RGPD : surmonter les obstacles

Pour les consultants spécialistes de la nouvelle réglementation, un nombre particulièrement faible d’organismes sont en règle, alors même que le RGPD impose une mise en conformité depuis le 25 mai 2018. Ce constat s’explique par certains freins. Examen des principaux blocages et détail des solutions.

Pour les consultants spécialistes de la nouvelle réglementation, un nombre particulièrement faible d’organismes sont en règle, alors même que le RGPD impose une mise en conformité depuis le 25 mai 2018. Ce constat s’explique par certains freins. Examen des principaux blocages et détail des solutions.

Presque douze mois après la mise en place du RGPD, les organismes respectueux de la réglementation ne sont pas pléthore. Aucun chiffre n’a été publié jusqu’ici, mais d’avis d’experts, seules les grandes entreprises ayant mis en place une politique de protection des données (en France, en application de la loi informatique et liberté de 1978) sont en règle. Elles n’ont eu qu’à établir un audit des outils existants en leur sein et à les aménager pour une mise en conformité totale. Les autres structures de grande taille n’ont pas beaucoup avancé sur le sujet. Pour Francesca Serio, consultante en gestion de crise et en protection des données personnelles chez Provadys, « certaines grandes entreprises qui manipulent beaucoup de données sont encore au point mort ». Les plus petits organismes, quant à eux, sont nombreux à ignorer le texte qui s’impose à eux.

Frein n° 1 : Le coût

Se conformer au RGPD coûte cher. Une enquête confidentielle réalisée par une association du secteur révèle que le budget de mise en conformité des grandes entreprises s’évalue en millions de dollars, quand bien même une partie des organismes interrogés en ignorent le montant. Soixante-dix pour cent des répondants, principalement situés en Europe et en Amérique du Nord, et qui regroupent plus de 500 salariés chacun, ont dépensé moins d’un million de dollars pour 27 % d’entre eux, entre 1 million et 5 millions pour 29 % et plus de 5 millions pour 38 %.

En France, les coûts des prestations des sociétés de consulting spécialisées en protection des données personnelles varient également. Ils dépendent du travail d’audit à réaliser sur l’ensemble des données et leur utilisation, plus exactement de la typologie et du nombre de services internes utilisateurs des données personnelles et du nombre de salariés à former. Ce qui est certain en revanche, c’est qu’une fois ces prestations effectuées et les outils de conformité mis en place et payés, le prix du RGPD sera celui de simples mises à jour, et s’échelonne entre quelques centaines d’euros et plusieurs centaines de milliers d’euros la première année. Par la suite, l’organisme dépensera les sommes nécessaires au suivi des outils et au travail du data protection officer (DPO). Avoir recours à un DPO non salarié de l’organisme coûterait plusieurs milliers d’euros par an. Pour les plus petites structures, le professionnel proposera un forfait pour une intervention de quatre à six jours par an. « Cette question est très complexe car le coût de la mise en conformité dépend du périmètre que l’on souhaite rendre conforme », explique Yann Boumah, expert en sécurité digitale chez Leaders League.

Frein n° 2 : L’identification des bonnes personnes

Il existe au moins deux types d’organisations pour lesquelles le DPO est obligatoire : les institutions publiques et les entreprises dont les activités de base les amènent, selon la Cnil, « à réaliser un suivi régulier et systématique des personnes à grande échelle, ou à traiter à grande échelle des données dites “sensibles” ou relatives à des condamnations pénales et infractions ». Mais trouver un DPO ne se fait pas sans difficultés. Certes, depuis le 25 mai 2018, les cabinets de conseil en RGPD se multiplient. Néanmoins, le nombre de DPO disponibles sur le marché est toujours insuffisant. Le métier reste jeune. Francesca Serio, dont la société propose ce service, confirme : « Il existe une vraie pénurie de DPO. Il n’est pas facile de trouver quelqu’un qui, en plus d’avoir des compétences techniques, juridiques et organisationnelles, fasse preuve de pragmatisme dans l’application du texte. » Selon la Commission nationale de l’informatique et des libertés, la France aurait besoin de plus de 80 000 DPO. Elle comptabilise 13 000 déclarations d’entreprises qui spécifient avoir un DPO, soit 16 % des entreprises seulement.

Pour être certain de trouver les bonnes personnes, on peut se tourner vers la Cnil qui établit une liste de professionnels ayant suivi des formations labélisées par ses soins. L’association française de normalisation (Afnor) dispense également des certificats à des outils indépendants spécialisés dans la mise en place du RGPD. Smart Global Privacy est par exemple « jugé conforme aux exigences Afaq protection des données personnelles ». Le recours à ce type d’agrément est d’autant plus stratégique que de faux professionnels apparaissent, utilisant parfois les logos officiels des institutions publiques.

Frein n° 3 : Le manque d’information

Les entreprises, particulièrement les petites, sont encore mal informées et toutes ne se préoccupent pas d’une mise aux normes. Parfois, certaines TPE ignorent tout de l’existence de la réglementation, elles ne se sentent tout simplement pas concernées. C’est en tout cas l’avis de Jérôme Cail, créateur de Diginsight : « Premièrement visées, les grandes entreprises sont ainsi mieux armées face au RGPD. Les PME de leur côté sont nombreuses à ne même pas avoir conscience qu’elles détiennent des données sensibles. » Les créateurs de solutions digitales de mise en conformité – il en existe une vingtaine en France – sont donc tous dans une phase d’évangélisation.

D’autres structures se sont quant à elles embarquées sur une mauvaise voie. Elles sont nombreuses à avoir programmé des envois électroniques (mail ou newsletter) à destination des personnes figurant dans leur base de données. Objectif : les inviter à accepter ou non de figurer dans ces fichiers, ou à modifier leurs coordonnées. Une initiative bien vaine pour se conformer au règlement dans sa globalité, selon plusieurs experts.

Frein n° 4 : RGPD vs Sapin 2

La mise en application du RGPD se complexifie pour les grandes entreprises sujettes à la législation française relative à la lutte contre la corruption et la modernisation de la vie économique dite Sapin 2. Lorsque l’Europe exige la protection des données, la France impose la transparence. Cela est particulièrement vrai en matière de droit d’alerte. Alors que Sapin 2 impose aux entreprises de surveiller ses salariés et sous-traitants tout en relevant les manquements dénoncés afin de pouvoir y mettre un terme en cas de violation de la loi pénale, le règlement sur la protection des données requiert l’anonymisation de ces démarches de délation. Et ce, afin de protéger les lanceurs d’alerte. Mais comment mener une enquête interne si les éléments historiques d’un dossier contenant des preuves de comportement répréhensible sont effacés ? « Il y a effectivement des contradictions entre les obligations, mais cela n’est pas nouveau, il y en a toujours eu entre les réglementations », réagit le consultant Guy Birenbaum. Certaines rassurent et parviennent tout de même à organiser leur conformité à la fois au RGPD et à Sapin 2 : « Ce sont deux sujets distincts, avec deux fonctionnements différents et deux budgets complémentaires, conclut une directrice de la conformité d’un grand groupe lors du Sommet du droit 2019. Aucun n’a pris le pas sur l’autre. » Et pour ceux que cela bloque encore, la Cnil devrait bientôt fournir des éléments précis de conciliation entre les deux récentes réformes.

Marine Noehser (@Mnsh57) et Pascale D'Amore (@PascaleDAmore)

Vous avez apprécié cet article ? Likez Magazine Décideurs sur Facebook !

retrouvez l'intégralité du dossier Protection des données personnelles : l’Union (européenne) fait la force

Avec le RGPD, l’Europe se dote pour la première fois d’une réglementation extraterritoriale. Ce qu’elle impose aux organismes européens en matière de protection des données personnelles, elle l’exige aussi des entreprises dont le siège est hors de l’Union lorsqu’elles traitent des données des Européens.
Sommaire RGPD : une arme de construction massive Wojciech Wiewiórowski : « Ce qui change, ce ne sont pas les contraintes mais la menace d’une sanction » RGPD, une protection tous azimuts Sanctionner n’est pas une priorité Jean Lessi (Cnil) : « La Cnil continue d’accompagner, de contrôler et de sanctionner » Droits de l'homme : l'Europe protectrice Le RGPD à la conquête du monde Huawei prise dans la guerre digitale USA-Chine
M&A : évolution du contrôle de concentration

M&A : évolution du contrôle de concentration

La vice-présidente exécutive de la Commission européenne Margrethe Vestager l’avait annoncé lors du renouvellement des commissaires fin 2019 : le droi...

Hogan Lovells retrouve une de ses associées en droit social

Hogan Lovells retrouve une de ses associées en droit social

Le retour de Marion Guertault chez Hogan Lovells permet au département dédié au droit social du bureau de Paris de compter une troisième associée.

Allemagne : Centurion Plus ouvre deux bureaux

Allemagne : Centurion Plus ouvre deux bureaux

Le conglomérat de cabinets d'avocats panafricains Centurion Plus, membre du réseau Centurion, s’implante à Francfort et à Berlin.

Agence de traduction : Acolad s’offre Amplexor

Agence de traduction : Acolad s’offre Amplexor

Le groupe spécialiste de la traduction notamment pour les professionnels du droit Acolad vient de racheter son concurrent luxembourgeois Amplexor. Une...

Nexa Avocats : nouveau cabinet de droit fiscal

Nexa Avocats : nouveau cabinet de droit fiscal

Anne-Lise Chagneau et Mallory Labarrière allient leurs expériences pour créer Nexa Avocats, cabinet qui allie fiscalité des entreprises et des personn...

L’UE favorable à une régulation des locations temporaires

L’UE favorable à une régulation des locations temporaires

C’est par un arrêt du 22 septembre 2020 que la Cour de justice de l’Union européenne (CJUE) vient de déclarer conforme au droit européen la réglementa...

Deloitte Taj coopte deux nouveaux associés

Deloitte Taj coopte deux nouveaux associés

Le cabinet d'avocats affilié à Deloitte, Taj, renforce ses activités en droit fiscal et conseil juridique en nommant associés deux de ses avocats : Ma...

Coopération entre l’AMF et l’AFA

Coopération entre l’AMF et l’AFA

L’objectif poursuivi par l’Agence française anticorruption (AFA) est de bénéficier du concours de l’Autorité des marchés financiers (AMF) lors de sa r...

Lire plus d'actualités

Newsletter savoir pour agir

N'avancez plus à l'aveugle

Ne plus afficher ce message