RGPD, quel bilan un an et demi après ?


Temps de lecture : 4 minutes
Share Button
RGPD, quel bilan un an et demi après ?

L’entrée en vigueur du nouveau règlement européen sur la protection des données personnelles n’a pas mis fin aux travaux de mise en conformité. Les entreprises les plus matures sur le sujet perçoivent le RGPD comme un avantage concurrentiel à même d’instaurer un cadre de confiance.

Souvenez-vous : à l’approche du 25 mai 2018, date de son entrée en vigueur, le Règlement général sur la protection des données ou RGPD faisait l’objet d’un engouement médiatique sans précédent pour un texte réglementaire. Il faut dire qu’au même moment éclatait l’affaire Cambridge Analytica, emblématique des failles en matière de protection des données personnelles.

Si le soufflé est quelque peu retombé depuis, le RGPD fait toujours parler de lui. La CNIL a été plutôt clémente avec les entreprises dans cette phase de rodage, sauf pour Google qui s’est vu infliger une sanction de 50 millions d’euros. Son homologue britannique, l’ICO, a eu la main plus lourde en proposant récemment deux amendes record à l’encontre de Mariott International (110 millions d’euros) et de British Airways (203 millions d’euros).

Seulement 28 % des entreprises conformes

Il faut dire que la mise en conformité est toujours en cours pour nombre d’organisations si l’on en croit une étude du Capgemini Research Institute parue fin septembre. Seules 28% des entreprises interrogées déclarent être dans les clous et 30% « presque conformes ». Pourtant, un an plus tôt, 78% des entreprises estimaient pouvoir atteindre la conformité avant l’entrée en vigueur du RGPD.

Le chantier réglementaire progresse plus lentement que prévu, freiné par la complexité des exigences réglementaires, les coûts de mise en application et le manque de flexibilité des systèmes d’information existants. La facture est salée. D’ici 2020, 40% des entreprises pensent dépenser plus d’un million de dollars en frais juridiques, et 44% dans la mise à niveau de leurs outils technologiques.

Un investissement qui n’est toutefois pas à fonds perdu. Les multinationales doivent, en effet, faire face à de nouvelles législations hors de l’Union européenne et notamment au Brésil (LGPD, Loi générale de protection des données personnelles), en Australie (Privacy Act) et en Californie (CCPA, California Consumer Privacy Act) en attendant d’autres pays. Dans une tribune publiée dans le Washington Post, Mark Zuckerberg, patron de Facebook, appelle à s’inspirer du RGPD. Une vice-présidente de Microsoft plaide, elle, pour un RGPD américain dans un billet de blog. Face à cette inflation de textes législatifs, être déjà « RGPD ready » permet de préparer le terrain à de nouvelles mises en conformité sans avoir à réinventer la roue.

Le RGPD est passé de contrainte réglementaire à avantage compétitif

Avant l’entrée en vigueur, nombre de voix s’élevaient pour dire que les entreprises européennes se tiraient une balle dans le pied avec le RGPD, se mettant en situation de désavantage concurrentiel face à des économies peu sourcilleuses du droit à la vie privée, en particulier la Chine.

Aujourd’hui, le changement de perception est radical selon l’étude de Capgemini. 92% des entreprises conformes affirment avoir obtenu un avantage compétitif, alors qu’elles étaient 28% seulement à s’y attendre l’année dernière. Les gains obtenus portent sur une amélioration de la confiance client (84%), de l’image de marque (81%) et, en interne, de la motivation des employés (79%).

Le RGPD, un argument de poids

Le RGPD est notamment un argument de poids pour les prestataires de cloud et autres éditeurs en mode SaaS français qui peuvent notamment justifier d’un hébergement des données en France ou tout du moins sur le Vieux Continent. Promulguée quasi en même temps que le règlement européen, le Cloud Act fait à l’inverse figure de repoussoir pour les fournisseurs de cloud américains. Le Clarifying Lawful Overseas Use of Data Act les contraint à divulguer des informations personnelles sur leurs utilisateurs dans le cadre d’enquêtes judiciaires, même si les données ne sont pas hébergées aux États-Unis

Accessoirement, les investissements consentis pour le RGPD ont permis d’améliorer la cybersécurité et certains processus organisationnels. Les entreprises conformes au RGPD ont davantage recours au cloud, au chiffrement des données, à l’automatisation robotique des processus (RPA) et à l’archivage des données.

Une industrialisation bienvenue puisqu’elles ont eu à gérer un nombre important de demandes émanant des personnes concernées par les traitements des données personnelles. Toujours selon l’étude de Capgemini, 46% des entreprises françaises affirment avoir reçu plus de mille demandes. Une autre étude du cabinet de conseil Wavestone confirme que le RGPD a donné aux citoyens des outils pour reprendre – du moins en partie – le pouvoir sur leurs données. Un tiers des sondés déclarent avoir demandé à une organisation de cesser d’envoyer de la communication par e-mail ou SMS et la moitié a exercé un des droits prévus par le RGPD (droit d’accès, droit à l’oubli, portabilité…).

Un RGPD peut en cacher plusieurs autres

Quoi qu’il en soit, les entreprises n’en ont pas fini avec le RGPD. Reposant sur une approche d’amélioration continue, il nécessite de maintenir des efforts constants. Par ailleurs, le RGPD fait aussi des petits. Complémentaire de ce dernier, un nouveau règlement européen, l’ePrivacy, doit prochainement encadrer l’utilisation des métadonnées, des adresses IP et des cookies. D’après le Financial Times, la Commission européenne plancherait également sur un projet de loi qui étendrait les droits des citoyens européens dans le domaine de l’intelligence artificielle, et notamment de la reconnaissance faciale.

Et si on se formait ?

RGPD, mise en œuvre dans SQL Serveur

RGPD certification foundation (EXIN)

Data Protection Officer (DPO), certification

RGPD, DPO : rôle, missions et obligations du délégué à la protection des données

Sensibilisation à la nouvelle réglementation sur la protection des données

RGPD, maîtriser la réglementation générale sur la protection des données

RGPD : les impacts sur les pratiques marketing et la relation client

Share Button

Laissez un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *