Pour gérer vos consentements :
Categories: Régulations

Conformité RGPD : une discipline peu externalisée

Jamais mieux servi que par soi-même ? Pour ce qui est de la mise en conformité au RGPD, il est tentant de répondre oui. En tout cas à la lumière d’un rapport de KPMG. À la source, il y a une enquête ouverte réalisée au 1er trimestre 2021. À défaut de connaître le nombre de répondants, on a les indicateurs suivants.

(cliquer sur l’image pour l’agrandir)

Le « jamais mieux servi que par soi-même » s’illustre essentiellement sur trois éléments :

  • Le faible taux de DPO externes (7 %)
  • Un recours limité (10 %) aux prestataires externes pour coordonner les actions de mise en conformité
  • L’utilisation encore peu fréquente (18 %) de logiciels de mise en conformité

Les démarches sont essentiellement impulsées par le top management et les fonctions internes de contrôle. Une entreprise sur dix évoque toutefois l’influence de clients ou de partenaires commerciaux.

Parmi les effets potentiels d’une non-conformité, on craint avant tout les sanctions réglementaires.

D’après les déclarations des participants, quatre entreprises sur cinq ont nommé un DPO. Parmi les internes, 18 % sont dédiés à la fonction. Un taux nettement plus élevé (44 %) si on s’en tient aux grandes entreprises.

Autre poste sur lequel les grandes entreprises se distinguent : la gouvernance des données personnelles. Toutes ont défini – ou sont en train – une stratégie sur ce volet, contre 78 % sur l’ensemble de l’échantillon. Elles sont aussi plus nombreuses (66 % vs 34 %) à avoir un budget spécifique à la mise en conformité.

RGPD : conformité ne rime pas toujours avec AIPD

Qu’en est-il de la mise en pratique ? Les entreprises n’ont pas toutes identifié leurs traitements (premier tableau ci-dessous) et/ou les actions à mener (deuxième tableau).

Concernant les actions effectivement entreprises, le pilote en est souvent le DPO. Mais il n’est pas forcément seul aux manettes. La DG, notamment, intervient dans près d’un quart des organisations prises en considération.

Qu’en est-il des logiciels d’aide à la mise en conformité ? Sur l’ensemble des réponses que KPMG a retenues, le taux d’usage s’élève à 18 %. Il est nettement plus important dans les grandes entreprises (50 %) que chez les PME (8 %).

Les différents compartiments de la mise en conformité présentent des niveaux d’avancement très variés, qu’on nous présente sous deux angles. D’un côté, les éléments sur lesquels les entreprises estiment avoir le plus progressé. De l’autre, celles ou elles considèrent, au contraire, avoir le moins avancé.

D’un graphe à l’autre, les réponses sont cohérentes. Les démarches les plus avancées sont globalement celles qui constituent le socle de la mise en conformité. Et celles que KPMG qualifie d’« exposées », au sens où elles peuvent entraîner des plaintes. En tête de liste, la gestion de l’information préalable et du consentement.

On aura noté un certain « retard » sur la question des analyses d’impact (AIPD). Tout du moins si on considère que les organisations soumises au RGPD étaient censées les avoir réalisées au 25 mai 2021 – même si les réponses ont été données avant cette date.

Au vu de l’ampleur des actions à entreprendre potentiellement, pourra-t-on jamais « finaliser » une mise en conformité. La plupart des sondés l’estiment, mais à des échéances assez longues.

Illustration principale © tanaonte – Adobe Stock

Recent Posts

Gestion des API : un enchevêtrement qui peut coûter cher

Une entreprise fait appel, en moyenne, à trois fournisseurs de solutions de gestion d'interfaces de…

1 jour ago

Chargeur universel : l’UE passe vraiment à l’action

L'Union européenne a lancé une procédure d'amendement de la directive sur les équipements radioélectriques. En…

1 jour ago

Accenture prévoit jusqu’à 15% de croissance pour 2022

Porté par la demande de conseil cloud de grands comptes, le groupe Accenture, solide en…

1 jour ago

Gartner : les « technologues d’entreprise » gagnent du terrain

Nombre de projets technologiques sont dorénavant créés et déployés par des utilisateurs métiers et techniques…

2 jours ago

Doctrine cloud : les concessions de l’État face à Office 365

La DINUM rappelle la non-conformité d'Office 365 avec la politique « cloud au centre ».…

2 jours ago

Sécurité OT : Siemens et Zscaler adaptent le Zero Trust

Siemens et l'éditeur de sécurité cloud Zscaler déploient leur partenariat dans l'accès "zero trust" aux…

3 jours ago