RGPD, le poil à gratter des TPE/PME !

Stella Manga Chesnay, SMC ComplianceStella Manga Chesnay, juriste, a rejoint le Pôle Services Convergences en janvier 2020 comme fondatrice et dirigeante du cabinet de conseil SMC Compliance spécialisé en protection des données personnelles et dans la conformité à la réglementation européenne RGPD.

Stella, qu’est-ce que RGPD ?

C’est le Règlement Général sur la Protection des Données, entré en vigueur le 25 mai 2018. C’est un règlement européen qui vise à redonner aux personnes situées sur le territoire de l’espace économique européen la maîtrise de leurs données personnelles en imposant aux organismes (entreprises, personnes morales de droit public, associations, etc.) de mettre en œuvre des mesures afin d’assurer la sécurité de telles données, et de faciliter l’exercice des droits lorsque les personnes en font la demande.

Comment en es-tu venue à t’occuper de ce sujet pointu et négligé par les TPE/PME ?

J’ai une formation de juriste avec un Master 1 en droit des affaires obtenu en 2007 que j’ai complété en 2018 avec un Master 2 en droit de l’environnement, de la qualité et de la sécurité dans les entreprises à l’Université de Paris-Saclay.

Je suis originaire du Cameroun et après une carrière salariée de plusieurs années à Dubaï aux Émirats Arabes Unis, je suis venue m’installer en France en 2012 où j’ai travaillé dans des cabinets d’avocats, puis dans un cabinet de conseil en cybersécurité. En tant que consultante data privacy, j’ai été amenée à travailler sur les problématiques RGPD qui ont été prises en compte très tôt par les grandes entreprises qui y ont vu aussi un facteur de gain de crédibilité et de différenciation concurrentielle. Je me suis demandé alors comment on pouvait proposer un accompagnement aux TPE/PME alors que le plus souvent elles n’avaient pas les budgets nécessaires et ne se sentaient pas concernées.

Comme je nourrissais depuis longtemps l’idée de créer ma propre société, j’ai sauté le pas en 2019 et j’ai créé mon cabinet conseil, SMC Compliance, spécialisé dans l’accompagnement RGPD des petites et moyennes entreprises et des petites structures, telles que les associations qui elles aussi sont concernées.

Que conseilles-tu aux TPE/PME en matière de RGPD ?

CNILDe se saisir de la question ! Car contrairement à ce qu’elles peuvent penser elles sont concernées au même titre que les plus grosses sociétés et surtout, la CNIL (Commission Nationale de l’Informatique et des Libertés), qui est l’autorité de contrôle en la matière, n’a jamais été aussi active dans la recherche des contrevenants.

La CNIL peut se saisir de plusieurs manières : suivant son calendrier annuel des contrôles, suite à une plainte, suivant des faits d’actualité, etc. L’on a tendance à redouter ses contrôles sur place, mais il faut savoir qu’elle exerce également des contrôles en ligne, par exemple en vérifiant la conformité d’un site Internet, ses mentions légales, la politiques de cookies, etc. En cas de contrôle sur place c’est-à-dire sur le lieu de l’organisme, la CNIL peut se faire accompagner par les forces de l’ordre.

Le Comité Européen de la protection des données est le groupe des CNIL européennes qui travaillent en étroite collaboration par exemple lorsqu’un même sujet, une même plainte, une même violation, concerne plusieurs pays de l’Espace Économique Européen.

Quels types d’entreprises ont plus de chance d’être contrôlées ?

SMC ComplianceTous les types d’organismes sont concernés, il n’y a pas de hiérarchisation dans la typologie des organismes pouvant faire l’objet d’un contrôle (TPE, PME, ETI, GE, associations, écoles, ministères, etc.). Dès lors que ces organismes traitent de données personnelles, que ce soit celles de leurs salariés, clients, prospects, fournisseurs, elles doivent se conformer.

Une donnée personnelle est toute information permettant d’identifier une personne directement (nom, prénom, voix, photo, etc.) ou indirectement (numéros, pseudo, codes, etc.). Un traitement est toute opération portant sur une donnée personnelle.

On le constate, ces définitions sont assez larges, à dessein. Par exemple, le simple enregistrement d’adresses mail ou de numéros de téléphone constitue un traitement, qu’il soit effectué sur un ordinateur ou sur un téléphone portable ou un simple ficher papier ou encore un classeur de cartes de visite dès lors que cela est fait à titre professionnel. Or toutes les entreprises enregistrent des données clients et fournisseurs nominatives ou non. Elles doivent les sécuriser et notifier à la CNIL toute violation de données personnelles (atteinte à la disponibilité, l’intégrité ou à la confidentialité) si elle est susceptible d’engendrer un risque pour les droits et libertés des personnes.

Quelles sont les sanctions ?

Les sanctions sont de plusieurs ordres et peuvent aller d’une mise en demeure, au prononcé d’une amende administrative. S’agissant de cette dernière, il existe deux paliers, en fonction de la nature du manquement. Soit 10 millions € ou 2% du chiffre d’affaire mondial de l’exercice précédent, la sanction la plus élevée étant retenue ; soit 20 millions € ou 4% du chiffre d’affaire mondial de l’exercice précédent et là aussi la sanction la plus élevée est retenue. La taille de l’organisme importe peu. J’ai l’exemple en juin d’une PME de 9 salariés qui a été condamnée à 20 K€ d’amende pour avoir entre autres filmé ses salariés en continu sur le lieu de travail grâce à des caméras de vidéoprotection, sans les en informer (en savoir +).

Ces amendes administratives peuvent être cumulées avec des sanctions pénales à l’égard des personnes morales et/ou de leurs dirigeants. De même des dommages et intérêts peuvent être dus aux victimes en cas de préjudice lié à une violation de données personnelles telle qu’une fuite de données.

Concrètement que proposes-tu aux entreprises, selon quelles étapes et quel calendrier ?

Mon offre de services s’articule en 3 axes :

  • des sessions de sensibilisation sur 4 ou 7 heures qui peuvent être mutualisées entre plusieurs sociétés. Elles peuvent être soit généralistes (pour comprendre le RGPD et ses exigences), soit thématiques (pour comprendre des aspects plus précis, par exemple comment se préparer à un contrôle de la CNIL, comment gérer les demandes d’exercice de droits, quelles mesures de sécurité pour quel type de donnée, etc.).
  • Ensuite je propose de réaliser un audit qui peut durer entre une demi-journée pour un micro-entrepreneur et 2 voire 3 jours pour une PME. Cet audit vise à identifier les écarts de conformité avec la réglementation et à proposer un plan de remédiation sur mesure, avec une priorisation des actions à mener.
  • Enfin, l’offre de conseil. A la suite de cet audit, je peux accompagner et piloter le processus de mise en conformité. Concrètement, je commence par cartographier les traitements de données personnelles mis en place par l’organisme, les rassembler par finalité afin de vérifier la pertinence du type de donnée collectée, de la durée de conservation, de l’environnement de stockage, des personnes habilitées à y accéder, du processus d’habilitation. Je vérifie l’adéquation des mesures de sécurité à la sensibilité des données et au risque de survenance d’une violation. Pour la mise en place des mesures de sécurité techniques, je peux compter sur deux partenaires spécialisés : les cabinets de cybersécurité SERMANES et DSI GROUP.

Le calendrier est surtout fonction de la disponibilité et de la réactivité des parties prenantes coté client.

Combien ça coute ?

Les sessions de sensibilisation :

  • par groupes de 8 salariés maximum de la même entreprise, je charge 300 € HT les 4 heures de formation pour une formation qui a lieu dans les locaux de l’entreprise, et 500 € lorsque je fournis les locaux.
  • Lorsque les salariés proviennent d’entreprises différentes, je charge 600 € HT pour la même durée.

Un audit coûte 700 € HT par journée d’audit.

S’agissant de l’offre de conseil, je propose :

  • Soit au forfait :
    – un pack conformité pour les TPE de moins de 10 salariés avec un registre des traitements, une politique et une procédure de protection des données pour 1500 € HT.

    – Au-delà de 10 salariés, je propose le pack conformité composé du registre des traitements, de deux politiques et 3 procédures pour 5000 € HT.
  • Soit en régie, pour les PME dont le planning de mise en conformité s’étale sur un mois minimum à 700 € de taux journalier moyen. Au-delà de 6 mois de régie et moins d’une année, le TJM est de 650 € HT et 600 € HT pour les missions s’étalant sur plus d’une année.
  • Il est aussi possible de solliciter des livrables à la carte. Pour cela je vous invite à visiter mon site internet, et à me contacter pour un devis.

Comment te tiens-tu informée des évolutions ?

Je tiens une veille juridique via le site de la CNIL et du CEPD et de la CJUE, la Cour de Justice de l’Union Européenne que je complète avec l’actualité de l’ANSSI, l’Agence Nationale de la Sécurité des Systèmes d’Information. Je suis également membre de plusieurs réseaux professionnels spécialisés en protection des données et compliance, ce qui me permet de participer à des événements professionnels.

Sur un plan plus personnel, comment peux-tu te définir ?

Le goût du challenge et la quête de nouvelles expériences m’ont conduite à ce projet professionnel passionnant. Je me définirai ainsi comme quelqu’un de profondément passionné qui vit à fond chaque expérience, quelqu’un qui se réinvente, se remet en question et je l’espère, quelqu’un avec qui on a plaisir à travailler. La frontière entre ma personnalité professionnelle et personnelle est plutôt mince à tort ou à raison, mais l’expérience tend à me conforter dans cette approche.

Qu’est ce qui peut pousser à te consulter toi plutôt qu’un autre dans un marché aujourd’hui pléthorique ?

Dans un domaine où aucune certification n’est requise, on trouve des propositions discutables et peu crédibles. Il y a même des sites Internet qui vous proposent d’être conforme en 3 clics ! Je compte sur mon expérience de juriste et sur ma profonde connaissance du sujet pour faire la différence.


Stella, mariée, deux enfants, se veut une femme moderne et dynamique, sportive et combative à tous les sens du terme (elle pratique la boxe thaï). Elle est pleinement intégrée et engagée dans la vie économique et sociale avec une expérience internationale précieuse. Elle saura à la fois vous rassurer et vous conseiller avec une bienveillance toute féminine dans un domaine qui soucie nombre d’entrepreneurs et leur fait courir un risque financier non négligeable.


Patrick GERMAIN