Point de vue
5 ans après l'entrée en vigueur du RGPD, où en sommes-nous ?
Depuis l’entrée en vigueur du Règlement Général à la Protection des Données (RGPD) en 2018, les autorités de contrôle européennes ont prononcé un total de 1.640 sanctions (dont 87 sanctions prononcées par la Commission Nationale Informatique et Libertés en France). Si les régulateurs européens avaient en premier lieu les GAFAM pour cible, des organisations de toutes tailles et tous secteurs (collectivité territoriale, établissement public, profession libérale, start-up, PME) ont été visées par les sanctions prévues par le RGPD.
Socle de la réglementation européenne sur la protection des données personnelles, le RGPD est aujourd’hui intégré à de nouvelles obligations issues de la stratégie numérique européenne dont notamment, celles du Digital Market Act (DMA), du Data Governance Act (DGA) ou encore du projet de règlement Artificial Intelligence Act (AIA). Les nouveaux usages de la donnée et l’accélération de la digitalisation au sein des organisations favorisent le traitement de données en masse et augmentent ainsi le risque lié à la vie privée mais également à la sécurité de ces données.
Notre enquête auprès des DPO des organisations françaises a eu pour objectif de faire le bilan des 5 années de mise en œuvre du RGPD à travers la mise en perspective des différents impacts de l’entrée en vigueur du RGPD, des enjeux et opportunités communs et des risques persistants en matière de protection des données.
Gouvernance
La désignation d’un DPO et le choix de son rattachement hiérarchique constituent des étapes clés dans la mise en conformité au RGPD. 92% des organisations interrogées ont désigné un(e) DPO. Parmi les organisations ayant désigné un DPO, seulement 32% ont un(e) DPO indépendant(e) car rattaché(e) directement à la Direction Générale de l’organisation. Dans les autres organisations, la fonction de DPO est rattachée hiérarchiquement à la Direction juridique pour 36% d’entre elles ou à la Direction de la conformité pour 28% d’entre elles.
La majorité des organisations interrogées (67%) a établi une gouvernance pour la gestion de la protection des données à travers la désignation de référents au sein de chaque direction ou filiale. Ces derniers ont pour rôle principal d’être le relais du DPO ou de sensibiliser les collaborateurs. Seulement un tiers des organisations a indiqué que les référents désignés avaient une responsabilité allant au-delà de ces deux rôles (e.g., objectifs de déploiement et de documentation de la conformité au RGPD dans leur périmètre).
L’ensemble des organisations interrogées dispose d’un budget dédié à la conformité RGPD. Ce budget varie très fortement pour les organisations ayant un chiffre d’affaires supérieur à 100 millions d’euros puisqu’il oscille entre 250.000 et 2 millions d’euros pour 54% d’entre elles et entre 10.000 et 100.000 euros pour 68% d’entre elles. En revanche, pour les organisations de taille plus réduite (chiffre d’affaires inférieur à 100 millions d’euros), le budget alloué pour la protection des données est largement inférieur puisqu’il est de moins de 10.000 euros pour 69% d’entre elles.
La communication des risques liés à la protection des données auprès des instances dirigeantes est un élément clé dans le cadre de la mise en place d’un dispositif de conformité robuste. 38% des organisations interrogées disposent d’un comité dédié à la protection des données se réunissant 1 à 3 fois par trimestre et 44% des organisations abordent la protection des données au sein d’autres comités tels que le comité des risques, le CODIR ou le COMEX. Les sujets principalement abordés lors de ces comités sont les risques liés à la protection des données (31%), le suivi des plans d’action ou des remédiations (27%) et les actualités règlementaires (23%).
D’après les organisations ayant répondu à l’enquête, la mise en place du dispositif de conformité au RGPD se heurte principalement aux trois obstacles suivants : le manque de ressources humaines (25%), le manque d’implication (17%) et le manque de coordination (15%) des différentes parties prenantes. La capacité à auditer le dispositif de conformité dans l’ensemble des processus et filiales se heurte quant à elle à deux difficultés principales (50%) : le manque de ressources financières et le manque d’engagement des instances dirigeantes.
Impact du RGPD dans les différents domaines d’activités
Les organisations ont estimé que le RGPD leur avait permis de renforcer la sécurité des données personnelles (19%) et de disposer d’une meilleure vision des données collectées et traitées (17%).
La mise à jour et la tenue du registre des traitements, l’information des personnes concernées ainsi que la formation des personnes sont les principales thématiques sur lesquelles les répondants s’estiment les plus avancées.
A l’inverse, la gestion et la mise en place des durées de conservation, le privacy by design et by default, la réalisation d’analyses d’impacts sur la protection des données (AIPD ou Privacy Impact Assessment) ont été identifiées comme thématiques les moins avancées. De plus, les organisations interrogées semblent moins matures sur l’identification des flux de données, la mise à jour des clauses contractuelles types et la réalisation d’analyses d’impact du transfert des données en dehors de l’Union Européenne (TIA ou Transfer Impact Assessment). Enfin, bien que le registre des traitements soit le premier document demandé par la CNIL, seulement la moitié des répondants estime avoir recensé la totalité de leurs traitements de données personnelles et mis à jour leurs registres des traitements.
Principaux risques
5 ans après l’entrée en vigueur du RGPD, plus de la moitié des organisations interrogées a déjà revu et contrôlé leur dispositif de conformité. Parmi elles, 28% ont réalisé ce contrôle de manière exhaustive sur l’ensemble des directions et filiales. Cette tendance se confirme à travers les missions d’audit que Deloitte a réalisé ces trois dernières années pour le compte de DPO ou de directeur d’audit interne. Ce dynamisme évolue actuellement vers les audits de sous-traitants puisque 44% des répondants en ont déjà réalisé.
Plus de la moitié des organisations interrogées a réalisé une cartographie des risques RGPD ou a intégré les risques liés à la protection des données dans une cartographie globale des risques. Les fonctions considérées comme étant les plus à risques sont les activités de gestion des ressources humaines (23%), de production et opérations (15%), de marketing et vente (15%) et les systèmes d’information (15%). Ce sont d’ailleurs ces fonctions qui ont été ciblées en priorité dans le cadre des audits menés par les organisations. Malgré la réalisation d’audits et de cartographie de risques, 1 organisation sur 3 n’a pas intégré la protection des données personnelles dans son plan de contrôle interne.
Si 22% des organisations interrogées ont déjà fait l’objet d’un contrôle de la CNIL, le risque de réputation ou de sanction publique (28%), le risque de perte de confiance des clients, consommateurs, patients ou partenaires (21%) ainsi que le risque de plainte ou contentieux (19%) sont les plus redoutés car plus dommageables pour les organisations que le risque d’amende administrative.
Contrôle et digitalisation de la conformité
1 entreprise sur 2 utilise des solutions d’aide à la mise en conformité. OneTrust est l’outil le plus utilisé par les organisations interrogées (45%), devant Data Legal Drive (22%). Ces outils permettent aux organisations de constituer et gérer leur registre des traitements, de répondre aux obligations d’accountability et de suivre l’évolution de leur conformité.
Conclusion
5 ans après l’entrée en vigueur du RGPD, les principes fondamentaux ont été en grande partie déployés par les organisations. Elles doivent désormais se renforcer sur la revue des dispositifs au travers d’audits réguliers et de la mise en place de plans de contrôle permettant d’assurer la conformité au RGPD de manière continue. Malgré l’identification des risques liés à la protection des données, le niveau de maturité et les investissements financiers sont hétérogènes. Cela pourrait s’expliquer par le faible impact réputationnel et le faible montant des sanctions prononcées par la CNIL.
Les DPO désignés n’exercent pas toujours leur fonction à temps plein alors que leur rôle est de plus en plus croissant du fait des évolutions réglementaires (e.g., cookies et traceurs, intelligence artificielle, invalidation du Privacy Shield). A l’image du changement de cap de la CNIL vers l’intelligence artificielle, la fonction de DPO pourrait également se transformer avec l’adoption de l’Artificial Intelligence Act. Deux options se profilent : un DPO qui s’adapte et élargit ses compétences ou d’autres fonctions qui se créent avec lesquelles il devra interagir pour assurer la conformité de la donnée au sein de l’entreprise.
Notre experte
Sonia Cabanis
Associée Responsable Regulatory, Operations and Controls
