RGPD 1 an après : résultats du 1er baromètre gouvernance de la data
La start Up Data Ledal Drive sort le 1er baromètre qui valorise les différents points d’avancement des entreprises sur les 7 grands thèmes qui constituent les process de mise en conformité.
Conformité générale au RGPD
Si pour l’ensemble du marché, le RGPD n’est plus une question, le niveau des démarches engagées est assez variable.
Près de la moitié des grands comptes ont abordé de manière globale et avec complétude le sujet. Pour l’autre moitié, c’est en cours. La situation est plus mitigée pour les entreprises de tailles SMB (Small and Medium Business) :
pour 1 PME sur 5, le RGPD fait encore l’objet de discussions.
NOTRE AVIS
La gouvernance de la data à travers la mise en exécution du RGPD mérite d’être menée de manière globalisée et pérenne. Cela devrait être le cas à minima au sein des grands comptes et des ETI. Or comme le montre l’étude, moins de la moitié de ces entreprises (Grands comptes et ETI) ont abordé le RGPD comme un véritable projet global d’entreprise.
Un bon exemple à suivre en terme de démarches organisationnelles, techniques et juridiques ?
Les acteurs de la Tech – start-up ou scale-up – puisque la plupart sont nécessairement Privacy by Design. En effet, ce qui est à retenir chez ces acteurs pourtant encore jeunes est leur démarche menée de manière mature et lucide face à la révolution qu’entraîne l’exploitation de la data.
Nombre des entreprises de plus grande taille peuvent en suivre l’exemple.
Conformité des sites web
Seul 1/3 des sites web seraient à 100% conforme : un résultat étonnant.
Vitrine de l’entreprise, le site web est le lieu où la mise en conformité RGPD est à opérer parmi les toutes premières actions. Or, plus de la moitié des sites web des grands comptes ne seraient qu’en partie conformes.
NOTRE AVIS
A la décharge de nombre entreprises, ce qui parait simple et rapide à mener en termes de conformité sur un site web peut en réalité, s’avérer rapidement tentaculaire à déployer.
Les pratiques (notamment de référencement) demandent aux sites d’être en constante évolution et de démultiplier leurs contenus. Conserver un niveau de conformité exemplaire sur des pages et des formulaires en mouvement permanent est loin d’être évident à suivre pour l’entreprise.
Notons également le chantier technique à réaliser concernant les cookies. Indispensables aux campagnes marketing, ceux-ci doivent être indiqués et paramétrables par les utilisateurs. De leur côté, ces mêmes utilisateurs doivent avoir la possibilité de contrôler leurs propres cookies à volonté, sans pour autant que leur soient interdits tout ou partie du site. Au global, un chantier technique, organisationnel et juridique qui s’avère long à déployer.
Cartographie des traitements
La démarche est avancée pour plus de 80% des entreprises !
Au sein des grandes entreprises, la cartographie des traitements de données a été réalisée pour 64 % mais dans une partie des structures et directions, et de manière intégrale pour près de 1/3 (32 %).
Sur ce point, les PME affichent un peu de retard.
Pour 16 % d’entre elles, la cartographie des traitements est en préparation, et pour 15 % d’entre elles, elle n’a pas encore été envisagée.
NOTRE AVIS
Cette situation encore partielle va dans les mois à venir, évoluer par nécessité.
En effet, du fait de la co-responsabilité entre les acteurs, «un effet papillon» se propage actuellement. TPE, PME, ETI peuvent être sous-traitantes entre-elles et auprès des Grands Comptes. Or la cartographie des traitements concernant les données personnelles fait partie des démarches RGPD à mettre en place en tant que sous-traitant, les obligeant ainsi naturellement à se mettre en conformité les unes pour les autres et vice et versa.
Constitution du registre des traitements
Pas ou peu d’outils ou logiciels dédiés sont utilisés par les entreprises, qui gèrent leurs registres sous Excel.
Moins de 15% des entreprises digitalisent leur registre : d’une part, cela est un non-sens concernant un sujet Data, et d’autre part, le retard que notre économie a en matière de digitalisation, est à nouveau pointé du doigt par cette étude.
NOTRE AVIS
Digitaliser son registre doit rapidement devenir une évidence. Sans cela, il est utopique de penser le maintenir efficacement et sans pénibilité. A l’heure du big Data, c’est un peu comme si on demandait à un commercial de travailler sans outil CRM.