Les PME sont le moteur de l’économie mondiale. En France par exemple, presque 50% des salariés travaillent dans une PME qui représentent 36% du chiffre d’affaires total des entreprises françaises[1]. Malgré ce rôle important, il n’est pas rare que les PME négligent des étapes essentielles de gestion et de protection de l’information, qui est pourtant l’un de leurs atouts les plus précieux.

Les conditions idéales de traitement et de gestion des données sont rendues plus difficiles à atteindre du fait de l’actuelle complexité du paysage de l’information. Les obligations réglementaires de conformité, dont le prochain règlement général sur la protection des données de l’UE[2], sont confrontées à d’autres facteurs et notamment à la transformation numérique que doivent conduire des salariés pressés par le temps et submergés par de gros volumes d’information. On le comprend, il est difficile dans cet environnement de mettre en place des processus efficaces et conformes de gestion de l’information.

Alors, que peuvent faire les PME pour se faciliter la vie ? Comment peuvent-elles s’y prendre pour ne pas risquer d’enfreindre les réglementations ?

Erreur numéro 1 de gestion de l’information : le manque de vigilance des jeunes structures
Les plus jeunes sociétés ont naturellement de mauvaises habitudes vis-à-vis des informations qu’elles détiennent, elles ont peu confiance dans leurs propres procédures de protection des données et sont peu enclines à vouloir automatiser les processus. C’est souvent parce qu’elles ont encore l’état d’esprit d’une start-up, à l’affût de la prochaine vente et entièrement plongées dans la course au développement de leur produit.

Dans les plus jeunes entreprises, les collaborateurs se montrent plus négligents vis-à-vis des informations confidentielles et sensibles. Près de la moitié des salariés des entreprises de moins de cinq ans admettent avoir laissé des documents sensibles à la vue de tous dans un bureau, les avoir traités négligemment ou même les avoir oubliés ou égarés dans un lieu public. C’est deux fois plus que dans les sociétés plus établies, où moins d’un salarié sur quatre reconnaît de telles négligences de gestion de l’information.

En général, c’est avec la maturité que viennent le souci et la maîtrise des obligations légales régissant les informations internes. Les plus jeunes entreprises sont beaucoup moins au fait des délais légaux de conservation des documents, déclarations fiscales, contrats et données de clients. Plus de la moitié des professionnels travaillant dans des entreprises de cinq ans maximum reconnaissent qu’ils ont pu conserver des dossiers sensibles relatifs aux ressources humaines au-delà des dates limites de rétention, contre à peine 20% dans les sociétés de plus de 25 ans.

Or la loi ne prévoit pas d’immunité pour les jeunes entités qui enfreindraient les réglementations. Elles ont beau avoir du mérite dans leur prospection commerciale et leurs efforts de développement ou d’ouverture à de nouveaux marchés, ces jeunes entreprises doivent bien réfléchir aux conditions de mise en place des processus et des politiques de gestion de l’information. Si les choses sont bien faites dès le début, de bonnes habitudes seront prises et cette culture instaurée en interne continuera de protéger l’entreprise au gré de sa croissance.

Erreur numéro 2 de gestion de l’information : la direction ne montre pas le bon exemple
Même si les salariés sont en majorité bien informés des délais légaux de rétention des documents dans leur entreprise conformément aux lois de protection des données, plus d’un quart admet avoir enfreint les règles en ayant conservé des documents sur leur PC ou dans leurs dossiers.

Les dirigeants et chefs d’entreprise sont particulièrement ignorants ou, peut-être, désinvoltes quant aux délais légaux de rétention des documents, déclarations fiscales, contrats et données de clients. La moitié des chefs d’entreprise admet avoir conservé sur leur ordinateur des documents bien au-delà des dates légales obligeant à les détruire. Et ceci alors même que les entreprises ne devraient pas conserver des données personnelles plus longtemps que nécessaire selon leur vocation d’origine. Elles s’exposent sinon à de lourdes conséquences, tant en termes de sanctions financières et de préjudice de réputation que d’érosion de la confiance des clients et de menace pour leur propre survie à long terme.

Il est temps que les dirigeants des PME donnent l’exemple à cet égard. Ce n’est qu’après que les membres de la direction auront intégré les politiques de gestion de l’information, instauré un changement de culture et favorisé l’adoption de meilleures habitudes que ces bonnes pratiques se répercuteront dans toute l’entreprise jusqu’à créer une culture de responsabilité vis-à-vis de la protection des données.

Erreur numéro 3 de gestion de l’information : négliger de garder les informations sensibles sous contrôle
Malgré les formidables avancées réalisées en faveur de la numérisation de l’information, les processus papier continuent de prévaloir. On les retrouve dans bon nombre des cas de mauvaise gestion de l’information, où des documents papier sont égarés ou mal classés, sans égard pour les règles applicables de rétention et de destruction.

Partout dans le monde, les PME doivent se départir de leurs mauvaises habitudes de gestion des informations sensibles si elles souhaitent se protéger des risques de fuite des données et de compromission des règles. Avoir un référentiel central où stocker des informations sensibles en toute sécurité est un bon début ; il est recommandé également de les confier à un tiers de confiance spécialiste du stockage sécurisé sur un site distant. Il est important également de réfléchir aux conditions du partage de l’information dans l’entreprise. Une fois qu’un contrat ou un CV a été partagé dans l’entreprise, il est indispensable de s’assurer qu’il existe des processus permettant de suivre l’information pour savoir où elle se trouve.

Il ne fait aucun doute que les PME rencontrent des difficultés de gestion de l’information. Ce ne sera pas simple pour ces entreprises de se mettre en conformité mais elles ont déjà intérêt à éviter les erreurs fréquentes que nous venons d’évoquer malgré la complexité des réglementations.

Mais c’est en instaurant dès aujourd’hui des processus que les entreprises prospérer, à l’abri d’éventuelles sanctions financières, de préjudice de leur réputation et de perte de la confiance leurs clients.