Le 27 avril 2016, le Parlement européen publiait un texte qui allait fortement chambouler le monde de l’entreprise : le Règlement Général sur la Protection des Données (RGPD). Deux ans plus tard, le 25 mai 2018, la réforme entrait en vigueur au sein de l’Union européenne. Ont alors commencé à apparaître, sur les sites web, des fenêtres demandant le consentement des visiteurs quant au traitement de leurs informations personnelles. Une mécanique désormais habituelle pour les internautes, mais qui ne correspond qu’à la partie émergée de l’iceberg.
En effet, les organisations sont dorénavant contraintes de respecter plusieurs engagements vis-à-vis des données personnelles. Elles doivent notamment tenir un registre des traitements, assurer un niveau de sécurité optimal des données collectées, donner aux utilisateurs la possibilité d’accéder à leurs informations, de les rectifier, de les supprimer, etc. Certains organismes sont même contraints de nommer un Data Protection Officer (DPO), en charge de piloter la conformité au RGPD. Et, dans tous les cas, une société doit toujours désigner un responsable de ce sujet.
Une mise en conformité pas donnée à tout le monde
Ce nouveau cadre juridique concerne toutes les entreprises recueillant des informations auprès de ses utilisateurs, du grand groupe au petit commerce. Si certains secteurs sont habitués à de telles contraintes, comme la banque et l’assurance, d’autres se heurtent à un véritable casse-tête. « La conformité au RGPD est difficile à mettre en œuvre, et encore plus à maintenir », indique Paul-Emmanuel Bidault, cofondateur et CEO de la start-up Dastra incubée à IMT Starter. « Premièrement parce que, pour protéger les données, il faut déjà savoir où elles sont. Et à cet effet, les DPO n’ont souvent rien de plus qu’un papier, un stylo ou un fichier Excel. » Un équipement bien pauvre pour recenser des données disséminées partout et évoluant en permanence, sous l’action de multiples traitements, qui ne sont généralement pas tous identifiés non plus. Par essence, le travail du DPO nécessite également une collaboration soutenue avec l’ensemble des métiers de l’entreprise. « Or, les DPO exercent souvent de façon isolée, dans une sorte de tour d’ivoire », remarque Paul-Emmanuel Bidault. Un manque de gouvernance et de processus autour de la donnée qui complique encore plus la tâche des responsables.
Une épée de Damoclès sur les entreprises
Pourtant, un défaut de conformité au RGPD peut avoir de lourdes conséquences. Tout d’abord d’un point de vue financier, avec des sanctions pouvant aller jusqu’à 4 % du chiffre d’affaires annuel ou 20 millions d’euros. Cela peut aussi entraîner un déficit d’image pour l’organisation, qui risque de perdre la confiance de ses utilisateurs. Quatre ans après l’entrée en vigueur du RGPD, le risque encouru est-il élevé ? « Nous assistons à la fin d’une période de tolérance de la part des autorités européennes », avertit le CEO de Dastra. « Par exemple, en un an, les sanctions ont été multipliées par cinq à l’échelle de l’Europe. » Autre signal d’alerte : l’organisme de contrôle français, la CNIL, a récemment décidé d’externaliser la gestion des plaintes relatives aux traitements des données, afin d’augmenter sa surface d’intervention. Une accélération rendue nécessaire par le nombre insuffisant d’organisations réussissant à se maintenir en conformité avec le RGPD. « Aujourd’hui, seules 30 % des entreprises possèdent un registre des traitements à jour, alors qu’il s’agit d’une étape de base de la conformité », note Paul-Emmanuel Bidault. Et la tendance ne semble pas prête à s’inverser, avec les réglementations européennes à venir, telles que le Data Governance Act (DGA).
A well-known quote, contained in a blockquote element.
