Après quatre ans de régime RGPD et la publication récente des nouvelles directives de la CNIL, les entreprises se sentent aidées et jugent plus facile le recueil du consentement des internautes. Mais malgré la diligence du régulateur, les entreprises sont près de 53 % à craindre ses contrôles.
L’entrée en vigueur du RGPD n’a pas été le signe d’une adoption massive des marchés. Les régulateurs européens avaient annonce qu’il seraient indulgents dans un premier temps, afin de laisser aux entreprises le temps de s’adapter. Mais en 2022, le temps de l’indulgence est bel et bien révolu et les entreprises le savent. Lors de sa récente réunion, le CEPD (le Comité européen de la protection des données, le gendarme européen de la conformité RGPD) a adopté deux principes directeurs : harmoniser les méthodes de calcul des amendes administratives adoptées par les autorités nationales, et définir le cadre juridique des technologies de reconnaissance faciale, leur application dans le domaine de la prévention, des enquêtes, des poursuites des infractions pénales et de l’exécution des sanctions.
Dans cette optique, les amendes pour non-conformité au RGPD sont, en vertu de l’article 83, conçues pour faire de celle-ci une erreur coûteuse pour les grandes et petites entreprises. Autant dire que les régulateurs nationaux ne vont pas chômer dans les années qui viennent. C’est pourquoi de plus en plus d’entreprises mettent en place des politiques de conformité. D’après le Baromètre RGPD 2022 du cabinet Data Legal Drive, en partenariat avec Lefebvre Dalloz et l’AFJE, deux fois plus d’entreprises ont sauté le pas de la numérisation de leur registre des traitements de données personnelles par rapport à 2019, où elles n’étaient que 15 %. Le bond est de 114 % en trois ans.
Communiquer, sensibiliser et éduquer
Une augmentation soutenue, mais qui reste toutefois assez moyenne au regard du nombre d’entreprises concernées. Certes, la démarche a été accélérée par la crise et l’augmentation du nombre d’attaques, mais le manque de temps (?) reste un frein puissant pour 56 % des répondants. Aussi, pour accélérer leur projet, une majorité d’entreprises mise sur les communications interne et externe permettant de sensibiliser et d’éduquer les différents publics. Une même proportion d’organisations répondantes, 42 % pour être exact, a la volonté de prouver et d’expliquer avec pédagogie que le traitement éthique des données ne freine pas les enjeux d’affaires.
La conformité RGPD est multiforme, mais s’il y a un sujet qui préoccupe les décideurs, représentant la partie émergée de l’iceberg de la conformité, c’est la gestion des cookies. Près de 67 % des entreprises ont intégré une plateforme de gestion du consentement (CMP pour consent management platform). Le rythme de croissance du marché du CMP en est une preuve : en 201 et 2020, seulement 30 %des sites étaient conformes. Ils étaient 53 % en 2021 et devraient être 67 % d’ici la fin de cette année.
Depuis la publication des nouvelles directives de la CNIL, « les entreprises se sentent aidées et jugent plus facile le recueil du consentement des internautes », affirme le rapport. Mais malgré la diligence du régulateur, les entreprises sont près de 53 % à craindre ses contrôles, ce qui explique l’accélération des marchés de la protection des données et de la conformité.« La crainte des contrôles et de sanctions tend à s’accentuer alors que la CNIL a développé une procédure de répression simplifiée permettant de traiter plus facilement le nombre de plaintes, et augmenter le nombre de sanctions, notamment concernant les violations de la règlementation les moins complexes et les plus courantes », explique Thomas Vini Pirès, Consultant RGPD.
Afin d’anticiper un éventuel contrôle, les entreprises se préparent et les directions générales mettent en place des actions pérennes. Mais ces actions volontaristes et préventives ne sont pas aussi généralisées qu’elles devraient l’être :20 % des répondants estiment que la direction générale valide plus facilement des actions et des budgets après une sanction de la CNIL. Prévenir ou guérir, « thatis the question ».