C’est un fait acquis : la crise a servi de catalyseur à l’accélération de la conformité au RGPD. Trois ans après son adoption, plus d’une entreprise sur 2 estime avoir atteint un bon niveau de conformité. Reste les « trous dans la raquette » concernant les échanges avec le Royaume-Uni.
Chaque année, Data Legal Drive met à jour le baromètre RGPD en partenariat avec Lefebvre Dalloz et l’AFJE. Réalisé auprès de 348 professionnels des données et de la sécurité des données privées, ce sondage a mis en lumière l’avis de DPO internes, DPO externes et juristes, des secteurs privé et public, de toutes les tailles et de tous les secteurs d’activité. En résumé, la crise sanitaire a profité à la mise en conformité des entreprises, trois ans après l’instauration du règlement européen.
« La situation sanitaire aura finalement été favorable à la gouvernance des données personnelles au sein des entreprises et des organismes publics », estime le rapport. Près de la moitié (47 %) des répondants estime avoir atteint un niveau de complétude supérieur à 70 %. Toutefois, 37 % des structures révèlent un taux de complétude inférieur à 50 %. « Des actions claires, des processus et gammes opératoires transverses et une organisation efficace nécessitent encore d’être améliorés, automatisés, accompagnés afin d’atteindre un meilleur niveau de conformité », affirme le rapport.
Sécurité renforcée depuis le début de la pandémie
La crise sanitaire et la recrudescence des attaques ont été des accélérateurs de transformation, puisque 65 % des répondants révèlent avoir accéléré et renforcé leur sécurité en instaurant de nouvelles mesures. C’est deux fois plus que l’an dernier.
Les lourdes sanctions émises par la CNIL et la multiplication des risques liés aux cyberattaques et à la sécurité des données ont permis de déclencher des actions de la part des entreprises et organismes publics. Un tiers des DPO a mis en place des mesures de sécurité conformes à l’article 32 du RGPD, et 64 % ont réalisé des audits du niveau de sécurité de leur site internet : protocole https, formulaires de recueils de données, etc.
CNIL : les recommandations portent leurs fruits
Alors qu’en 2019 et 2020, seulement 1 site web sur 3 était en conformité avec le RGPD, les nouvelles recommandations de la CNIL améliorent la qualité RGPD des sites web avec plus d’un site web sur deux en conformité. Pour 65 % des professionnels de la protection des données interrogés, les dernières lignes directrices et recommandations de la CNIL liées aux cookies ont facilité l’appréhension des règles notamment dans le recueil du consentement des internautes.
Plus des deux tiers (74 %) des DPO et juristes interrogés n’ont pas renégocié les contrats concernés par la fin du Privacy Shield et l’absence de décision d’adéquation avec le Royaume Uni liée au Brexit. La prise imminente d’une décision d’adéquation du Royaume uni au RGPD va permettre aux entreprises de respirer. Un effet collatéral de la fin du Privacy Shield avec des entreprises qui recherchent la pérennité de leurs engagements contractuels en matière de conformité RGPD : l’usage Corporate Binding Rules se fait de plus en plus souvent, notamment au sein des ETI et des grands comptes.