Anna Mika, OAKland Group
All companies must be GDPR compliant. In the first instance, this is a question of legality. But for SMEs, it is also a real opportunity to make themselves known to large companies. If they are GDPR compliant, they have a better chance of being listed with purchasing departments, thus gaining an image of trust, regulatory conformity and reliability.
The listing process
Whenever a service provider of any kind (micro-enterprise, SME, mid-size or large company), wishes to work for a large company today, it must follow a standard process. This process, known as listing, serves to validate the eligibility of suppliers in terms of financial, legal, corporate social responsibility (CSR) and compliance factors. The GDPR is one of the selective criteria in this process. Indeed, large companies can only work with operators that are GDPR compliant. This is their own responsibility.
While the other factors that are assessed during the listing process have become intuitive for companies, this is less the case for the GDPR.
Purchasing departments, responsible for conducting a purchasing policy in line with their company’s strategy, must optimise their panels of suppliers in order to minimise risks. The more clarity a supplier is able to provide with regard to its regulatory standing, the more chance that supplier will have of being selected.
This being the case, if SMEs are to become more visible to their customers and partners, as well as to other companies, not only must they comply with the GDPR, but they must also be able to provide clear and precise evidence to that effect.
Limiting risks
By being GDPR compliant, SMEs ensure their legal conformity and their own security. First, by reducing the risks of sanctions by the CNIL or by other regulatory bodies, while also protecting themselves from potential cyber threats, thanks to a watertight GDPR policy. Second, in terms of the trust that the company projects to the market, and in particular to its partners.
GDPR compliance reinforces SMEs’ business operations, reduces their risks and enables them to address their challenges in total security and without compromising their objectives.
DPO and DPO Assistance
To this end, it is essential to appoint a Data Protection Officer (DPO). This enables companies to ensure that their GDPR policy is up to standard.
Should a DPO be required, there is no need for a company to extend its organisational structure or to divert some of its staff from their main duties; the GDPR requires the appointment of either an internal or an external DPO, a natural person or a legal entity, on behalf of the company or of a group of companies.
The DPO’s task is to continually monitor regulatory changes and adapt the company’s processes and strategy accordingly. Although there are powerful tools available to the DPO, such as Clarisse (published by Accecia) for taking unstructured data into account, or Rumya (published by the company of the same name) for managing compliance, the DPO’s task remains just as complex. For this reason, an internal company DPO can always call on support services in order to lighten his or her workload and be able to anticipate regulatory changes.
Companies can thus benefit from an external service for support with implementing and managing GDPR compliance.
This DPO service guarantees not only that the company is GDPR compliant, but also that it can quickly provide all the documentation required as express proof of GDPR compliance in the course of a listing exercise; this is a major asset in terms of professionalism.
In partnership with :
Clarisse is a tool for managing unstructured data which implements an innovative data classification methodology for a smoother and more efficient day-to-day experience, allowing application of he GDPR / LPD to unstructured data and providing the means to secure the data
Rumya offers digital compliance tools with software that addresses data protection (GDPR / LPD) and banking compliance issues for financial intermediaries
————–
RGPD : un atout business pour les PME ?
Anna Mika, OAKland Group
Toutes les entreprises doivent être en conformité avec le RGPD. Si c’est dans un premier temps une histoire de légalité, pour les PME, c’est également une véritable opportunité de se faire connaitre auprès des grandes entreprises. En étant conformes, elles ont plus de chance d’être potentiellement référencées auprès des directions achats, leur valant ainsi une image de confiance, de conformité et de sérieux.
Le référencement
Aujourd’hui, lorsqu’un prestataire, quel qu’il soit (TPE, PME, ETI ou Grande Entreprise), souhaite travailler pour une grande entreprise, il doit suivre un processus global. Ce processus qu’on appelle le référencement permet de valider son éligibilité sur les plans, financier, légal, RSE et conformité. Le RGPD devient alors un point discriminant. En effet, les grandes entreprises ne peuvent travailler avec des acteurs non-conformes au RGPD, il en va de leur propre responsabilité.
Si les autres éléments contrôlés lors du référencement sont devenus naturels pour les entreprises, c’est moins le cas concernant le RGPD.
Les directions achats, en charge de mener à bien une politique d’achat alignée à la stratégie de leur entreprise, doivent optimiser leurs panels de fournisseurs afin de minimiser les risques. Plus les fournisseurs affichent une clarté dans leur positionnement vis-à-vis de la réglementation, plus ils ont de chance d’être sélectionnés.
Ainsi, pour que les PME aient une plus grande visibilité auprès de leurs clients, partenaires et autres entreprises, ces dernières doivent impérativement, non seulement être conformes au RGPD, mais également être en capacité de le démontrer de façon claire et précise.
Limiter les risques
De plus, par cette conformité, les PME assurent leur légalité et leur propre sécurité. D’abord elles réduisent les risques de sanctions de la CNIL ou d’autres instances de réglementation, mais également en se protégeant de risques cyber potentiels, grâce à une politique RGPD sans faille. Puis au niveau de la confiance que l’entreprise renvoie sur le marché, et notamment vis-à-vis de ses partenaires.
De ce fait, la conformité consolide les activités des PME, réduit leurs risques et leur permettent d’appréhender leurs enjeux en toute sécurité, sans préjudice de leurs objectifs.
DPO et assistance à DPO
Pour mener à bien cette mission, nommer un délégué à la protection des données (DPD en français, DPO en anglais, le plus couramment utilisé) est obligatoire. Cela permet aux entreprises d’assurer une politique RGPD digne de ce nom.
Si un DPO est obligatoire, il n’est pas nécessaire pour une entreprise d’élargir son organisation ou de détourner une partie de son personnel de ses tâches principales ; le RGPD impose de nommer un DPO qu’il soit interne ou externe, qu’il s’agisse d’une personne physique ou morale, pour son propre compte ou pour un groupe de sociétés.
Ce DPO a pour mission de suivre constamment les évolutions de la réglementation et d’adapter les process et la stratégie de son entreprise de façon réactive. S’il existe des outils performants pour assurer sa mission tels que Clarisse (édité par Accecia) pour la prise en compte des données non- structurées ou Rumya (édité par la société du même nom) dans la gestion même de sa conformité, sa tâche n’en est pas moins complexe. Pour cette raison, dans le cas d’un DPO interne à l’entreprise, ce dernier peut toujours s’appuyer sur des services d’assistance, lui permettant d’alléger sa charge et, de plus, anticiper les évolutions de la réglementation.
Les entreprises bénéficient ainsi d’un service externe afin d’être soutenues dans leurs mise en œuvre et leur gestion de leur conformité.
Ce DPO permet alors, non seulement de garantir la conformité au RGPD de l’entreprise, mais également de fournir rapidement lors d’une action de référencement toute les pièces nécessaires pour justifier, sans ambigüité, cette conformité ; un atout majeur de professionnalisme.
En partenariat avec :
Clarisse est un outil de gestion de données non-structurées mettant en place une méthodologie de classement des données innovante pour un quotidien plus serein et efficient, notamment applicable au RGPD/LPD.
