Trois années après l’entrée en application du RGPD, le baromètre KPMG France fait le point sur l’état d’avancement de ce chantier au sein des entreprises françaises.
Les entreprises ont saisi l’importance des enjeux liés au RGPD et ont mis en place des organisations dédiées
L’entrée en application du RGPD en mai 2018 et les projets de mise en conformité associés ont constitué un véritable défi pour les entreprises. Aiguillées par la prise de conscience des enjeux de sanctions potentielles (pour 80 % des répondants) mais aussi de réputation (66 % des réponses), elles se sont lancées dans des chantiers de mise en conformité d’ampleur. Ces travaux ont concerné l’état des lieux des traitements, le cadre de la gouvernance, l’analyse des écarts et la mise en œuvre des actions de remédiation.
Dans la majorité des cas, c’est la direction générale ou les fonctions de contrôle telles que la conformité ou le juridique qui ont été à l’initiative de ces travaux. Les entreprises ont dans leur grande majorité (80 %) nommé un DPO, le plus souvent interne et non dédié à ces fonctions. Elles ont également, pour près de la moitié d’entre elles, mis en place une gouvernance relative à la protection des données personnelles. Le registre des traitements, les informations préalables et les consentements ainsi que la politique de gestion des données personnelles sont les chantiers de mise en conformité les plus avancés.
Même si des chantiers significatifs ont été lancés, un tiers des entreprises n’ont pas finalisé l’étape fondatrice de recensement des traitements
Les AIPD (analyses d’impact relatives à la protection des données) et la mise en place des durées de conservation constituent les deux thématiques les moins abouties (respectivement citées par 42 % et 30 % des répondants). Ces chantiers sont menés malgré des moyens globalement limités. Bien que la mise en conformité ait permis des bénéfices certains, tels que la mise en place d’une meilleure gouvernance de la donnée ou l’amélioration de la cyber résilience, les entreprises rencontrent des difficultés liées à la charge de travail (66 %) et à la complexité du règlement (39 %). L’étude révèle également que plus de trois ans après l’entrée en application du règlement, un tiers des entreprises n’ont toujours pas achevé la première phrase d’identification des traitements.
« Trois ans après l’entrée en application du règlement européen, les entreprises françaises se sont massivement mobilisées et ont une vision claire de leur exposition au risque et des enjeux de conformité. L’avancement des chantiers de mise en conformité est en revanche inégal et souffre souvent d’un manque de moyens. Quelle que soit leur taille, les entreprises considèrent très majoritairement que l’atteinte de la pleine conformité constitue un chantier à long terme » déclare Vincent Maret, Associé, Responsable du pôle Cybersécurité et protection des données personnelles chez KPMG France.