Selon l’enquête menée auprès de 321 professionnels de la conformité membres de l’AFCDP, 45 % des répondants déclarent avoir confiance dans la stratégie de protection des données de leur organisation, contre 42 % en janvier dernier. Une progression modeste, mais continue, qui traduit une meilleure prise en compte des exigences du RGPD
dans les entreprises.
Cependant, cette confiance reste fragile : près d’un tiers des répondants (31 %) jugent leur organisation encore peu fiable sur ce terrain, et 19 % pointent l’instabilité réglementaire comme un facteur de désorganisation. « Ces résultats tendent vers un équilibre entre confiance et incertitude, signe d’une certaine maturité du RGPD, mais aussi d’une vigilance accrue face aux évolutions réglementaires », commente Paul-Olivier Gibert,
président de l’AFCDP.
La gestion des archives, grande oubliée de la conformité
La surprise du baromètre vient du volet consacré à la gestion des archives et des documents. À l’approche de la Journée Internationale des Archives (9 juin), l’AFCDP a interrogé les DPO sur la conformité de leur organisation dans ce domaine. Le constat est sans appel : 83 % estiment que leur gestion documentaire est partiellement (57 %) ou totalement (26 %) non conforme au RGPD. Seuls 12 % se déclarent pleinement conformes.La faiblesse des politiques d’archivage RGPD persiste
Ce déficit s’explique en partie par les priorités stratégiques des entreprises. « L’urgence a été mise sur la conformité des traitements et la cybersécurité, reléguant les archives au second plan. Mais cette négligence devient problématique alors que la traçabilité et la minimisation des données sont au cœur des exigences européennes », alerte Paul-Olivier Gibert, le président de l’AFCDP.Dans un contexte de montée des risques contentieux et de contrôles accrus de la CNIL (qui a réalisé 340 contrôles en 2023 selon son rapport annuel), la faiblesse structurelle des politiques d’archivage RGPD pourrait se transformer en passif lourd pour les entreprises mal préparées.
Les DPO réticents à une déréglementation pour les PME
Autre point sensible : la réforme en discussion à Bruxelles, qui envisage de supprimer certaines obligations — dont la tenue du registre des traitements — pour les entreprises de moins de 500 salariés. Une initiative perçue comme risquée : 48 % des professionnels interrogés s’y opposent, et 32 % se montrent réservés, n’y étant favorables qu’à condition d’un encadrement strict. Seuls 17 % soutiennent cette orientation.Cette opposition massive (80 % de répondants exprimant des doutes ou une hostilité) montre que les professionnels de la conformité perçoivent cette réforme comme un recul potentiel des droits des personnes et une source de déséquilibre concurrentiel entre grandes structures et PME. « Si réforme il y a, elle devra s’accompagner de garanties solides pour ne pas déstabiliser le cadre de confiance instauré par le RGPD », insiste
Paul-Olivier Gibert.
Vers un RGPD à deux vitesses ?
Cette édition du baromètre met en lumière un paradoxe structurant. D’un côté, la professionnalisation des DPO et la montée en puissance de la gouvernance des données dans les grandes organisations. De l’autre, une fragmentation des pratiques et des priorités, notamment dans les PME et les collectivités locales, souvent moins outillées pour gérer la complexité de la conformité numérique.Le risque : voir s’installer un RGPD à deux vitesses, avec une exigence accrue dans les secteurs régulés ou sous surveillance (santé, finance, éducation…), et des angles morts persistants dans les fonctions support, les archives, ou les systèmes hérités.
Face à cette réalité, plusieurs chantiers structurants s’imposent : renforcement des politiques d’archivage, mutualisation des compétences entre DPO, RSSI et services métiers, recours plus systématique à des outils de gouvernance documentaire intégrant nativement la logique de conformité.
