LE RGPD : UNE APPLICATION PAS SI ÉVIDENTE

Publié par le dans , | Consulté 1 292 Fois

Le 25 mai 2018 prochain, le règlement européen relatif à la protection des données personnelles entrera en vigueur et obligera les entreprises effectuant un traitement de données à s’y conformer.  Pour imposer le respect de ses nouveaux principes, celui-ci s’est doté d’une « force de frappe » non négligeable puisque des amendes administratives pourront être distribuées à toutes les entreprises non conformes aux attentes européennes avec un montant pouvant atteindre 4% du chiffre d’affaires annuel mondial, ou 20 millions d’euros. Si toutes les entreprises ne saisissent pas forcément l’ensemble des attentes du RGPD, elles s’accordent toutes sur les risques qu’une sanction pourrait avoir sur leur fonctionnement, leur image, ou encore leur pérennité. De nombreuses structures comme les petites et moyennes entreprises (PME) et les très petites entreprises (TPE) éprouvent d’ores et déjà des difficultés d’ordre technique, voire économique, quant à la mise en œuvre complète du règlement pour le 25 mai prochain rendant son application bien plus délicate.

DES DIFFICULTÉS D’ORDRE TECHNIQUE :

La première difficulté technique pouvant être relevée est une difficulté temporelle puisqu’en effet le temps restant pour se mettre en conformité avec le règlement européen est relativement restreint dans la mesure où il ne reste que trois mois avant son entrée en vigueur.

Selon une étude réalisée au mois d’avril/mai 2017, 75% des entreprises françaises auraient des difficultés à s’y conformer dans les délais impartis. Par ailleurs, parmi les 58% ayant réalisé une étude d’impact, 42% vont devoir étudier bien plus sérieusement le règlement européen, car ont identifiées au moins un cas d’accès trop permissif aux données personnelles.  Dans le secteur du e-commerce, seulement 19% des entreprises estiment être en conformité en mai prochain. Autrement dit, environ 170 000 sites ne seront pas en conformité alors que des milliers d’attaques visent la totalité des acteurs du e-commerce chaque jour. Au premier trimestre 2017, 15 millions d’attaques ont été recensées démontrant une hausse d’environ 35%. Il parait donc difficile d’imaginer qu’en si peu de temps, toutes les entreprises françaises seront en conformité avec le règlement, car, si certaines rencontrent de réelles difficultés techniques liées à leurs infrastructures, d’autres semblent ne pas prendre véritablement conscience des différents enjeux. Selon un sondage de la société Varonis, 42% des entreprises sur 500 représentées entre l’Allemagne, l’Amérique du Nord, la France et le Royaume-Uni, ne considèrent pas le sujet comme étant une priorité.

La seconde difficulté d’ordre technique pouvant être relevée concerne cette fois-ci les infrastructures de sécurité des entreprises. Selon une autre étude de l’institut Ponemon, sur « 4000 professionnels interrogés à travers le monde, 52% ne pensent pas que leur infrastructure de sécurité facilite la conformité ni l’application de la nouvelle règlementation ». Beaucoup d’entre eux indiquent ne pas réussir à localiser les données qui ont été supprimées, les faisant d’ores et déjà entrer en conflit avec le RGPD, qui précise que la sécurité des données est primordiale même lors de leur suppression. Une telle absence de sécurité des données (même lors de leur suppression) peut couter très cher aux entreprises d’autant plus que les sanctions infligées ont radicalement augmenté.

DES DIFFICULTÉS D’ORDRE ÉCONOMIQUE :

Il semble que la préoccupation principale de toutes les entreprises (et de manière tout à fait légitime), concerne le coût de la mise en place du RGPD.

Le cabinet de conseil en management SiaParterns a réalisé une étude montrant l’impact financier du RGPD dans les sociétés du CAC40. Selon SiaParterns et en moyenne, une entreprise du CAC40 devrait débourser environ 30 millions d’euros pour être se mettre en conformité avec le RGPD. Le secteur le plus touché étant celui des Banques et des assurances (avec une facture moyenne de 100 millions d’euros). Les groupes s’adressant directement aux consommateurs devront verser en moyenne 35 millions d’euros, contre 11 millions d’euros pour ceux qui disposent d’une clientèle d’entreprise.

Les TPE et PME quant à elles semblent être les plus inquiètes par rapport au coût financier d’une telle mise en place. Selon une enquête réalisée par le cabinet Vanson Bourne pour Veritas technologie, 86% des entreprises interrogées s’inquiètent des répercussions qu’aurait un défaut de conformité. Une entreprise sur cinq redoute de devoir réduire ses effectifs en cas d’amende. 19% des entreprises craignent quant à elles les répercussions d’une mauvaise publicité pour cause de non-conformité au RGPD, ayant pour conséquence de dévaloriser la marque. 18% des entreprises redoutent les pénalités infligées par le règlement européen entrainant une faillite et donc une fermeture de leur entité. D’autres (19%) redoutent de perdre des clients en cas de non-conformité totale avec le RGPD. Ainsi, bon nombre d’entreprises voient le RGPD comme un réel danger financier. Toujours selon Veritas technologies, les entreprises de taille moyenne prévoient de dépenser 1,3 million d’euros pour se mettre en accord avec le RGPD, ce qui est considérable.

En tout état de cause, le coût en matière de conformité du RGPD aura tendance à être plus conséquent en fonction de la taille de l’entreprise, de la complexité de sa structure, de l’utilisation des données personnelles faite par l’entreprise, ou encore de la vétusté de son système informatique. Il semble que les entreprises les plus fragiles sur ces questions restent les PME et TPE et non pas les entreprises du CAC40 qui disposent de moyens beaucoup plus importants pour être régulièrement à jour.

Dans tous les cas, il faut rester vigilant concernant les chiffres annoncés. Il semble qu’un marché à la conformité soit en pleine expansion et que les entreprises apportant du conseil sur ces questions aient un intérêt à effrayer les responsables de traitements, et plus généralement tout type de structure.

En conséquence de ces différentes difficultés d’ordre technique, voire économique, beaucoup d’entreprises disposant de moyens assez restreints vont se trouver vers des analyses de risques. Partant du principe qu’un juge ne peut prononcer de sanctions trop importantes au risque de mettre en difficulté l’entreprise, sauf en cas de violation grave de la loi, ces entreprises vont tenter de déterminer ce qui leur est le plus favorable. Elles prendront donc le risque d’avoir une sanction si celle-ci s’avère moins couteuse que la mise en conformité totale. En d’autres termes, il semble que le RGPD rencontre de nombreuses difficultés concernant sa mise en place en France, et qu’un certain nombre d’entreprises ne pourront, malgré elles, être en conformité totale le 25 mai prochain.

 

SOURCES :

LAVENIR C., « 25 mai 2018 : Votre entreprise sera-t-elle en conformité avec le RGPD ? », les Échos, mis à jour le 26 septembre 2017, consulté 15 février 2018.  https://solutions.lesechos.fr/tech/c/conformite-rgpd-2018-3388/

Inconnu., « 81% des boites ne protègent pas assez les données », ladn.eu,  publié le 11 novembre 2017, consulté le 15 février 2018.  http://www.ladn.eu/nouveaux-usages/etude-marketing/rgpd-entreprises-retard-lapplication-reglementation/

MARCHIVE V., « RGPD : l’impréparation domine largement ». lemagit.fr, 31 mai 2017, consulté le 15 février 2018.  http://www.lemagit.fr/actualites/450419933/RGPD-limpreparation-domine-largement

DUMOULIN S., « La facture du RGPD estimée à 30 millions d’euros », Les Echos, 29 mai 2017, consulté le 15 février 2018. https://www.lesechos.fr/29/05/2017/LesEchos/22454-092-ECH_la-facture-du-rgpd-estimee-a-30-millions-d-euros.htm

DUMOULIN S., «  Le règlement européen sur les données effraie les entreprises », Les Echos, 25 avril 2017, consulté le 15 février 2018.  https://www.lesechos.fr/25/04/2017/LesEchos/22432-095-ECH_le-reglement-europeen-sur-les-donnees-effraie-les-entreprises.htm