RGPD : 26 % des entreprises prêtes en Europe

Le GDPR sera appliqué en 2018, préparez-vous avec ACESI

À trois mois de la mise en application du règlement européen sur la protection des données personnelles (RGPD ou GDPR dans la langue de Shakespeare), le constat, s’il n’est pas surprenant, n’en est pas pour le moins inquiétant.

À peine un quart des entreprises européennes seraient, pour le moment, totalement alignées aux nouvelles normes, ce qui est peu, particulièrement quand cela fait notamment presque 2 ans que l’ensemble de règles a été voté. Et ne nous voilons pas la face, la majeure partie des grands groupes sont à jour, c’est donc plutôt du côté des PMEs que le bât blesse.

 
Les causes sont nombreuses :

  • Le coût de la mise en œuvre des projets de conformité est élevé : s’il se chiffre en dizaines de millions d’euros pour les groupes, les PMEs sont paradoxalement les plus touchées, car les coûts peuvent être proportionnellement au CA très importants (sensibilité des données traitées, volumes, manque de process en place, etc.).
  • La mise à jour des politiques, des processus et des systèmes est très complexe, et si la plupart des entreprises tentent d’être prêtes pour le traitement des informations sensibles (souvent relatives aux clients), l’intrication des domaines couverts par le RGPD promet un retard conséquent dans les autres segments (collaborateurs, employés, etc.) pour une majorité.
  • Enfin, de nombreuses PMEs ont également retardé leur évolution en attendant que les législations par pays soient établies (on connaissait les grands axes mais chaque pays possède une marge de manœuvre). Par exemple en France, le texte a été adopté le 13 février… 2018, et le sénat doit encore le ratifier en mars… Quand l’obligation européenne pour tous sera applicable au 25 mai 2018 !

 
Va-t-on donc assister en France à une vague sans précédent de redressements et faillites à cause d’amendes lourdes et de freins juridiques ?

La réponse donnée par la Commission Nationale de l’Informatique et des Libertés (CNIL) en la personne de sa présidente, Isabelle Falque-Pierrotin, est qu’un « accompagnement » sera le maître-mot des premiers mois en ce qui concerne les nouvelles obligations. En revanche, les contrôles se poursuivront sur les anciennes obligations qui sont maintenues comme la minimisation.

Si elle déplore que la France ait légiféré si tard, et que de nombreuses entreprises ne soient pas prêtes pour le 25 mai, elle se réjouit de voir que nombre de points du RGPD coïncident avec les bonnes pratiques préconisées dans notre pays depuis longtemps.

 
L’accompagnement primera donc concernant les nouveaux outils comme le droit à la portabilité des données, le registre de traitement, l’établissement d’un délégué à la protection des données, etc. et durera probablement toute l’année en cours. Par la suite évidemment, les sanctions commenceront à tomber.

En ce qui concerne la mise en place pure et l’implémentation d’une politique de traitement des données, les entreprises devront avoir un plan d’action établi pour bénéficier de l’aide de la CNIL.

 
 
Attention, le nombre de collaborateurs à la CNIL étant vraiment faible en regard des besoins, il y a fort à parier que malgré toute la bonne volonté et les efforts de celle-ci, l’accompagnement promis ne soit que très temporaire.

Si vous en avez la possibilité, donc, n’hésitez plus, demandez un audit, afin ne serait-ce que de mettre en place un plan d’action pour les mois à venir et vérifier l’impact que la nouvelle législation aura sur votre SI. Nos spécialistes RGPD sont à votre écoute !

 
Pour en apprendre plus sur le RGPD : Cliquez ici