Le 25 mai prochain, le règlement européen aura deux ans. Si les entreprises ont pris conscience des enjeux et des contraintes soulevés par le RGPD, beaucoup reconnaissent que le parcours menant à la conformité est parsemé d’obstacles, surtout avec les éditeurs de logiciels et les intégrateurs...
En novembre dernier, IPSOS a posé la question piège à 134 entreprises (dont 41 membres des 3 clubs utilisateurs des solutions Oracle et 93 membres de l’USF-Utilisateurs SAP Francophones) : « RGPD : où en êtes-vous ? ».
L’institut de sondage dresse un bilan mitigé. Côté positif :
- Près de 60 % des répondants ont été impliqués ou consultés vis-à-vis du RGPD dans leur entreprise ;
- Une forte majorité (89 %) des répondants ont été informés et/ou sensibilisés par des actions de communication ou de sensibilisation au sein de leur organisation ;
- Une proportion équivalente (84 %) a déclaré qu’un Registre de traitement a été réalisé au sein de leur organisation.
Par contre, d’autres points restent encore en suspens. À la question « Concernant les clauses contractuelles RGPD, quelles ont été les possibilités de négociation de votre organisation avec les éditeurs de logiciels et les intégrateurs ? », les avis sont très partagés.
La communication passe mal. 38,8 % des personnes impliquées dans la mise en œuvre déclarent qu’elles ont eu des possibilités d’actions de négociations, assez bonnes ou excellentes. Mais presqu’autant (36,7 %) indique ne pas en avoir eu ou de façon marginale.
Concernant la licéité des traitements, le client doit pourtant avoir l’assurance que le fournisseur ne met pas en œuvre d’autre traitement, sur les données auxquelles le client lui donne accès, que le traitement confié ou demandé par le client.
Les pièges contractuels à éviter
De son côté, le fournisseur doit s’engager à apporter aide et conseil, et notamment répondre aux demandes du client, à propos de l’élaboration d’une analyse d’impact et, le cas échéant, fournir tous éléments de réponse dans l’évaluation par le client de la conformité du traitement à l’analyse d’impact.
De même, le fournisseur doit alerter le client lorsqu’il identifie la nécessité de réaliser une analyse d’impact et doit fournir toutes informations nécessaires pour répondre, le cas échéant, aux demandes d’information complémentaires formulées par l’Autorité de contrôle.
Exécutoire depuis le 25 mai 2018, le RGPD est donc toujours considéré comme un processus complexe. La preuve, 6 entreprises sur 7 considèrent qu’il y a encore des actions à mener au sein de leur organisation, en priorité sur des questions d’organisation interne.
Les répondants expriment également des attentes sur le RGPD vis-à-vis de leurs clubs respectifs (rappelons que l’AUFO a sorti en juin 2018 une Aide à la relation contractuelle avec les éditeurs de logiciels, intégrateurs et fournisseurs de services SAAS sur le RGPD) , et notamment :
- 73 % (et 78 % des personnes impliquées dans le RGPD) souhaitent disposer d’une liste d’écueils et de pièges contractuels à éviter, issus de bonnes pratiques.
- 60 % (63 % des personnes impliquées dans le RGPD) souhaitent avoir accès à un répertoire de clauses RGPD standards.
« En tant qu’associations d’utilisateurs de progiciels, nous devons désormais statuer sur l’organisation, les moyens et le calendrier à mettre en œuvre pour répondre aux demandes de nos adhérents afin d’être en mesure de proposer des bonnes pratiques et actions collectives au bénéfice du plus grand nombre », constate Vincent Brillot, Président du Groupe Francophone des Utilisateurs J.D. Edwards.