Conformité RGPD : une discipline peu externalisée

Jamais mieux servi que par soi-même ? Pour ce qui est de la mise en conformité au RGPD, il est tentant de répondre oui. En tout cas à la lumière d’un rapport de KPMG. À la source, il y a une enquête ouverte réalisée au 1^er trimestre 2021. À défaut de connaître le nombre de répondants, on a les indicateurs suivants.

Le « jamais mieux servi que par soi-même » s’illustre essentiellement sur trois éléments :

• Le faible taux de DPO externes (7 %)
• Un recours limité (10 %) aux prestataires externes pour coordonner les actions de mise en conformité
• L’utilisation encore peu fréquente (18 %) de logiciels de mise en conformité

Les démarches sont essentiellement impulsées par le top management et les fonctions internes de contrôle. Une entreprise sur dix évoque toutefois l’influence de clients ou de partenaires commerciaux.

Parmi les effets potentiels d’une non-conformité, on craint avant tout les sanctions réglementaires.

D’après les déclarations des participants, quatre entreprises sur cinq ont nommé un DPO. Parmi les internes, 18 % sont dédiés à la fonction. Un taux nettement plus élevé (44 %) si on s’en tient aux grandes entreprises.

Autre poste sur lequel les grandes entreprises se distinguent : la gouvernance des données personnelles. Toutes ont défini – ou sont en train – une stratégie sur ce volet, contre 78 % sur l’ensemble de l’échantillon. Elles sont aussi plus nombreuses (66 % vs 34 %) à avoir un budget spécifique à la mise en conformité.

RGPD : conformité ne rime pas toujours avec AIPD

Qu’en est-il de la mise en pratique ? Les entreprises n’ont pas toutes identifié leurs traitements (premier tableau ci-dessous) et/ou les actions à mener (deuxième tableau).

Concernant les actions effectivement entreprises, le pilote en est souvent le DPO. Mais il n’est pas forcément seul aux manettes. La DG, notamment, intervient dans près d’un quart des organisations prises en considération.

Qu’en est-il des logiciels d’aide à la mise en conformité ? Sur l’ensemble des réponses que KPMG a retenues, le taux d’usage s’élève à 18 %. Il est nettement plus important dans les grandes entreprises (50 %) que chez les PME (8 %).

Les différents compartiments de la mise en conformité présentent des niveaux d’avancement très variés, qu’on nous présente sous deux angles. D’un côté, les éléments sur lesquels les entreprises estiment avoir le plus progressé. De l’autre, celles ou elles considèrent, au contraire, avoir le moins avancé.

D’un graphe à l’autre, les réponses sont cohérentes. Les démarches les plus avancées sont globalement celles qui constituent le socle de la mise en conformité. Et celles que KPMG qualifie d’« exposées », au sens où elles peuvent entraîner des plaintes. En tête de liste, la gestion de l’information préalable et du consentement.

On aura noté un certain « retard » sur la question des analyses d’impact (AIPD). Tout du moins si on considère que les organisations soumises au RGPD étaient censées les avoir réalisées au 25 mai 2021 – même si les réponses ont été données avant cette date.

Au vu de l’ampleur des actions à entreprendre potentiellement, pourra-t-on jamais « finaliser » une mise en conformité. La plupart des sondés l’estiment, mais à des échéances assez longues.

Illustration principale © tanaonte – Adobe Stock