Si les entreprises ont saisi l’importance des enjeux liés au Règlement européen sur la Protection des Données (RGPD) et ont mis en place des organisations dédiées, un tiers des entreprises n’a pas finalisé l’étape fondatrice de recensement des traitements. La pleine conformité au RGPD, 3 ans après son entrée en application, reste donc une cible à atteindre.
Trois années après l’entrée en application du RGPD, le baromètre RGPD de KPMG France fait le point sur l’état d’avancement de ce chantier au sein des entreprises françaises. Aiguillées par la prise de conscience des enjeux de sanctions potentielles (pour 80% des répondants), mais aussi de réputation (66% des réponses), les entreprises se sont lancées dans des chantiers de mise en conformité d’ampleur. Ces travaux ont concerné l’état des lieux des traitements, le cadre de la gouvernance, l’analyse des écarts et la mise en œuvre des actions de remédiation.
La mise en place d’une gouvernance relative à la protection des données personnelles
Dans la majorité des cas, c’est la direction générale ou les fonctions de contrôle telles que la conformité ou le juridique qui ont été à l’initiative de ces travaux. Les entreprises ont dans leur grande majorité (80%) nommé un DPO (Data Protection Officer), le plus souvent interne. Elles ont également, pour près de la moitié d’entre elles, mis en place une gouvernance relative à la protection des données personnelles. Le registre des traitements, les informations préalables et les consentements, ainsi que la politique de gestion des données personnelles sont les chantiers de mise en conformité les plus avancés.
Malgré cela, un tiers des entreprises n’a pas finalisé l’étape fondatrice de recensement des traitements. Les AIPD (analyses d’impact relatives à la protection des données) et la mise en place des durées de conservation constituent les deux thématiques les moins abouties (respectivement citées par 42 % et 30 % des répondants).
Ces chantiers sont menés malgré des moyens globalement limités (budget comme ressources humaines). Bien que la mise en conformité ait permis des bénéfices certains, telles que la mise en place d’une meilleure gouvernance de la donnée ou l’amélioration de la cyber résilience, les entreprises rencontrent des difficultés liées à la charge de travail (66 %) et à la complexité du Règlement (39%).
La pleine conformité au RGPD reste une cible à atteindre
Tous types d’entreprises confondus, des chantiers de long terme restent encore à mener, qu’il s’agisse d’actions de mise en conformité à finaliser ou d’améliorations à mettre en œuvre sur les dispositifs existants. un constat que met en avant Vincent Maret, Associé, Responsable du pôle Cybersécurité et Protection des données personnelles chez KPMG France : « Trois ans après l’entrée en application du Règlement européen, les entreprises françaises se sont massivement mobilisées et ont une vision claire de leur exposition au risque et des enjeux de conformité. L’avancement des chantiers de mise en conformité est en revanche inégal et souffre souvent d’un manque de moyens. Quelle que soit leur taille, les entreprises considèrent très majoritairement que l’atteinte de la pleine conformité constitue un chantier à long terme. »
*L’enquête a pris la forme d’un questionnaire destiné aux professionnels de la protection des données personnelles d’un large panel d’entreprises de toutes tailles et secteurs d’activité basées en France. Les réponses ont été collectées au cours du premier trimestre 2021.
