Baromètre RGPD 2021 : 3 ans après, quel bilan pour les entreprises ?

Contexte

Depuis un an, le contexte de la crise sanitaire, les nouveaux modes de travail, le Brexit, l’invalidation du Privacy Shield ou encore les nouvelles directives de la CNIL concernant les cookies ont accéléré les défauts de sécurité des sites internet avec 24 % de signalements en plus en 2020. Entre l’accélération de la digitalisation des activités et l’augmentation des cyberattaques, les entreprises et collectivités ont développé de nouvelles stratégies dédiées à la protection des données personnelles.

Les DPO « data protection officer ou délégué à la protection des données », ont-ils réussi à anticiper ces changements ? Quelles sont les actions qu’ils ont mises en place dans leur structure ? Comment la gouvernance des données a-t-elle évoluée ? Leur rôle au sein de l’entreprise a-t-il pris un nouveau tournant ? Trois ans après l’entrée en vigueur du règlement général sur la protection des données (RGPD), voici le bilan dressé par l’édition 2021 du Baromètre RGPD (téléchargeable sur https://datalegaldrive.com/barometre-rgpdedition- 2021-infographie/).

La crise sanitaire a profité au RGPD

1 entreprise sur 2 a un bon niveau de conformité RGPD. Plus d’une entreprise sondée sur deux estime avoir atteint un bon niveau de conformité.

La situation sanitaire aura finalement été favorable à la gouvernance des données personnelles au sein des entreprises et des organismes publics qui sont près de la moitié (47 %) à estimer avoir atteint un niveau de complétude supérieur à 70 %.

Toutefois, 37 % des structures révèlent un taux de complétude inférieur à 50 %.

Cependant, des actions claires, des processus et gammes opératoires transverses et une organisation efficace nécessitent encore d’être améliorés, automatisés, accompagnés afin d’atteindre un meilleur niveau de conformité.

RGPD, une démarche transverse, permanente et vertueuse. 48 % des entreprises interrogées perçoivent le RGPD comme une démarche transverse, permanente et vertueuse. Pour 32 % des entreprises sondées, le RGPD est vécu comme une obligation réglementaire ; pour 27 %, il s’agit d’une contrainte technique et /ou juridique et pour 22 %, le RGPD est un devoir de transparence et une marque de respect.

Digitalisation des registres

Cartographie des traitements de données.

La digitalisation des données personnelles progresse. 31 % des DPO et juristes interrogés ont digitalisé en 2021 leurs registres des traitements avec exhaustivité et pérennité, soit une augmentation de 120 % en 2 ans (14 % en 2019 et 13 % en 2020).

Secteurs en retard

Malgré ces résultats encourageants, 62 % des DPO et juristes sondés réalisent encore leurs registres de traitements à l’aide d’Excel. Parmi les secteurs les plus en retard, on trouve l’éducation, la santé, les banques et assurances.

Crise sanitaire et cyberattaques

2 fois plus d’entreprises ont renforcé leur sécurité

65 % des structures interrogées ont accéléré et renforcé leur sécurité en instaurant de nouvelles mesures, c’est deux fois plus que l’an dernier. Les lourdes sanctions émises par la CNIL à l’encontre de sociétés et la multiplication des risques liés aux cyberattaques et à la sécurité des données ont permis de déclencher des actions de la part des entreprises et organismes publics :

• 1/3 des DPO ont mis en place des mesures de sécurité conformes à l’article 32 du RGPD ;

• 64 % ont réalisé des audits du niveau de sécurité de leur site internet : protocole https, formulaires de recueils de données, etc.

Formation des collaborateurs

2 fois plus d’entreprises forment leurs salariés au RGPD

Plus de 7 salariés sur 10 (76 %) sont de plus en plus attentifs à la protection de leurs données au sein de leur entreprise. En 2021, 60 % des structures ont formé leurs salariés, contre 30 % en 2020. Une multiplication par deux par rapport à l’an dernier qui peut s’expliquer de deux manières :

• la formation représente un avantage pour la sécurité des entreprises : plus le facteur humain est sensibilisé, plus le risque aura une tendance naturelle à se réduire ;

• inculquer aux collaborateurs les réflexes et bonnes pratiques permet à l’entreprise de démontrer son engagement dans le respect du RGPD de manière pérenne.

3 outils de formation utilisés

Afin de former leurs collaborateurs au RGPD, les entreprises ont privilégié :

• les réunions avec les directeurs de chaque département de l’entreprise (27 %) ;

• la diffusion d’informations sur leur intranet (18 %) ;

• et la communication interne par e-mail (17 %).

CNIL, cookies, Privacy Shield

Le RGPD demande de l’agilité de la part des entreprises. Alors qu’en 2019 et 2020, seulement un site web sur trois (30 %) était en conformité avec le RGPD, les nouvelles recommandations de la CNIL améliorent la qualité RGPD des sites web avec plus d’un site web sur deux en conformité. En effet, 53 % des entreprises des structures sondées ont mis à jour leurs mentions légales politiques de confidentialité et assuré la gestion des cookies et information satisfaisante.

Pour 65 % des professionnels de la protection des données interrogés, les dernières lignes directrices et recommandations de la CNIL liées aux cookies ont facilité l’appréhension des règles notamment dans le recueil du consentement des internautes.

Privacy Shield. 74 % des DPO et juristes n’ont pas renégocié les contrats concernés par la fin du Privacy Shield et l’absence de décision d’adéquation UK lié au Brexit. « Et si 2021 était une année contractuelle RGPD ? L’arrivée imminente d’une décision d’adéquation UK au RGPD va permettre aux entreprises de respirer. Un effet collatéral de la fin du Privacy Shield avec des entreprises qui recherchent la pérennité de leurs engagements contractuels en matière de conformité RGPD :

l’essor des Corporate Binding Rules se fait de plus en plus fort notamment au sein des ETI et Grands Comptes » relate Grégoire Hanquier, Directeur juridique de la conformité et des affaires publiques chez Data Legal Drive.

Pour en savoir plus sur cette question : Mes alertes et conseils