Alors que le Règlement européen sur la Protection des Données (RGPD) est entré en vigueur en mai 2018, trois ans après, toutes les entreprises françaises sont loin d'avoir achevé leur mise en conformité. C'est ce que révèle un baromètre réalisé par KPMG France au premier trimestre 2021, pour lequel 70 organisations de toutes tailles ont été interrogées.

Globalement, les entreprises françaises ont pris conscience de l'importance du sujet. Ainsi, 88% des répondants considèrent que les enjeux associés au RGPD sont au moins d'importance moyenne, et 65% le conçoivent comme un enjeu d'importance majeure, voire critique. Parmi les risques les plus redoutés figurent les sanctions potentielles, citées par 80% du panel, suivis par les risques sur l'image et la réputation (66%) et par la perte de confiance des clients (54%). Les principaux facteurs d'exposition face à la législation concernent la sensibilité des données (chez 46% des entreprises), ainsi que la nature des traitements et la volumétrie des données, toutes deux à 43%. La cybersécurité est également citée par 41% des sondés et ressort comme la préoccupation principale des grands groupes (89%, contre 37% des PME).

À la clef, des bénéfices sur la gouvernance des données

Le plus souvent, ce sont les directions générales et comités d'audits qui ont enclenché la mise en oeuvre des chantiers de conformité (62% des cas), tandis que les fonctions internes (direction juridique, direction de la conformité) occupent la deuxième place (50%). Huit entreprises sur dix ont nommé un DPO (Data Protection Officer), le plus souvent interne (93% des cas) et non dédié à ses fonctions. Près de la moitié d'entre elles (45%), ont également mis en place une gouvernance relative à la protection des données personnelles et 33% travaillent sur le sujet. Les chantiers les plus avancés sont le registre des traitements (en place chez 76% des sondés), l'information préalable et le recueil du consentement (60%), ainsi que la politique de gestion des données personnelles (52%). Malgré tout, plus d'un tiers (35%) des entreprises interrogées indique n'avoir pas finalisé le recensement des traitements, une étape essentielle pour la mise en conformité.

Dans la plupart des organisations, il reste des efforts à fournir pour achever la conformité, 39% seulement ayant réalisé leur plan d'action à plus de 75%. Parmi les étapes les moins avancées figurent les analyses d'impact relatives à la protection des données (citées par 42%) et la mise en place des durées de conservation (30%) et le privacy by design (21%). Les facteurs qui ralentissent la mise en conformité sont avant tout la charge de travail représentée (pour 66% des sondés) et la complexité du règlement (39%). Cependant, le jeu en vaut la chandelle. Le premier bénéfice constaté par les organisations est l'amélioration ou la mise en place d'une gouvernance des données (42%), un sujet essentiel pour bien d'autres domaines que la seule conformité. L'amélioration de la cybersécurité et de la cyberrésilience, autre enjeu majeur, vient en deuxième place, citée par 34% des répondants.