Encore des retardataires sur la conformité RGPD parmi les entreprises françaises
Trois ans après l'entrée en application du Règlement européen sur la Protection des Données (RGPD), KPMG France a interrogé les entreprises françaises pour voir où celles-ci en sont sur la mise en conformité, constatant qu'un tiers sont en retard sur le recensement des traitements.
PublicitéAlors que le Règlement européen sur la Protection des Données (RGPD) est entré en vigueur en mai 2018, trois ans après, toutes les entreprises françaises sont loin d'avoir achevé leur mise en conformité. C'est ce que révèle un baromètre réalisé par KPMG France au premier trimestre 2021, pour lequel 70 organisations de toutes tailles ont été interrogées.
Globalement, les entreprises françaises ont pris conscience de l'importance du sujet. Ainsi, 88% des répondants considèrent que les enjeux associés au RGPD sont au moins d'importance moyenne, et 65% le conçoivent comme un enjeu d'importance majeure, voire critique. Parmi les risques les plus redoutés figurent les sanctions potentielles, citées par 80% du panel, suivis par les risques sur l'image et la réputation (66%) et par la perte de confiance des clients (54%). Les principaux facteurs d'exposition face à la législation concernent la sensibilité des données (chez 46% des entreprises), ainsi que la nature des traitements et la volumétrie des données, toutes deux à 43%. La cybersécurité est également citée par 41% des sondés et ressort comme la préoccupation principale des grands groupes (89%, contre 37% des PME).
À la clef, des bénéfices sur la gouvernance des données
Le plus souvent, ce sont les directions générales et comités d'audits qui ont enclenché la mise en oeuvre des chantiers de conformité (62% des cas), tandis que les fonctions internes (direction juridique, direction de la conformité) occupent la deuxième place (50%). Huit entreprises sur dix ont nommé un DPO (Data Protection Officer), le plus souvent interne (93% des cas) et non dédié à ses fonctions. Près de la moitié d'entre elles (45%), ont également mis en place une gouvernance relative à la protection des données personnelles et 33% travaillent sur le sujet. Les chantiers les plus avancés sont le registre des traitements (en place chez 76% des sondés), l'information préalable et le recueil du consentement (60%), ainsi que la politique de gestion des données personnelles (52%). Malgré tout, plus d'un tiers (35%) des entreprises interrogées indique n'avoir pas finalisé le recensement des traitements, une étape essentielle pour la mise en conformité.
Dans la plupart des organisations, il reste des efforts à fournir pour achever la conformité, 39% seulement ayant réalisé leur plan d'action à plus de 75%. Parmi les étapes les moins avancées figurent les analyses d'impact relatives à la protection des données (citées par 42%) et la mise en place des durées de conservation (30%) et le privacy by design (21%). Les facteurs qui ralentissent la mise en conformité sont avant tout la charge de travail représentée (pour 66% des sondés) et la complexité du règlement (39%). Cependant, le jeu en vaut la chandelle. Le premier bénéfice constaté par les organisations est l'amélioration ou la mise en place d'une gouvernance des données (42%), un sujet essentiel pour bien d'autres domaines que la seule conformité. L'amélioration de la cybersécurité et de la cyberrésilience, autre enjeu majeur, vient en deuxième place, citée par 34% des répondants.
Article rédigé par
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire