Exécutoire depuis mai 2018, le règlement européen sur la protection des données à caractère personnel est encore parsemé d’obstacles pour de nombreuses entreprises. L’Observatoire trimestriel de l’AFCDP constate qu’il y a encore du chemin à faire avant de les considérer en conformité.

Encourageant, mais peu mieux faire. Tel pourrait être le commentaire de l’Association française des correspondants à la protection des données à caractère personnel. Validé en avril 2016 et exécutoire deux ans plus tard, ce règlement est encore loin d’être maitrisé par les entreprises.

« Le sentiment qu’il y a encore du chemin à faire avant de considérer leurs organisations comme conformes au RGPD et autres mesures de protection reste majoritaire chez les DPO et Professionnel(le)s de la protection des données personnelles, malgré une légère baisse encourageante : passant à 43 % (versus 47 % en Q4 et 52 % en Q2 2021) » lit-on dans son dernier « bulletin » trimestriel.

À noter que la part des 324 répondants jugeant que les réglementations changeantes (chute du Privacy Shield, Cookies Wall, etc.) perturbent les stratégies de protection des données personnelles mises en place jusqu’ici ne cesse d’augmenter, atteignant les 22 % (versus 16 % en Q4).

Et la mise en demeure par la CNIL d’utilisateurs de Google Analytics (Decathlon France SA, Auchan e-Commerce France et Sephora SAS) a été fortement ressentie par la majorité des répondants (49 %).

« Sans alternative réelle à ce stade, les DPO partagent la même conclusion : seuls un changement de législation aux États-Unis ou un nouvel accord transatlantique pourraient permettre d’être aujourd’hui en parfaite conformité avec le RGPD », note l’association.

Un accord de principe a été annoncé le 25 mars, mais au-delà de l’intention politique, très médiatisée, « l’incertitude subsiste sur la réalité d’un Privacy Shield II opérationnel à court terme, et en l’absence d’évolution législative aux États-Unis, sur ses chances d’échapper à la censure de la CJUE. La majorité des DPO, à défaut de possibilité de redéveloppement des sites internet, ne peuvent conseiller de solutions pérennes ».

Il existe pourtant ces alternatives européennes à la solution du géant américain…À noter également que 33 % des répondants à l’enquête de cette association ne sont pas réellement concernés, ce qui témoigne d’un usage quelque peu sectoriel de Google Analytics.

On peut regretter que cette dernière édition de l’Observatoire ne soit pas l’occasion de mettre en avant les solutions adoptées par les 26 % de répondants ne se sentant pas impactés. Citons notamment Matomo, Analytics Suite Delta, Smart Profile de Net Solution Partner…

« Aujourd’hui, nous n’avons pas de solutions satisfaisantes permettant d’être vraiment en conformité parfaite avec le RGPD pour tout ce qui concerne l'utilisation de services et solutions soumis aux juridictions américaines, si ce n’est se priver des outils parmi les plus performants à l’heure actuelle. Cela reste un problème pour la majorité des organisations françaises, mais l’AFCDP peut témoigner d’un soutien collectif des DPO dans cette période vécue comme une adversité, et confirme une volonté affirmée par tous de trouver des solutions au plus vite. » conclut Paul-Olivier Gibert, Président de l’AFCDP.

Enfin, la guerre en Ukraine a des répercussions, dont la principale est l'indisponibilité de développeurs russes, biélorusses et ukrainiens (10 % des ressources mondiales). Pourtant, les DPO se sentent relativement peu (33 %) ou pas du tout (44 %) impactés par le conflit dans leur quotidien.

Seuls 20 % des répondants se sentent effectivement directement impactés et ont vite pris des mesures pour garantir la protection des données personnelles dans leurs organisations, et préserver leur mise en conformité.