19% des entreprises estiment qu’elles seront conformes au RGPD le 25 mai 2018

Les Résutats du 1er Baromètre du RGPD Avril 2017
Pour ce premier baromètre, élaboré en collaboration avec Global Security Mag et Brainwave avec le concours de l’AFCDP et du CLUSIF, plus de 100 entreprises hexagonales, tant du secteur privé que public, ont répondu de façon anonyme au premier questionnaire
Si la majorité des répondants maîtrisent bien les enjeux du RGPD, il n’en va pas de même au niveau global de leurs entreprises.
D’ailleurs, au final peu d’entre eux pensent que leurs organisations seront en conformité le 25 mai 2018.
Il est donc urgent que les entreprises prennent dès à présent des mesures, en particulier de sensibilisation interne, pour tendre vers la conformité au RGPD.
En préambule, on note que l’indice de compréhension individuelle du RGPD est assez fort au niveau des
répondants.

Indice de maturité RGPD : l’individuel versus le collectif

Avec un indice de 62 sur une échelle de 100, c’est-à-dire supérieur à la moyenne, les répondants semblent être les premiers concernés par le RGPD au sein de leur organisation. De ce fait ils en comprennent bien les tenants et aboutissants. Dans le même temps, ils évaluent le degré de compréhension globale de leur entreprise à 35 sur 100.
Nous sommes donc loin du compte et ce n’est pas très bon signe à un peu plus de 400 jours de la mise en
application du règlement.
« On peut se demander à qui en incombe la responsabilité ? Il est probable que le manque de communication en soit aujourd’hui la cause principale, qu’il s’agisse de communication vers les entreprises mais aussi à destination du grand public »
Les populations porteuses du sujet RGPD dans les entreprises sont principalement les CIL (40%), suivis des futurs DPO et de la DSI, avec 14% chacun, et du juridique (9%).
Curieusement, le comité de Direction n’apparaît pas du tout dans les réponses, et le contrôle interne et la
conformité n’obtiennent respectivement que 2 et 5%.
« La deuxième cause du problème vient en particulier du manque d’information et d’implication de l’exécutif. C’est effectivement grâce à lui que des actions de sensibilisation ciblant l’ensemble de l’organisation peuvent être mises en place, en visant en particulier les fonctions internes comme les Ressources Humaines, le marketing, la DSI et plus largement l’ensemble des responsables métiers…»
A ce propos, le baromètre souligne que seulement 1 entreprise sur 4 a initialisé des groupes de travail transverses pour étudier les impacts du règlement et définir sa feuille de route.
D’ailleurs, l’étude souligne aussi que seuls 56% des entreprises ont actuellement un CIL, ceci peut en partie expliquer cela.
Pourtant, le CIL joue le rôle de pierre angulaire du RGPD en informant et en relayant les messages de la
CNIL auprès de l’organisation.

Le DPO, futur chef d’orchestre de la conformité RGPD

Selon notre baromètre, la mission du DPO est relativement bien comprise et maîtrisée dans 68% des cas,
même si 23% des répondants déclarent n’avoir qu’une connaissance partielle de ses missions et que beaucoup de zones d’ombres subsistent pour 7%.
La quasi-totalité des répondants s’accorde à dire que le DPO est LE bon moyen pour réduire les risques,
mais aussi voir le règlement appliqué et respecté. 80% des répondants ont bien intégré que le DPO peut
être interne ou externe et mutualisé.

Un long chemin parsemé d’embûches vers la conformité RGPD

Le baromètre souligne qu’à ce jour :
– seulement 19% des entreprises estiment qu’elles seront conformes au RGPD le 25 mai 2018 alors que
– 44% considèrent déjà qu’elles ne seront que partiellement conformes.
– Par contre, 33% d’entre elles ne le seront pas du tout dans l’état actuel des choses !
Malgré tout, ces réponses semblent teintées d’optimisme. Il apparaît que la majorité des entreprises n’a
quasiment pas entamé les travaux préparatoires et essentiels à ce jour, comme les données suivantes
tendent à le démontrer :
• 5% des répondants ont entamé un processus relatif à la purge des données ;
• 15% ont procédé à des études d’impact DPIA ;
• 18% ont entamé un processus de protection des données by design ;
• 26% ont mis en place des mesures visant à limiter les brèches de sécurité ;
• 27% ont simplement entamé un audit afin de connaître de façon exhaustive où se trouvent leurs données à caractère personnel.
Le peu d’études d’impact réalisé peut s’expliquer par un travail d’inventaire des traitements soit en cours
de réalisation ou à défaut pas encore réellement entamé.
Dans le domaine des obligations déclaratives liées à de possibles violations, ¾ des répondants maîtrisent relativement bien le sujet.
Cela laisse à penser que les dispositions prisent ou à prendre afin de se prémunir d’éventuelles brèches sont en bonne position dans la liste des priorités.
En espérant qu’elles ne soient pas révélatrices d’une vision trop « IT » et qu’elles correspondent bien à la
mise en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de
sécurité adapté au risque.
Ces mesures sont définies par l’autorité dans l’article 32 du règlement.
La question qu’il faut se poser maintenant est relative à l’adéquation des solutions retenues par rapport au  contexte précis de la mise en conformité RGPD.

Conclusion : encore loin du but malgré de bonnes dispositions

En conclusion de ce premier baromètre, on constate globalement une faible maturité des entreprises en regard des travaux concrets déjà réalisés sur les processus liés à la conformité et à la sécurité des données, ce qui représente plutôt un très mauvais indicateur.
Mais, par-dessus tout, la principale menace qui apparaît à l’analyse des résultats est liée au fait que les
entreprises ne travaillent pas le sujet en mode « collectif » ou transverse.
Cette vision en silo de la part des entreprises est une véritable épée de Damoclès face à la complexité de la mise en œuvre de la conformité au règlement européen sur la protection des données.
Il reste donc encore beaucoup « de pain sur la planche ».
D’une part, des actions doivent être impérativement menées en termes de sensibilisation au sein des entreprises.
D’autre part, une feuille de route doit être définie, afin de prendre les mesures « à minima » pour tendre vers la conformité.
Toutefois, la nomination de CIL et les nominations effectives ou à venir de DPO représentent des signes extrêmement positifs et encourageants.
Nous vous rappelons à ce propos que la CNIL vient de mettre en ligne sur son site web, une rubrique intéressante :
‘‘Se préparer au règlement européen. Un document retiendra toute votre attention, il s’agit des
6 étapes pour se préparer.’’
Gageons que le prochain baromètre montrera une progression significative sur l’ensemble des axes évalués dans ce premier questionnaire.