Bien que le RGPD a produit des effets bénéfiques certains, tels que la mise en place d’une meilleure gouvernance de la donnée ou l’amélioration de la cyber résilience, les entreprises ont encore des difficultés de mise en conformité. Celles-ci sont liées à la charge de travail et à la complexité du Règlement.
Trois ans après son entrée en application, le RGPD s’est avéré être un puissant outil de normalisation. En obligeant les entreprises à mettre en œuvre « les mesures techniques et organisationnelles appropriées » pour protéger les données personnelles des résidents de l’UE, le RGPD a obligé les entreprises qui opèrent sur le marché européen, ou veulent y entrer, à déployer des solutions qui se conforment au règlement pour le traitement et le stockage des données et des informations relatives aux internautes.
Dans une étude récente, KPMG a mesuré l’impact du RGPD sur les projets de mise en conformité des entreprises. Interrogés sur leurs motivations, les répondants mettent en avant la peur des sanctions pour 80 % d’entre eux. La crainte pour la réputation de l’entreprise vient en second avec 66 % des réponses. Et une fois lancés, les travaux de mise en conformité ont concerné « l’état des lieux des traitements, le cadre de la gouvernance, l’analyse des écarts et la mise en œuvre des actions de remédiation », explique KPMG.
Conformité : un chantier qui avance laborieusement
Dans la majorité des cas, c’est la Direction générale ou les fonctions de contrôle telles que la Conformité ou le Juridique qui ont été à l’initiative de ces travaux. Les entreprises ont dans leur grande majorité (80 %) nommé un Data Protection Officer, le plus souvent interne et non dédié à ces fonctions. Elles ont également, pour près de la moitié d’entre elles, mis en place une gouvernance relative à la protection des données personnelles. « Le registre des traitements, les informations préalables et les consentements, ainsi que la politique de gestion des données personnelles sont les chantiers de mise en conformité les plus avancés », explique le rapport.
Cependant, même si des chantiers significatifs ont été lancés, un tiers des entreprises n’a pas finalisé l’étape fondatrice de recensement des traitements. Les entreprises sont en retard pour réaliser l’AIPD (Analyses d’impact relatives à la protection des données) et la mise en place des durées de conservation pour respectivement 42 % et 30 % des répondants. Ces chantiers sont menés malgré des moyens globalement limités (budget comme ressources humaines) explique le rapport.
Malgré les bénéfices qu’une mise en conformité apport, les entreprises avancent difficilement. Les répondants mettent ce retard sur le compte des difficultés liées à la charge de travail (66 %) et à la complexité du Règlement (39 %).L’étude révèle également que plus de 3 ans après l’entrée en application du RGPD, un tiers des entreprises n’a toujours pas achevé la première phrase d’identification des traitements.