La conformité, c’est compliqué...
RGPD pour "Règlement général sur la protection des données". Entré en vigueur depuis le 25 mai 2018, ce véritable «big bang» de la gestion des données avec en première ligne les entreprises visant à protéger le traitement et la circulation des données à caractère personnel, semble continuer à faire couler des sueurs froides, notamment pour les TPE et PME, histoire de se mettre en conformité.
2019 aura été une année de transition afin de permettre aux différentes organisations et structures de se mettre dans les clous. D’après la CNIL (Commission nationale de l’informatique et des libertés), le «gendarme» de la RGPD dans l’Hexagone, près de 60% des organisations et structures ont pris conscience de cette nécessaire mise en conformité. La guerre des chiffres dans ce domaine est forte ; d’après d’autres baromètres privés, à l’heure actuelle seulement une entreprise sur trois serait conforme.
«Le RGPD, je vous avoue que l’on est loin d’être dans les clous !» À l’instar de ce dirigeant d’une société privée de sécurité, une entreprise sur trois ne serait pas encore conforme au niveau du RGPD (Règlement général sur la protection des données). Le temps presse pourtant car l’année 2019 avait été mentionnée comme une année de mise en conformité en la matière. Entré en vigueur le 25 mai 2018, le RGPD est le nouveau cadre européen concernant le traitement et la circulation des données à caractère personnel, en fait l’ensemble des éléments sur lesquels s’appuient les entreprises pour proposer des services et des produits. «L’objectif du RGPD est d’être le nouveau texte de référence dans l’Union européenne au sujet des données personnelles, en remplaçant une directive de 1995. Cette réforme de la législation européenne apparaissait nécessaire du fait de l’explosion du numérique, l’apparition de nouveaux usages et la mise en place de nouveaux modèles économiques», explique un juriste conseil d’entreprises. Sur le papier, tout semble plus que clair. Reste que dans la mise en œuvre de la chose, bon nombre n’hésitent pas à parler d’un véritable casse-tête, voire tout simplement d’usine à gaz.
«Moins d’une organisation sur trois se conforme pleinement au RGPD malgré l’entrée en vigueur en mai 2018»
TPE et PME : accompagnement nécessaire
«Moins d’une organisation sur trois se conforme pleinement au RGPD malgré l’entrée en vigueur, il y a près d’un an et demi, de la législation sur la protection de la vie privée dans toute l’Europe», peut-on lire dans une étude réalisée par le cabinet de conseil Capgemini parue en septembre 2019 (voir encadré). «Pour de nombreuses organisations, l’ampleur réel du défi du RGPD n’est devenue évidente qu’au moment où elles ont commencé les projets initiaux visant à identifier les données applicables qu’elles détenaient. Seules les organisations les plus ciblées étaient prêtes pour le RGPD au moment de l’entrée en vigueur», assure un expert de la cybersécurité. En d’autres termes, les grands groupes, les ETI, les entreprises du digital et du numérique apparaissaient donc beaucoup plus aptes à faire face à la mise en œuvre de cette réglementation. Quid alors des TPE et PME ? La CNIL (Commission nationale de l’informatique et des libertés), le «gendarme » du RGPD en France, a pris en compte le fait que pour la grande majorité des entreprises composant le tissu économique hexagonal, la mise en conformité pourrait être considérée plus comme une contrainte, voire une véritable entrave à leur développement.
Le schéma, disons classique, pour mener à bien de front ce passage obligé au RGPD peut se résumer, selon la CNIL, en six étapes principales : désigner un délégué à la protection des données (interne ou externe), délimiter l’étendue de l’utilisation des données personnelles dans le cadre de l’activité de l’entreprise, mener une étude de risques auxquels l’entreprise s’expose à l’image de la fuite ou de la violation de la protection, l’identification du processus de mise en conformité, l’organisation en interne de la mise en conformité et créer un dossier interne de conformité RGPD.
Contrôles de la CNIL
«La quasi-totalité des entreprises sont concernées par le RGPD car il y a des traitements de données partout (…). Le grand changement du RGPD est le principe de responsabilisation : chacun gère soi-même sa conformité et doit être capable de le prouver. La CNIL fait donc beaucoup de pédagogie. Notre action est dirigée vers ceux qui ont le moins de moyens et principalement les TPE, les PME, mais également les acteurs publics locaux comme les communes», assurait Marie-Laure Denis, la présidente de la CNIL en avril 2019. Histoire de permettre aux entreprises, et principalement les plus petites, de se mettre en conformité avec le RGPD, la CNIL a mis en place plusieurs outils à l’image d’un guide spécial pour les TPE et PME, un logiciel en opensource «qui facilite la réalisation d’études d’impact, un modèle de registre simplifié, des exemples de mentions d’information pour les usagers, des éclairages sur des notions clés comme le profilage, le consentement ou les transferts de données».
Si la CNIL entend continuer son rôle de pédagogie, il n’en demeure pas moins que la vitesse supérieure devrait rapidement être passée au niveau des contrôles et des éventuelles sanctions, comme l’a d’ailleurs précisé la CNIL il y a quelques mois. «La mise en conformité est obligatoire, mais il est impossible en effet d’être en tout point conforme. Le travail à effectuer est lourd et il s’inscrit dans le temps long», assure un professionnel accompagnant les entreprises dans leur démarche RGPD.
Reste que le RGPD, s’il est encore perçu comme une contrainte par bon nombre de TPE et de PME, même si la prise de conscience à son sujet est bien présente, il se doit, pour bon nombre d’experts et de professionnels, d’être considéré comme une opportunité. «Le RGPD ne doit pas être vu comme une contrainte mais comme un enjeu. C’est une responsabilité sociétale de l’entreprise qui garantit à ses clients et ses salariés une conformité avec le règlement. C’est un avantage concurrentiel, mais si la conformité n’est pas là, l’entreprise risque tout simplement de voir son développement mis à mal», assure un professionnel. L’année 2019 marque l’achèvement de cette transition et il apparaît essentiel que l’ensemble des entreprises et organismes y soient conformes. Aussi, 2020 pourrait voir l’intensification des contrôles par la CNIL qui assure, dans son bilan du mois de mai 2019, qu’elle fera preuve de discernement dans son action, répressive notamment (les sanctions peuvent atteindre 20 millions d’euros ou 4% du CA mondial), en tenant compte de la bonne foi des organismes. Rassurant…
Les entreprises à la traîne…
28% des entreprises (seulement) seraient en conformité au niveau du RGPD ! C’est ce qui ressort d’une étude du Capgemini Research Institute parue en septembre 2019. «Cette étude révèle que les entreprises ont surestimé leurs capacités à se conformer avec la nouvelle législation. L’année dernière, une étude montrait que 78% des entreprises interrogées estimaient pourvoir atteindre la conformité avant l’entrée en vigueur du RGPD en mai 2018 ; elles ne sont que 28% à déclarer l’être à ce jour», assure le cabinet de conseil en services informatiques et transformation numérique. Les initiatives de conformité sont principalement freinées par leurs anciens systèmes IT (38%), la complexité des exigences à respecter (36%) et le coût prohibitif des projets de conformité (33%). «Même si les entreprises peinent à atteindre la conformité, elles réalisent des investissements significatifs pour faire face aux coûts élevés qu’elle représente», stipule l’enquête. Point positif : 92% des entreprises conformes affirment avoir obtenu un avantage compétitif alors qu’elles étaient 28% seulement à s’y attendre l’année dernière. Les dirigeants ayant atteint la conformité indiquent avoir constaté des améliorations en termes de confiance client (84%), d’image de marque (81%) et de motivation des employés (79%). «Cette enquête met en lumière les difficultés auxquelles les entreprises se heurtent sur le chemin de la conformité, mais aussi des avantages pour celles qui réussissent», assure Zhiwei Jiang, directeur général des activités Insights & Data de Capgemini. «Un grand nombre de dirigeants prennent conscience de l’ampleur des investissements et des changements organisationnels requis pour atteindre la conformité.»
Sécurité des données : la confiance ne règne pas…
43% des collaborateurs des entreprises françaises pensent que leurs données sont stockées de manière responsable et sécurisée par leur employeur. Ce chiffre, tiré de l’enquête The Workforce View in Europe 2019 du groupe ADP (Always Designing for People) étudiant les comportements et l’état d’esprit des salariés face au monde du travail, laisse penser que du chemin reste encore à faire sur le sujet dans les entreprises hexagonales par rapport à leurs voisines européennes. Ainsi, 56% des collaborateurs européens affirment que leurs données sont stockées de manière responsable et sécurisée. En France, 36% des salariés s’inquiètent toujours de la sécurité de leurs données personnelles. La principale préoccupation des salariés demeure le manque de contrôle sur les données stockées (14%), suivie par les inquiétudes concernant la vulnérabilité des systèmes de leur entreprise face aux cyberattaques ou aux violations de données (13%). À noter que 9% craignent que leurs données soient conservées sans leur consentement.