’organisation en question revêtent également un coût important. Enfin, les correctifs qui découlent de l’audit restent quant à eux difficiles à chiffrer mais non négligeables, notamment s’il y a appel à des prestataires extérieurs et une mise à niveau des systèmes informatiques.

SIA Partners estime donc le coût de mise en conformité au RGPD à 30 millions d’euros en moyenne pour un groupe du CAC 40, avec d’énormes disparités selon les secteurs. Par exemple, les banques et assurances pourraient voir la facture s’élever à 100 millions d’euros, lorsque les fournisseurs des organisations verraient leurs factures limitées à 11 millions d’euros. Concernant une PME, le montant de telles démarches s’élèverait à plusieurs milliers d’euros.

7. Quelles sanctions prévues ?

Outre les aspects techniques, le Règlement prend également en considération la politique d’anticipation des risques liés à la gestion des données. Cela implique donc nécessairement un alourdissement des sanctions prévues. Par ailleurs, le Règlement européen autorise chaque État membre à fixer le régime des sanctions applicables en cas de violation de celui-ci. Les sanctions prévues dans par la directive européenne correspondent donc à un ultime recours faisant suite aux injonctions et sanctions préalablement avancées par la CNIL (Commission Nationale de l’Informatique et des Libertés). La CNIL prévoit plusieurs types de sanctions comme un avertissement pouvant être rendu public, une sanction pécuniaire, une injonction à cesser le traitement etc.

Le RGPD prévoit quant à lui à l’encontre des organisations qui ne se mettent pas en conformité avec le Règlement, des sanctions pénales, mais également deux niveaux de sanctions administratives. Selon la gravité du dysfonctionnement lié à certaines obligations, l’organisation s’expose à une amende pouvant atteindre 10 millions d’euros ou équivalente à 2% du chiffre d’affaires annuel mondial. En cas d’infractions plus graves liées à une mauvaise application ou au non-respect du RGPD, l’amende encourue atteint 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial.

Ici, nous pouvons souligner que c’est le montant le plus important qui sera retenu en cas de manquement. Si les 4% du chiffre d’affaires représentent un montant plus important que les 20 millions d’euros prévus, c’est donc le pourcentage qui sera retenu.


Retrouvez le guide complet d’accompagnement des TPE et PME dans leur appropriation du RGPD par la CNIL et Bpifrance : https://www.cnil.fr/sites/default/files/atoms/files/bpi-cnil-guide-rgpd-tpe-pme.pdf


Optimiser son budget intérim ?

par Jean-Yves Rivens
La Lettre des Economies | Février 2018

Exercice difficile mais crucial, l’optimisation des budgets d’intérim, parmi les plus élevés des entreprises, est un enjeu significatif et permet des gains de productivité intéressants. Si 90% des sociétés font appel au travail temporaire, c’est parce qu’il apporte de la souplesse et répond aux besoins à court terme dans 88% des cas (absence d’un salarié, hausse temporaire d’activité et emploi saisonnier). Le recours à l’intérim permet également une mise en situation avant une embauche en CDI pour 75% des managers. Cette situation est d’autant plus vraie dans le contexte économique actuel, où la reprise se fait sentir, mais où les entreprises préfèrent encore jouer la carte de la prudence.

Pourquoi et comment optimiser ce poste de dépense ?

JYR : Généralement géré en interne, le budget intérim est sous la responsabilité du Directeur des ressources humaines ou du Directeur général, selon la structure de l’entreprise, tout en sachant que le principal intéressé est l’opérationnel (sur un chantier, les lignes de production ou les services administratifs) qui a besoin de renfort. Mais tous ressentent le besoin d’être accompagnés face à une législation du travail en perpétuelle mouvance, à une reprise de l’activité économique, et à une offre du marché de l’intérim qui elle aussi évolue fortement. En effet, le nombre d’agences d’intérim est en forte hausse ; en parallèle, l’offre low-cost en ligne se développe. De plus, la reprise du marché du travail dans certaines régions rend difficile l’accès à certains profils spécialisés ou structurellement en tension : soudeurs, régleurs, ou métiers de bouche par exemple.

De quoi s’y perdre et surtout perdre du temps !

L’approche de Cosma Experts sera toujours de trouver le bon compromis entre les besoins de l’entreprise et les services apportés par l’entreprise de travail temporaire. C’est cette analyse qui sera la clé du succès !  Du côté de l’entreprise, les besoins sont toujours liés à la réactivité sur la mise à disposition du bon profil opérationnel rapidement, la sécurisation et la simplification des processus d’émissions des besoins, de contractualisation, et de suivi de la facturation (relevés des heures effectuées). L’instauration d’accords-cadres multi-sites et d’un panel réduit de partenaires simplifie et canalise l’ensemble de ces démarches.

Du côté de l’ETT, la sélection et le choix seront portés sur celles capables de comprendre et d’anticiper les besoins de l’entreprise, capables de sélectionner et de former les bons profils,  de proposer un suivi administratif simple mais performant, et capables  d’accompagner et fiabiliser les intérimaires dans leur mission. Rien n’est plus pénalisant pour le client que l’interruption prématurée de la mission d’un intérimaire car son profil se révèle en inadéquation avec le poste à pourvoir !

Comme beaucoup d’entreprises, le marché des ETT se restructure fortement depuis plusieurs années. Elles se regroupent en réseaux, pour couvrir au mieux le territoire et élargir leur périmètre d’action et bien sûr, réduire leurs marges opérationnelles.


Véhicule électrique et entreprise :
la rupture de courant ?

La Lettre des Economies | Février 2018

Au début des années 2010, les entreprises, notamment à travers la commande massive emmenée par la Poste auprès de Renault et Peugeot, jouaient un rôle essentiel pour la diffusion à grande échelle de la dernière génération de véhicules électriques sur les routes françaises.

Aujourd’hui, elles ne remplissent plus ce rôle. En 2016, sur le segment des véhicules particuliers, les V.E. ne représentaient que 0,98 % des immatriculations des parcs d’entreprises. En comparaison, la proportion de ventes sur le marché des particuliers en France atteignait 1,11 %*.
 Les réticences à intégrer ces véhicules dans les parcs sont connues : autonomie, manque de bornes de recharge…

Certaines entreprises s’accommodent de ces contraintes. Pour elles, les TCO des V.E. se montrent tout à fait satisfaisants. Malgré des incertitudes sur les valeurs de revente, les aides de l’État à l’achat, le moindre budget d’entretien ou de carburant, contribuent à tirer les coûts d’utilisation vers le bas, souvent plus avantageux que des motorisations essence, diesel ou hybride, notamment dans le cadre de contrats de location longue durée.
 Des arguments solides pour inciter nombre d’entreprises à la réflexion. Et si demain, le maintien des incitations fiscales restera déterminant pour les encourager à intégrer des V.E. dans leurs flottes, la multiplication des restrictions de circulation urbaine devrait aussi les inciter à envisager cette possibilité. Sans oublier le rôle décisif des constructeurs, qui vont proposer des gammes plus étoffées et des autonomies améliorées.

* En 2016 : 2 015 186 VP vendus en France (source CCFA) dont 467 294 VP aux entreprises (source OVE), 21 751 VP électriques vendus (source Avere) dont 4 548 aux entreprises (source OVE).