Article

Deux ans après l’entrée en application de la RGPD, où en sont les organisations de leur mise en conformité ?

mai 2020 | Temps de lecture : 3 min

Texte de référence en matière de protection des données à caractère personnel, le Règlement Général pour la Protection des Données (RGPD) renforce et unifie le cadre légal entourant l’utilisation des données des individus. En vue de l’entrée en application du texte le 25 mai 2018, de nombreuses organisations ont initié des chantiers de mise en conformité. Ces chantiers étaient d’autant plus nécessaires que les entreprises sont soumises à des attentes soutenues en matière de protection des données. Un nombre grandissant de clients, prospects et salariés s’appuie sur la réglementation pour exercer leurs droits : les plaintes déposées à la Commission Nationale de l’Informatique et des Libertés (CNIL) ont été multipliées par trois depuis 2018. Deux ans après l’entrée en application de la RGPD, où en sont les organisations de leur mise en conformité ?

RGPD : 2 ans après, où en sont les organismes dans leur mise en conformité ?

Conformité RGPD : les actions fondamentales de formalisation, communication et gouvernance ont été réalisées.

 

La plupart des entreprises a mené les actions fondamentales priorisées par la CNIL :

 

- En matière de formalisation, selon un sondage Ipsos, 84% des entreprises ont formalisé un registre des traitements. Ce registre détaille comment les données personnelles sont gérées pour chaque département et processus concerné.

 

- En matière de communication et de mention d’information :

La majorité des entreprises a initié des actions de communication externe – auprès de ses clients et prospects – et interne – à destination des collaborateurs.

 

Les entreprises ont informé leurs clients de la manière dont leurs données sont traitées et elles ont mis en conformité les politiques de confidentialité et les conditions générales de vente, lorsque nécessaire.

 

En interne, non seulement les entreprises ont informé les collaborateurs sur la gestion de leurs données RH mais ont aussi sensibilisé ces derniers sur la manière de traiter les données personnelles qu’ils pouvaient eux-mêmes manipuler dans le cadre de leur quotidien professionnel.

 

- En termes de gouvernance :

 

La plupart des entreprises concernées a nommé un Délégué à la Protection des Données (DPO) chargé de définir, déployer et pérenniser la politique de gestion des données de l’entreprise.

 

Ainsi, un grand effort de formalisation et de communication a été réalisé par la plupart des entreprises, néanmoins des efforts de conformité plus conséquents doivent être mis en œuvre pour atteindre et maintenir une complète conformité RGPD.

 

 

Des actions restent à mener pour affiner la politique de gestion des données personnelles.

 

D’après l’étude Ipsos, 85% des entreprises estiment que des actions restent à mener :

 

- Vis-à-vis des prestataires :

 

Les entreprises sont aussi responsables de la bonne conformité des prestataires, pour les actions qui les lient contractuellement. En ce domaine, elles estiment ne pas avoir eu la latitude nécessaire pour vérifier et mettre leurs prestataires en conformité. En effet, l’étude Ipsos indique que seul « 40% des personnes impliquées dans la mise en œuvre déclarent qu’elles ont eu des possibilités d’actions de négociations ».

 

- En matière de fonctionnement interne :

 

Les entreprises qui ont formalisé un registre des traitements ont désormais de la visibilité sur les flux de données personnelles et les écarts à corriger pour être en complète conformité.

 

Si les entreprises ont effectué les actions correctrices les plus urgentes, elles doivent poursuivre les corrections et affiner leur politique de gestion des données personnelles. Des données personnelles – de clients ou de collaborateurs – sont manipulées dans la plupart des services, ce qui rend le pilotage centralisé d’une politique de gestion de données ardu et fait reposer l’effort sur tous.

 

Ainsi, les entreprises doivent sensibiliser l’ensemble des collaborateurs sur de multiples sujets : la durée de conservation des données, les règles pour partager les données avec des tiers et des prestataires ou encore inciter à un nettoyage régulier des bases de données. Par ailleurs, les services informatiques doivent fournir les outils nécessaires pour sécuriser les échanges de données et valider tout nouvel outil qui rejoint l’écosystème informatique.

 

 

Atteindre et maintenir une conformité RGPD représente un effort continu.

 

Ainsi, si la plupart des entreprises ont mis en œuvre les fondamentaux de la conformité RGPD, de nombreux chantiers restent à mener. En effet, atteindre et maintenir une conformité RGPD représente un effort continu et collectif, face à l’évolution des technologies, la mise en place de nouveaux projets et outils ou encore l’arrivée de nouveaux collaborateurs à sensibiliser.

 

Pour ce faire, EXEIS Conseil préconise aux entreprises d’établir une politique de gestion des données impliquant - en plus des projets de mises en conformité - le lancement de campagnes périodiques de conformité (actualisation du registre des traitements, sessions de formations, inventaire des contrats et outils, purge des données, etc). Au-delà de la conformité, cette démarche permet de renforcer la sécurité informatique et la confiance des clients sur le long terme.

À propos des auteurs
Geoffroy DU PELOUX - Manager chez EXEIS Conseil
Geoffroy DU PELOUX Manager
Contacter Geoffroy
Envoyer un message à Geoffroy DU PELOUX

Geoffroy a plus de 5 années d'expérience dans le conseil. Durant ses missions il est intervenu principalement sur des problématiques de management du SI et en connaît les enjeux.