Conformité RGPD : une discipline peu externalisée

RGPD KPMG 3 ans

Une enquête de KPMG suggère, chez les entreprises françaises, un recours peu fréquent à des prestataires externes pour la mise en conformité au RGPD.

Jamais mieux servi que par soi-même ? Pour ce qui est de la mise en conformité au RGPD, il est tentant de répondre oui. En tout cas à la lumière d’un rapport de KPMG. À la source, il y a une enquête ouverte réalisée au 1er trimestre 2021. À défaut de connaître le nombre de répondants, on a les indicateurs suivants.

échantillon
(cliquer sur l’image pour l’agrandir)

Le « jamais mieux servi que par soi-même » s’illustre essentiellement sur trois éléments :

  • Le faible taux de DPO externes (7 %)
  • Un recours limité (10 %) aux prestataires externes pour coordonner les actions de mise en conformité
  • L’utilisation encore peu fréquente (18 %) de logiciels de mise en conformité

Les démarches sont essentiellement impulsées par le top management et les fonctions internes de contrôle. Une entreprise sur dix évoque toutefois l’influence de clients ou de partenaires commerciaux.

RGPD initiative

Parmi les effets potentiels d’une non-conformité, on craint avant tout les sanctions réglementaires.

effets redoutés RGPD

D’après les déclarations des participants, quatre entreprises sur cinq ont nommé un DPO. Parmi les internes, 18 % sont dédiés à la fonction. Un taux nettement plus élevé (44 %) si on s’en tient aux grandes entreprises.

fonctions des DPO

Autre poste sur lequel les grandes entreprises se distinguent : la gouvernance des données personnelles. Toutes ont défini – ou sont en train – une stratégie sur ce volet, contre 78 % sur l’ensemble de l’échantillon. Elles sont aussi plus nombreuses (66 % vs 34 %) à avoir un budget spécifique à la mise en conformité.

RGPD : conformité ne rime pas toujours avec AIPD

Qu’en est-il de la mise en pratique ? Les entreprises n’ont pas toutes identifié leurs traitements (premier tableau ci-dessous) et/ou les actions à mener (deuxième tableau).

identification des traitements

identification des actions

Concernant les actions effectivement entreprises, le pilote en est souvent le DPO. Mais il n’est pas forcément seul aux manettes. La DG, notamment, intervient dans près d’un quart des organisations prises en considération.

coordinateurs des actions

Qu’en est-il des logiciels d’aide à la mise en conformité ? Sur l’ensemble des réponses que KPMG a retenues, le taux d’usage s’élève à 18 %. Il est nettement plus important dans les grandes entreprises (50 %) que chez les PME (8 %).

Les différents compartiments de la mise en conformité présentent des niveaux d’avancement très variés, qu’on nous présente sous deux angles. D’un côté, les éléments sur lesquels les entreprises estiment avoir le plus progressé. De l’autre, celles ou elles considèrent, au contraire, avoir le moins avancé.

RGPD avancement

D’un graphe à l’autre, les réponses sont cohérentes. Les démarches les plus avancées sont globalement celles qui constituent le socle de la mise en conformité. Et celles que KPMG qualifie d’« exposées », au sens où elles peuvent entraîner des plaintes. En tête de liste, la gestion de l’information préalable et du consentement.

On aura noté un certain « retard » sur la question des analyses d’impact (AIPD). Tout du moins si on considère que les organisations soumises au RGPD étaient censées les avoir réalisées au 25 mai 2021 – même si les réponses ont été données avant cette date.

Au vu de l’ampleur des actions à entreprendre potentiellement, pourra-t-on jamais « finaliser » une mise en conformité. La plupart des sondés l’estiment, mais à des échéances assez longues.

mise en conformité finale

Illustration principale © tanaonte – Adobe Stock