55 % des organisations ne savent pas que le RGPD (Règlement général sur la protection des données) entrera en vigueur en mai 2018 et qu’elles devront s’y conformer. C’est ce que révèle une enquête SerdaLab réalisée en février 2017 dans le cadre d'un livre blanc pour la société Arondor (1). Les autres résultats de cette enquête confirment que le sujet reste nébuleux et que la mise en conformité s'annonce plus lente et compliquée que prévu.
Petit rappel. Le 25 mai 2018, un règlement européen entrera en application ; il prévoit de renforcer le contrôle des citoyens européens sur l’utilisation de leurs données personnelles, tout en simplifiant la réglementation pour les organisations. Baptisé RGPD (Règlement général sur la protection des données), il renouvelle profondément le cadre juridique applicable en la matière. Mais visiblement bon nombre d’organisations n’y sont pas préparées. Seuls 24 % d’entre elles mesurent complètement l’impact que le RGPD aura sur leur fonctionnement, alors que 43 % n’en ont aucune idée et que 33 % ont simplement effleuré le sujet. Plusieurs raisons à cela : le manque d’information sur le sujet (29 %), le manque de temps et l’absence de ressources (26 %), le manque de compétences en interne (12,5 %), la complexité de mise en place (10 %), le manque de moyens techniques en interne (9 %) et la non-compréhension du sujet (8 %).
De nouvelles obligations pour les organisations
Si le RGPD renforce les droits reconnus à la personne dont les données sont collectées, il vise aussi à responsabiliser davantage les organisations. Alors que la directive 95/46/CE de 1995 reposait en grande partie sur des formalités préalables (déclaration, autorisations), le RGPD s’appuie, en effet sur une logique de conformité. Les principales évolutions sont les suivantes :
- les organisations seront davantage responsabilisées au travers du principe d’accountability, imposant de se mettre en conformité et de pouvoir le démontrer ;
- selon les enjeux des projets, et notamment la nature et la sensibilité des données traitées, il conviendra de consulter préalablement l’autorité de protection des données (la Cnil, en France) et de mener une analyse d’impact relative à la protection des données. Cela concerne notamment les traitements de données sensibles (données qui révèlent l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, les données concernant la santé ou l’orientation sexuelle, mais aussi les données génétiques et biométriques) ;
- des mécanismes visant à garantir la protection des données par défaut ou dès la conception (notions de « privacy by design » et de « privacy by default ») devront être mis en œuvre. Les données personnelles devront être traitées de manière à garantir une sécurité et une confidentialité appropriées ;
- la création et la tenue d’un registre des traitements mis en œuvre deviennent obligatoires. Il doit être conservé non seulement par le responsable du traitement, mais également par ses éventuels sous-traitants. Ce registre doit pouvoir être mis à tout moment à disposition des autorités de contrôle ;
- un délégué à la protection des données (DPO) doit être désigné dans certains cas ;
- les violations de données à caractère personnel (intrusion dans le SI, vol du fichier client en interne, vol du matériel informatique, etc.) devront être notifiées dans les 72 heures à l’autorité de protection des données et aux personnes concernées si cette violation est susceptible d'engendrer un risque élevé pour ses droits et libertés.
La peur de la sanction fait bouger les lignes
Le RGPD détermine également les amendes qui pourront être délivrées par les autorités nationales de contrôle, en cas d’infraction. Des amendes qui s’avèrent d’ailleurs extrêmement lourdes, puisqu’elles peuvent atteindre, selon la catégorie de l’infraction, jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, de 2 % à 4 % du chiffre d'affaires annuel mondial (le montant le plus élevé étant retenu). Est-ce cette peur de la sanction qui fait bouger les organisations ? 27 % répondent par l’affirmative. 19 % redoutent davantage la surcharge de travail imposée par cette mise en conformité et 24 % le déficit d’image et la possible perte de confiance des clients ou usagers en cas de problème.
La mise en conformité, oui, mais comment ?
Se mettre en conformité ? 43 % des sondés avouent ne pas du tout savoir comment s’y prendre et 56 % disent ne pas du tout être au fait des technologies et des outils capables de les aider à cela. Et ce, qu’il s’agisse de solutions de cartographie des données (13 % de taux d’équipement), de solutions d’anonymisation ou de pseudonymisation des données (15 % de taux d’équipement), de solutions garantissant la confidentialité, l’intégrité et la sécurité du traitement des données (32 % de taux d’équipement) ou encore de solutions de test, d’analyse et d’évaluation des risques (14 % de taux d’équipement). Le niveau d’équipement est donc relativement bas, tout comme la connaissance du sujet.
1 organisation sur 5 prête à l’heure
À un an de l’entrée en vigueur du RGPD, seuls 20 % des organisations ont enclenché une démarche de mise en conformité et affirment qu’elles seront prêtes à l’heure dite. 6 % sont en ordre de marche, mais pensent ne pas être prêtes à temps, 46 % n’ont encore rien prévu et 28 % ne savent pas vraiment où elles en sont. Reste par ailleurs à savoir qui pilotera cette mise en conformité. Dans 28 % des cas, ce rôle n’a pas encore été attribué, la direction étant le principal acteur cité. Dans 27 % des cas, les organisations interrogées affirment que c’est la DSI qui chapeautera le tout. 21 % disent, en revanche, qu’il s’agira du Cil ou du DPO, 16 % du service juridique et 8 % de la qualité.
RGPD : un mal pour un bien ?
Au-delà de ce contexte légal, il est important que l’organisation définisse une ambition afin de faire de la protection de la vie privée une opportunité pour le développement de ses activités. 9 % des organisations pensent, en effet, que le RGPD leur permettra d’améliorer leur sécurité face aux cyberattaques, 7 % que cela renforcera leur image de marque, 12 % que cela leur offrira une meilleure connaissance de leurs données, 13 % que cela renforcera la confiance dans la relation client et 14 % que cela aidera à l'harmonisation de la gestion et du stockage des données.
(1) Enquête réalisée par SerdaLab pour le compte de la société Arondor, du 15 février au 1er mars 2017, 232 réponses valides traitées.
+ repères
DPO, le nouveau pilote de la conformité
Si la loi Informatique et libertés de 1978 et ses mises à jour ont créé le Cil (correspondant informatique et libertés), le RGPD, lui, consacre le délégué à la protection des données (en anglais, DPO, data protection officer). S’il n’est obligatoire que dans certains cas, il est fortement recommandé de le nommer systématiquement, toute entreprise ou administration devant être capable de rendre compte à l’autorité de contrôle de l’État de ses traitements de données. Le DPO est le garant des bonnes pratiques liées à la protection des données personnelles et permettra de réduire le risque et les aléas juridiques. Pour le moment, seuls 30 % des organisations ont intégré ou prévu d’intégrer cette fonction.
![dpo-donnees-personnelles-evolutions-afcdp-paul-olivier-gibert](https://www.archimag.com/sites/archimag.com/files/styles/vignette/public/web_articles/image/paul-olivier_gibert_afcdp_2024-evolution-dpo-protection-donnees-personnelles.jpg?itok=KfshogP2 ""En vingt ans, les enjeux de la protection des données personnelles se sont accrus", explique Paul-Olivier Gibert, président de l'AFCDP. (AFCDP)")
