Les Éditions Législatives et Data Legal Drive, en partenariat avec Amurabi, Staub & Associés et l’AFJE, dressent un premier bilan anniversaire sur la mise en œuvre pratique du RGPD dans les organisations du territoire français au terme d’une étude menée auprès de 225 juristes en entreprise.
7 thèmes étudiés :
1. Désignation d’un responsable
2. Cartographie
3. Registre
4. Conformité des sites Web
5. Sécurité
6. Formation Collaborateurs
7. Renforcement Contractuel
Retrouvez quelques chiffres saillants à retenir et analysés le 11 décembre 2019 par Maÿlis Staub, Fondatrice et Directrice Marketing de Data Legal Drive et Camilo Rojas, Data Analyst chez Pocket Result. *Baromètre réalisé auprès de 225 juristes, directeurs juridiques, DSI et dirigeants d’entreprise **Data visualisation réalisée par et Pocket Result et Amurabi
Conformité générale au RGPD
Si pour l’ensemble du marché, le RGPD n’est plus une question, le niveau des démarches engagées est assez variable. Près de la moitié des grandes entreprises ont abordé de manière globale et avec complétude le sujet. Pour l’autre moitié, c’est en cours. La situation est plus mitigée pour les entreprises de tailles SMB (Small and Medium Business) : pour moins de 1 PME sur 5, le RGPD fait encore l’objet de discussions.
NOTRE AVIS
La gouvernance de la data à travers la mise en exécution du RGPD mériterait d’être menée de manière globalisée et pérenne. Et l’on pourrait s’attendre à ce que cela soit le cas prioritairement au sein des grands comptes et des ETI. Or comme le montre l’étude, moins de la moitié de ces entreprises a abordé le RGPD comme un véritable projet global d’entreprise. Paradoxalement, un bon exemple à suivre en termes de démarche organisationnelle, technique et juridique est celui des acteurs de la Tech – start-up ou scale-up – par essence Privacy by Design. Ces acteurs, jeunes sur le marché, brillent par la maturité et la lucidité de leur démarche face à la révolution qu’entraîne l’exploitation de la data.
Conformité des sites web
Seul 1/3 des sites web seraient à 100% conforme : un résultat étonnant. première vitrine de l’entreprise, le site web est le lieu où la mise en conformité RGPD est à opérer parmi les toutes premières actions. Or, 61% des sites web des grands comptes ne seraient qu’en partie conformes.
NOTRE AVIS
A la décharge de nombre d’entreprises, ce qui peut sembler simple et rapide à mener pour la mise en conformité d’un site web peut en réalité s’avérer tentaculaire à déployer. Les pratiques, en termes de référencement notamment, imposent aux sites d’être en constante évolution et de démultiplier leurs contenus. Conserver un niveau de conformité exemplaire sur des pages et des formulaires en mouvement permanent, est loin d’être évident pour l’entreprise. Notons également le chantier technique à réaliser concernant les cookies. Indispensables aux campagnes marketing, ceux-ci doivent être indiqués et paramétrables par les utilisateurs. Ces derniers doivent par ailleurs avoir la possibilité de contrôler leurs propres cookies, sans pour autant que leur soient interdits tout ou partie du site. Au global, un chantier technique, organisationnel et juridique qui s’avère éminemment long et complexe à déployer.
Cartographie des traitements
La démarche est avancée pour plus de 85% des entreprises !
La cartographie des traitements de données a été réalisée par 70% des grandes entreprises dans une partie seulement de leurs structures et directions, et pour 27% de manière intégrale. Sur ce point, les PME affichent un peu de retard : pour 14% d’entre elles la cartographie des traitements est en préparation, et pour 14% elle n’a pas encore été envisagée.
NOTRE AVIS
Cette situation encore partielle va dans les mois à venir, évoluer par nécessité. Du fait de la coresponsabilité entre les acteurs, « un effet papillon » se propage actuellement. TPE, PME, ETI peuvent être sous-traitantes entre-elles et auprès des Grands Comptes. Or la cartographie des traitements concernant les données personnelles fait partie des démarches RGPD à mettre en place en tant que sous-traitant, les obligeant ainsi naturellement à se mettre en conformité les unes pour les autres et vice et versa.
Constitution du registre des traitements
Les entreprises n’ont pas entamé la digitalisation de leur gouvernance de la data
Les entreprises sont très peu outillées en logiciels de gouvernance RGPD et gèrent très majoritairement leurs registres sous Excel. Seulement 15% des entreprises digitalisent leur registre : le retard de notre économie en matière de digitalisation est à nouveau pointé du doigt par cette étude.
NOTRE AVIS
Digitaliser son registre doit rapidement devenir une évidence. A défaut, il est utopique de penser le maintenir de manière pérenne, fiable et efficace. A l’heure du big Data, demander à un DPO ou à un référent RGPD en entreprise de tenir le registre des traitements sans logiciel dédié, c’est un peu comme si on demandait à un commercial de travailler sans outil CRM.
Donnez l’état d’avancement de la mise en conformité RGPD de votre entreprise, selon les 7 thématiques du processus.