RGPD : quel bilan 4 ans après ?

L'heure du bilan a sonné ! Quatre ans après son entrée en vigueur, le RGPD s'est imposé dans la plupart des organisations. "Nous observons une montée en maturité de la part des entreprises, toutes tailles confondues", constate Sylvain Staub, avocat associé chez DS Avocat et président fondateur de Data Legal Drive. L'entreprise a récemment publié un baromètre RGPD en partenariat avec Lefebvre Dalloz et l'Association française des juristes d'entreprise (AFJE). Ce dernier a été réalisé au cours du premier trimestre 2022, auprès de 300 entreprises et organisations publiques (dont 40 % de PME et 34,9 % d'ETI).

Data Legal Drive

Profil des répondants baromètre RGPD 2022

Cette année, 30 % des entreprises ont sauté le pas de la digitalisation de leur registre des traitements de données personnelles, soit deux fois plus qu'en 2019. "Cela représente une belle amélioration en trois ans et montre une réelle prise de conscience quant à la nécessité de renforcer la sécurité des bases et flux de données", analyse Sylvain Staub. La gestion des cookies représente un sujet prioritaire pour 58 % des répondants. En 2022, près de 67% des entreprises ont ainsi intégré une CMP (Consent Management Platform) à leur site web. A titre de comparaison, en 2019, seul 1 site internet sur 3 était en conformité RGPD. Selon le baromètre, les entreprises se sentent aidées et jugent plus facile le recueil du consentement des internautes depuis les nouvelles directives de la CNIL.

Une crainte des sanctions

La peur des contrôles et des sanctions tend également à s'accentuer puisque la CNIL a développé une procédure de répression simplifiée permettant de traiter plus facilement le nombre de plaintes. En 2022, 53 % des entreprises craignent un contrôle de la CNIL, ce qui peut également expliquer l'accélération de la digitalisation de la protection des données personnelles.

Data Legal Drive

Contrôle de la CNIL

L'augmentation des cyberattaques amène également les entreprises à mettre en place des mesures de sécurité conformes à l'article 32 du RGPD. "Cet article impose aux entreprises des mesures fortes en matière de sécurité. Actuellement, plus d'une sanction sur deux concerne d'ailleurs des enjeux de sécurité", souligne Sylvain Staub. En 2022, les entreprises ont ainsi été deux fois plus nombreuses qu'en 2020 à avoir mené des actions concrètes. Depuis la crise sanitaire, 75% des entreprises ont évalué le niveau de sécurité de leur site web tels que le protocole https ou encore les formulaires de recueils de données.

Des freins à lever

Pour autant, de nombreuses entreprises ne sont pas encore au point en matière de mise en conformité RGPD. Le baromètre met en lumière plusieurs freins à lever, à commencer par le manque de temps (pour 56 % des répondants). "Nous observons aussi un manque de directives de la part des directions générales, de plan d'action et de pilote. Mais ces freins se lèvent progressivement", souligne Sylvain Staub. Pour accélérer la mise en conformité, la formation des salariés au RGPD est en enjeu clé pour les entreprises. Cela passe notamment par des réunions avec les directions métiers, des communications via l'intranet, l'envoi de newsletters ou encore l'organisation de workshops et de séminaires. Par ailleurs, plus de 38 % des répondants ont indiqué avoir déployé un module d'e-learning en 2022, alors qu'il était peu utilisé l'année précédente. "Je pense que cet outil va continuer à se développer car il permet de former des salariés facilement, à un coût cadré et ce malgré le turnover", estime Sylvain Staub. Si le RGPD reste majoritairement perçu comme une obligation règlementaire pour les entreprises, de plus en plus de directions prennent également conscience qu'il permet de répondre à des enjeux de sécurité et d'éthique.