La conformité des acteurs du numérique au RGPD

Publié le par Baptiste Soleil.

Six ans après l’entrée en application du RGPD, nous nous sommes demandés où se situaient les acteurs du numérique (ESN, agences web / marketing / communication, DSI internes), vis-à-vis de cette réglementation. Sur la base des réponses d’un questionnaire partagé à notre écosystème, voici les résultats de notre étude.

Une majorité de structures du numérique « plutôt conforme »

Pour plusieurs raisons, les entreprises du numérique ont tout intérêt à être en conformité avec le Règlement Général sur la Protection des Données (RGPD). Parmi elles, nous pouvons citer le respect des droits des utilisateurs, le renforcement de la confiance des clients, la prévention des risques juridiques, le besoin d’éviter les sanctions financières ou encore l’harmonisation des pratiques à l’échelle de l’Union européenne.

En l’espèce, il est intéressant de remarquer que sur l’ensemble des participants :

  • 25% considèrent que leur structure est totalement conforme au RPGD.
  • 60% estiment être plutôt conformes au RPGD.
  • 15% trouvent que leur structure est peu conforme.
  • Aucune ne se considère « non conforme ».

A quel niveau situez-vous la conformité de votre structure avec le RGPD ?

Totalement conforme : 5; Plutôt conforme : 12; Peu conforme : 3; Non conforme : 0.

Mais que signifie exactement « Plutôt conforme » ? Si les répondants se considèrent plutôt bons élèves sur le volet RGPD, ces structures identifient pour la plupart des axes d’améliorations. Peut-être les différents répondants ont-ils du mal à identifier réellement les enjeux du RGPD et l’état de leur propre conformité ? C’est ce que ce chiffre de 60 % laisse supposer.

Ajoutons que 65% des répondants disposent d’un Délégué à la Protection des Données au sein de leur structure (quasi systématiquement un DPO interne). Seuls 25% des participants ont déjà fait appel à un expert externe pour les accompagner dans leur démarche (formations, audits, accompagnement et conseils juridiques). La tendance est donc majoritairement à l’internalisation du projet de conformité.

Un projet de conformité RGPD qui s’inscrit souvent dans une démarche plus globale du numérique responsable

Le numérique responsable est une démarche visant à réduire l’empreinte sociale, économique et environnementale du numérique selon une définition du label numérique responsable. La protection des données personnelles en est un des aspects, ce qui fait que pour les structures du numérique, la conformité au RGPD est souvent corrélée à une démarche numérique responsable.

Votre structure est-elle engagée dans une démarche numérique responsable / qualité web ?

Non : 30%; Oui : 70%.

Parmi les participants, 70% d’entre eux sont engagés dans une démarche de la sorte. C’est principalement sur Opquast et divers labels RSE que cette démarche repose.

Votre démarche repose-t-elle sur l’un de ces éléments ?

Opquast : 9; Label Numérique responsable : 1; Autre label RSE : 8.

Une prise en compte satisfaisante du RGPD dans les projets web

Seuls 9% des ESN (Entreprises de Services Numériques) et éditeurs logiciels considèrent qu’il ne s’agit pas d’une préoccupation de leurs structures, 91% s’y impliquent à différents degrés. Les entreprises du numérique sont des acteurs de la mise en application du RGPD, il est donc heureux de constater une implication réelle et réfléchie.

43% des participants respectent les bonnes pratiques sur leur périmètre. 34% prennent une marge de sécurité supplémentaire grâce aux vérifications du DPO interne. Les vérifications par un membre de l’équipe tech (chef de projet/produit) concernent 31% des répondants. Enfin, seulement 9% fait réaliser des audits par un prestataire externe. La tendance est cette fois-ci à la spécialisation.

L’importance accordée à la formation et à la veille

Afin de s’assurer que tous les membres d’une organisation respectent les bonnes pratiques de protection des données pour maintenir une conformité continue, la formation et la sensibilisation au RGPD sont essentielles.

Il est encourageant de remarquer que 85% des répondants ont été formés au RGPD, dont 40% régulièrement. Une proportion minoritaire des interrogés ne l’a jamais été (15%).

Avec la sensibilisation, le développement d’outils et le temps consacré, cette donnée tend naturellement à diminuer.

Avez-vous été formé / sensibilisé au RGPD ?

Opquast : 9; Label Numérique responsable : 1; Autre label RSE : 8.

Les outils utilisés pour y parvenir sont divers, dont notamment les formations en internes, Webinaires, MOOC et e-learning. Plus rarement par un formateur externe. En somme, ces entreprises ont l’air de disposer des ressources nécessaires pour procéder à une sensibilisation générale et complète au sein de leur structure. En revanche, la veille demeure incomplète (39 %) et chronophage (17%) pour la majorité des répondants bien que régulière.

Bonus

Synthèse des réponses à la question suivante : « Quelles sont les trois premières expressions qui vous viennent à l’esprit lorsque vous pensez au RGPD ? »

Résumé du nuage de mots ci-dessus :

  • Thématique juridique : loi, règlement, Europe, référentiel, principes, cycle de vie, data, sécurité, données personnelles
  • Thématique droit des utilisateurs : consentement, information, vie privée, spam, individu, respect
  • Thématique web : cookies, GTM, formulaire, Googles Analytics, mentions légales, vie privée, dark patterns, CMP
  • Thématique conformité : sensibilisation, sous-traitance, documentation, registre des traitements, démarche continue

Pour les différents répondants, acteurs du numérique, il est clair que le RGPD renvoie d’abord à la protection des données personnelles et aux droits des utilisateurs. Pour les professionnels du web, la thématique des cookies et de la conformité ressort également particulièrement.

Rédigé par

Baptiste Soleil

DPO/Consultant en protection des données