RGPD : surmonter les obstacles

Pour les consultants spécialistes de la nouvelle réglementation, un nombre particulièrement faible d’organismes sont en règle, alors même que le RGPD impose une mise en conformité depuis le 25 mai 2018. Ce constat s’explique par certains freins. Examen des principaux blocages et détail des solutions.

Pour les consultants spécialistes de la nouvelle réglementation, un nombre particulièrement faible d’organismes sont en règle, alors même que le RGPD impose une mise en conformité depuis le 25 mai 2018. Ce constat s’explique par certains freins. Examen des principaux blocages et détail des solutions.

Presque douze mois après la mise en place du RGPD, les organismes respectueux de la réglementation ne sont pas pléthore. Aucun chiffre n’a été publié jusqu’ici, mais d’avis d’experts, seules les grandes entreprises ayant mis en place une politique de protection des données (en France, en application de la loi informatique et liberté de 1978) sont en règle. Elles n’ont eu qu’à établir un audit des outils existants en leur sein et à les aménager pour une mise en conformité totale. Les autres structures de grande taille n’ont pas beaucoup avancé sur le sujet. Pour Francesca Serio, consultante en gestion de crise et en protection des données personnelles chez Provadys, « certaines grandes entreprises qui manipulent beaucoup de données sont encore au point mort ». Les plus petits organismes, quant à eux, sont nombreux à ignorer le texte qui s’impose à eux.

Frein n° 1 : Le coût

Se conformer au RGPD coûte cher. Une enquête confidentielle réalisée par une association du secteur révèle que le budget de mise en conformité des grandes entreprises s’évalue en millions de dollars, quand bien même une partie des organismes interrogés en ignorent le montant. Soixante-dix pour cent des répondants, principalement situés en Europe et en Amérique du Nord, et qui regroupent plus de 500 salariés chacun, ont dépensé moins d’un million de dollars pour 27 % d’entre eux, entre 1 million et 5 millions pour 29 % et plus de 5 millions pour 38 %.

En France, les coûts des prestations des sociétés de consulting spécialisées en protection des données personnelles varient également. Ils dépendent du travail d’audit à réaliser sur l’ensemble des données et leur utilisation, plus exactement de la typologie et du nombre de services internes utilisateurs des données personnelles et du nombre de salariés à former. Ce qui est certain en revanche, c’est qu’une fois ces prestations effectuées et les outils de conformité mis en place et payés, le prix du RGPD sera celui de simples mises à jour, et s’échelonne entre quelques centaines d’euros et plusieurs centaines de milliers d’euros la première année. Par la suite, l’organisme dépensera les sommes nécessaires au suivi des outils et au travail du data protection officer (DPO). Avoir recours à un DPO non salarié de l’organisme coûterait plusieurs milliers d’euros par an. Pour les plus petites structures, le professionnel proposera un forfait pour une intervention de quatre à six jours par an. « Cette question est très complexe car le coût de la mise en conformité dépend du périmètre que l’on souhaite rendre conforme », explique Yann Boumah, expert en sécurité digitale chez Leaders League.

Frein n° 2 : L’identification des bonnes personnes

Il existe au moins deux types d’organisations pour lesquelles le DPO est obligatoire : les institutions publiques et les entreprises dont les activités de base les amènent, selon la Cnil, « à réaliser un suivi régulier et systématique des personnes à grande échelle, ou à traiter à grande échelle des données dites “sensibles” ou relatives à des condamnations pénales et infractions ». Mais trouver un DPO ne se fait pas sans difficultés. Certes, depuis le 25 mai 2018, les cabinets de conseil en RGPD se multiplient. Néanmoins, le nombre de DPO disponibles sur le marché est toujours insuffisant. Le métier reste jeune. Francesca Serio, dont la société propose ce service, confirme : « Il existe une vraie pénurie de DPO. Il n’est pas facile de trouver quelqu’un qui, en plus d’avoir des compétences techniques, juridiques et organisationnelles, fasse preuve de pragmatisme dans l’application du texte. » Selon la Commission nationale de l’informatique et des libertés, la France aurait besoin de plus de 80 000 DPO. Elle comptabilise 13 000 déclarations d’entreprises qui spécifient avoir un DPO, soit 16 % des entreprises seulement.

Pour être certain de trouver les bonnes personnes, on peut se tourner vers la Cnil qui établit une liste de professionnels ayant suivi des formations labélisées par ses soins. L’association française de normalisation (Afnor) dispense également des certificats à des outils indépendants spécialisés dans la mise en place du RGPD. Smart Global Privacy est par exemple « jugé conforme aux exigences Afaq protection des données personnelles ». Le recours à ce type d’agrément est d’autant plus stratégique que de faux professionnels apparaissent, utilisant parfois les logos officiels des institutions publiques.

Frein n° 3 : Le manque d’information

Les entreprises, particulièrement les petites, sont encore mal informées et toutes ne se préoccupent pas d’une mise aux normes. Parfois, certaines TPE ignorent tout de l’existence de la réglementation, elles ne se sentent tout simplement pas concernées. C’est en tout cas l’avis de Jérôme Cail, créateur de Diginsight : « Premièrement visées, les grandes entreprises sont ainsi mieux armées face au RGPD. Les PME de leur côté sont nombreuses à ne même pas avoir conscience qu’elles détiennent des données sensibles. » Les créateurs de solutions digitales de mise en conformité – il en existe une vingtaine en France – sont donc tous dans une phase d’évangélisation.

D’autres structures se sont quant à elles embarquées sur une mauvaise voie. Elles sont nombreuses à avoir programmé des envois électroniques (mail ou newsletter) à destination des personnes figurant dans leur base de données. Objectif : les inviter à accepter ou non de figurer dans ces fichiers, ou à modifier leurs coordonnées. Une initiative bien vaine pour se conformer au règlement dans sa globalité, selon plusieurs experts.

Frein n° 4 : RGPD vs Sapin 2

La mise en application du RGPD se complexifie pour les grandes entreprises sujettes à la législation française relative à la lutte contre la corruption et la modernisation de la vie économique dite Sapin 2. Lorsque l’Europe exige la protection des données, la France impose la transparence. Cela est particulièrement vrai en matière de droit d’alerte. Alors que Sapin 2 impose aux entreprises de surveiller ses salariés et sous-traitants tout en relevant les manquements dénoncés afin de pouvoir y mettre un terme en cas de violation de la loi pénale, le règlement sur la protection des données requiert l’anonymisation de ces démarches de délation. Et ce, afin de protéger les lanceurs d’alerte. Mais comment mener une enquête interne si les éléments historiques d’un dossier contenant des preuves de comportement répréhensible sont effacés ? « Il y a effectivement des contradictions entre les obligations, mais cela n’est pas nouveau, il y en a toujours eu entre les réglementations », réagit le consultant Guy Birenbaum. Certaines rassurent et parviennent tout de même à organiser leur conformité à la fois au RGPD et à Sapin 2 : « Ce sont deux sujets distincts, avec deux fonctionnements différents et deux budgets complémentaires, conclut une directrice de la conformité d’un grand groupe lors du Sommet du droit 2019. Aucun n’a pris le pas sur l’autre. » Et pour ceux que cela bloque encore, la Cnil devrait bientôt fournir des éléments précis de conciliation entre les deux récentes réformes.

Marine Noehser (@Mnsh57) et Pascale D'Amore (@PascaleDAmore)

Vous avez apprécié cet article ? Likez Magazine Décideurs sur Facebook !

retrouvez l'intégralité du dossier Protection des données personnelles : l’Union (européenne) fait la force

Avec le RGPD, l’Europe se dote pour la première fois d’une réglementation extraterritoriale. Ce qu’elle impose aux organismes européens en matière de protection des données personnelles, elle l’exige aussi des entreprises dont le siège est hors de l’Union lorsqu’elles traitent des données des Européens.
Sommaire RGPD : une arme de construction massive Wojciech Wiewiórowski : « Ce qui change, ce ne sont pas les contraintes mais la menace d’une sanction » RGPD, une protection tous azimuts Sanctionner n’est pas une priorité Jean Lessi (Cnil) : « La Cnil continue d’accompagner, de contrôler et de sanctionner » Droits de l'homme : l'Europe protectrice Le RGPD à la conquête du monde Huawei prise dans la guerre digitale USA-Chine
P-S. Bénac (Label Relance) : "Nous avons dépassé les 200 fonds labellisés distribués par plus de 110 sociétés de gestion"

P-S. Bénac (Label Relance) : "Nous avons dépassé les 200 fonds labellisés distribués par plus de 110...

Un an après son lancement, le label Relance s’est fait un nom auprès des sociétés de gestion. Paul-Simon Bénac, adjoint au chef du bureau Épargne et m...

Le legal design, outil de développement des "soft skills" au service de la transformation numérique des directions juridiques

Le legal design, outil de développement des "soft skills" au service de la transformation numérique...

Lors de ce premier Décideurs Talk, Sihem Ayadi, CEO et fondatrice de Juridy Legal Design, et Carla Hegly Chung, Global Head of Sales & Marketing d...

Watson Farley & Williams renforce son bureau de Dubaï

Watson Farley & Williams renforce son bureau de Dubaï

Alhassane Barry rejoint le département finance de Watson Farley & Williams à Dubaï en qualité d’associé. Il fait notamment bénéficier la firme int...

Maestria Blockchain : un nouvel acteur pour encadrer et sécuriser les projets innovants

Maestria Blockchain : un nouvel acteur pour encadrer et sécuriser les projets innovants

Seconder et sécuriser les entreprises en pleine mutation numérique sur le plan technique financier et juridique. Telle est l’ambition de la société Ma...

Sécurité des données : quel rôle pour le DPO ?

Sécurité des données : quel rôle pour le DPO ?

Si sa fonction est souvent méconnue, le DPO – délégué à la protection des données – est aujourd’hui un acteur clé pour les entreprises comme pour les...

L'accès au private equity grâce à Private Corner

L'accès au private equity grâce à Private Corner

Avec l’adoption de la loi Pacte, les acteurs privés et autres professionnels cherchent aujourd’hui à investir le réel. Illustrée par le fléchage d’une...

Création du cabinet Exso

Création du cabinet Exso

Gépy Koudadje lance Exso, nouveau cabinet de niche en droit social qui ouvrira ses portes en janvier prochain au 219, rue Saint-Honoré à Paris. Partic...

TGS France Avocats promeut une avocate à Lille

TGS France Avocats promeut une avocate à Lille

Avocate chez TGS France Avocats depuis presque quatre ans, Claire Cambernon prend la direction du bureau lillois de l’enseigne.

Lire plus d'actualités

Newsletter savoir pour agir

N'avancez plus à l'aveugle

Ne plus afficher ce message

Ce site utilise des cookies. En continuant la navigation, vous acceptez nos conditions d'utilisation des cookies.
Plus d'informations

J'accepte