Trois années après l’entrée en application du Règlement européen sur la Protection des Données (RGPD), le baromètre KPMG France fait le point sur l’état d’avancement de ce chantier au sein des entreprises françaises.- Les entreprises ont saisi l’importance des enjeux liés au RGPD et ont mis en place des organisations dédiées ;
- Même si des chantiers significatifs ont été lancés, un tiers des entreprises n’a pas finalisé l’étape fondatrice de recensement des traitements ;
- La pleine conformité au RGPD reste une cible à atteindre.
KPMG France dévoile les résultats de son enquête nationale inédite sur l’évaluation de la maturité des entreprises en matière de conformité au RGPD et dresse un panorama des enjeux et opportunités associés.
Portant sur un panel de grandes entreprises, d’ETI et de PME, cette étude donne une image claire de la façon dont les entreprises françaises ont intégré les enjeux du RGPD et permet de tirer un certain nombre d’enseignements.
L’analyse des réponses apportées a ainsi permis de mettre en lumière les tendances sur les axes suivants des projets de mise en conformité des entreprises :
- Vision de l’exposition aux risques et principaux facteurs de risque ;
- Organisation de la gouvernance des données personnelles ;
- Niveau d’avancement dans la mise en œuvre des exigences introduites par le Règlement ;
- Bénéfices induits, difficultés rencontrées et principaux challenges liés à la mise en œuvre.
Les entreprises ont saisi l’importance des enjeux liés au RGPD et ont mis en place des organisations dédiées
L’entrée en application du RGPD en mai 2018 et les projets de mise en conformité associés ont constitué un véritable défi pour les entreprises. Aiguillées par la prise de conscience des enjeux de sanctions potentielles (pour 80% des répondants), mais aussi de réputation (66% des réponses), elles se sont lancées dans des chantiers de mise en conformité d’ampleur. Ces travaux ont concerné l’état des lieux des traitements, le cadre de la gouvernance, l’analyse des écarts et la mise en œuvre des actions de remédiation.
Dans la majorité des cas, c’est la Direction Générale ou les fonctions de contrôle telles que la Conformité ou le Juridique qui ont été à l’initiative de ces travaux. Les entreprises ont dans leur grande majorité (80 %) nommé un DPO (Data Protection Officer), le plus souvent interne et non dédié à ses fonctions. Elles ont également, pour près de la moitié d’entre elles, mis en place une gouvernance relative à la protection des données personnelles. Le registre des traitements, les informations préalables et les consentements, ainsi que la Politique de Gestion des données personnelles sont les chantiers de mise en conformité les plus avancés.
Même si des chantiers significatifs ont été lancés, un tiers des entreprises n’a pas finalisé l’étape fondatrice de recensement des traitements
Les AIPD (Analyses d’impact relatives à la protection des données) et la mise en place des durées de conservation constituent les deux thématiques les moins abouties (respectivement citées par 42 % et 30 % des répondants). Ces chantiers sont menés malgré des moyens globalement limités (budget comme ressources humaines).
Bien que la mise en conformité ait permis des bénéfices certains, telles que la mise en place d’une meilleure gouvernance de la donnée ou l’amélioration de la cyber résilience, les entreprises rencontrent des difficultés liées à la charge de travail (66 %) et à la complexité du Règlement (39 %).
La pleine conformité au RGPD reste une cible à atteindre
Tous types d’entreprises confondus, des chantiers de long terme restent encore à mener, qu’il s’agisse d’actions de mise en conformité à finaliser ou d’améliorations à mettre en œuvre sur les dispositifs existants.
En parallèle, un travail régulier est nécessaire pour maintenir la mobilisation de l’ensemble des acteurs et assurer la pérennité, l’efficacité et le contrôle périodique du dispositif de conformité.
A quelle échéance estimez-vous avoir finalisé vos actions de mise en conformité ?
Vincent Maret, Associé, Responsable du pôle Cybersécurité et Protection des données personnelles chez KPMG France, a déclaré : "Trois ans après l’entrée en application du Règlement européen, les entreprises françaises se sont massivement mobilisées et ont une vision claire de leur exposition au risque et des enjeux de conformité. L’avancement des chantiers de mise en conformité est en revanche inégal et souffre souvent d’un manque de moyens. Quelle que soit leur taille, les entreprises considèrent très majoritairement que l’atteinte de la pleine conformité constitue un chantier à long terme."
Méthodologie
L’enquête a pris la forme d’un questionnaire destiné aux professionnels de la protection des données personnelles d’un large panel d’entreprises de toutes tailles et secteurs d’activité basées en France. Les réponses ont été collectées au cours du premier trimestre 2021.
Source : KPMG France
Et vous ?
Que pensez-vous de cette étude de KPMG sur l'état de la mise en conformité du RGPD ? Quelle est la situation dans votre entreprise ? Quels sont les principaux obstacles qui vous empêchent de finaliser cette mise en conformité ?Voir aussi :
Trois ans après son lancement le RGPD est-il le nouveau modèle économique de la conformité ? Par Jean-Pierre Boushira, VP South, Benelux and Nordics chez Veritas Technologies Bilan du RGPD : les régulateurs européens ont infligé plus de 114 millions d'euros d'amendes, la France championne avec 50 millions d'euros d'amendes infligées L'Irlande ouvre une enquête RGPD sur Facebook, suite à la fuite de données qui a exposé 533 millions de contacts, elle encourt une sanction financière allant jusqu'à 4 % de son chiffre d'affaires 
Envoyé par Jules34
