Deux fois plus d’entreprises ont sauté le pas de la digitalisation de leur registre des traitements de données personnelles par rapport à 2019, selon une étude.
Cette année, 2 fois plus d’entreprises ont sauté le pas de la digitalisation de leur registre des traitements de données personnelles par rapport à 2019 où elles n’étaient que 15 %, chiffre le baromètre RGPD 2022 de Data Legal Drive, un éditeur de logiciels RGPD. Les secteurs immobilier et tourisme restent à la traîne avec seulement 13 % de structures de ce secteur ayant débuté la digitalisation de leur registre des traitements de données personnelles.
L’accélération de la digitalisation de la protection des données personnelles pourrait s’expliquer par la crainte d’être contrôlé par la CNIL comme pour près de 53 % des entreprises. Afin d’anticiper un éventuel contrôle, les entreprises se préparent et les directions générales mettent en place des actions pérennes. Pour autant, 20 % des répondants estiment que la direction générale valide plus facilement des actions et des budgets après qu’une sanction de la CNIL a été émise…
Cookies : un an après, les entreprises ont réagi
Sujet en tête du podium parmi les projets de conformité prioritaires en 2021, près de 67 % des entreprises ont intégré une CMP (Consentement Management Platform ou plateforme de gestion du consentement) à leur site web cette année. Une véritable de prise de conscience sachant que seul 1 site internet sur 3 était en conformité RGPD en 2019. Depuis les nouvelles directives de la CNIL, les entreprises se sentent aidées et jugent plus facile le recueil du consentement des internautes. Reste à vérifier si toutes les CMP ont bien été configurées selon les recommandations de la CNIL.
Cyberattaques : mise en place des mesures de sécurité concrètes
Depuis la crise sanitaire, 75 % des entreprises ont évalué le niveau de sécurité de leur site web tels que le protocole https, les formulaires de recueils de données, etc. Au-delà de cet audit, la multiplication des cyberattaques pendant la période de Covid et la reprise de l’activité économique des entreprises ont généré une réactivité de la part des entreprises.
Cette année, les DPO et juristes sont deux fois plus nombreux qu’en 2020 à avoir mené des actions concrètes avec la mise en place de mesures de sécurité conformes à l’article 32 du RGPD.
Quelle priorité des entreprises pour les mois à venir ?
C’est Google Analytics et sa conformité qui pose problème. Les entreprises qui utilisent Google Analytics sont près de 40 % à souhaiter migrer vers d’autres solutions d’analyses conformes aux recommandations de la CNIL. Pour autant, 25 % espèrent poursuivre l’utilisation de Google Analytics grâce à un nouveau paramétrage qui respecterait le RGPD.
48 % des entreprises n’ont pas débuté le travail de mise en place des nouvelles CCT (clauses contractuelles types) suite à l’arrêt de Schrems 2 en raison d’un manque de connaissance mais aussi un manque de temps. Pour les 38 % qui ont débuté, le chantier n’a pas été finalisé puisque c’est un travail qui s’opère sur la durée. « En plus des nouvelles CCT, l’arrêt Schrems 2 ajoute la nécessité d’analyser chaque transfert de données pour évaluer la nécessité ou non d’ajouter à l’encadrement contractuel un encadrement technique en additionnant des mesures de sécurité supplémentaires » selon Thomas Vini Pires, Consultant Logiciel RGPD chez Data Legal Drive.
E-learning : l’outil plébiscité par les DPO pour former les collaborateurs
Afin de former les collaborateurs au RGPD, les entreprises ont majoritairement mis en place des réunions avec les directions métiers pour 62 %. Peu utilisé l’an dernier, le e-learning a profité d’un véritable boom cette année avec plus de 38 % de répondants ayant confié déployer cet outil au sein de leur structure. Les formations professionnelles et les séminaires restent en bas de classement. Selon Thomas Vini Pires, c’est un outil utile et précieux pour les DPO qui peuvent ainsi « piloter l’avancée de la formation des collaborateurs grâce aux statistiques de suivi. En cas de contrôle, cela permet aux DPO de récupérer de prouver que les collaborateurs ont bien été sensibilisés et que des pistes d’audit sont à l’étude. »
*Chaque année, Data Legal Drive met à jour son Baromètre RGPD en partenariat avec Lefebvre Dalloz et l’AFJE, qu’il réalise auprès de professionnels de la data et de la privacy.
