Un an après, les entreprises sont-elles 100% «RGPD compliant» ?
Où en sont les entreprises, un an après l’entrée en application du RGPD ? Ont-elles toutes réalisé leur mise en conformité générale ? Les Éditions Législatives, Dalloz, en partenariat avec l’AFJE et Data Legal Drive, ont proposé aux professionnels de la protection des données exerçant dans les entreprises françaises de réaliser un premier bilan sur leur mise en œuvre pratique du RGPD. En un mois, les réponses de 189 personnes ont été recueillies, analysées et réunies dans le « Baromètre gouvernance de la data - 1 an après l’entrée en vigueur du RGPD ».
Quelques chiffres saillants à retenir et analysés le 23 mai par Maÿlis Staub, directrice générale de Pocket Result et cofondatrice de Data Legal Drive et Sylvain Staub, CEO de Data Legal Drive.
« Près de 85 % des entreprises ont nommé un DPO ou une personne en charge de la conformité », selon le baromètre. Pour autant, la mise en conformité globale avec le RGPD n’est pas encore finalisée dans toutes les structures. Seules 36 % des entreprises ont « conçu et réalisé » leur mise en conformité générale. 35 % l’ont partiellement réalisée.
« Pour l’ensemble du marché, le RGPD n’est plus une question. Dans les grandes entreprises, tout le monde a au moins engagé la discussion concernant la mise en conformité avec le règlement européen », analyse Maÿlis Staub. « Près de la moitié des grands comptes ont abordé de manière globale et avec complétude le sujet. Pour l’autre moitié, c’est en cours ». Ce qui n’est pas le cas dans les entreprises de plus petite taille. Dans 1 PME sur 5, le RGPD fait encore l'objet de discussions.
Les sites internet des entreprises sont-ils conformes avec les principes édictés par le RGPD ? 34 % des interrogés ont réalisé intégralement la conformité au RGPD de leurs sites web. Dans la majorité des grandes entreprises (57 %), la mise en conformité a été réalisée « en partie ». Seule 1 grande entreprise sur 3 l’a réalisée intégralement (32 %), contre 35 % pour les PME.
La cartographie des traitements de données a été réalisée dans certaines directions ou structures (64 %), ou intégralement (32 %), au sein des grandes entreprises. Sur ce point, les PME ont un peu de retard. Pour 16 % d'entre elles, la cartographie est en préparation, et pour 15 % d'entre elles, elle n'a pas encore été envisagée.
Cette situation est à relativiser selon Sylvain Staub. « C’est positif car il y a une certaine coresponsabilité entre les acteurs. Cela aura un impact sur la mise en conformité des PME, qui sont prestataires de ces ETI. Il y aura un effet vertueux ».
Concernant la constitution du registre de traitements de données, « plus de 80 % du marché n’est pas digitalisé », regrette Maylis Staub. 35 % des entreprises utilisent en effet un fichier Excel partiel et 30 % un fichier Excel exhaustif. Des chiffres plus élevés dans les grandes entreprises que les ETI, où le registre est parcellaire ou exhaustif sous forme de tableurs Excel pour 39 % d'entre elles (contre 38 % et 27 % dans les ETI).
« En fournissant des modèles de registres statiques, la CNIL encourage les fichiers Word ou Excel », constate la dirigeante.
Enfin, sur les mesures de sécurité, les grandes entreprises restent bonnes élèves :
- 64 % des mesures ont été prises en partie (contre 41 % des PME),
- 25 % ont été prises intégralement (30 %),
- 11 % sont en cours de réflexion (18 %).
A noter que le baromètre a vocation à devenir prochainement « éternel », afin de mesurer l’évolution de la mise en conformité des entreprises dans le temps, a annoncé Maÿlis Staub.
Les infographies illustrant l’article ont été réalisées par Amurabi (rebranding de Dot. SAS), une agence d’innovation juridique, fondée et dirigée par Marie Potel.