Respecter le RGPD coûte cher aux entreprises, qui par ailleurs sont mal conseillées. Etienne Drouard, avocat associé au cabinet K&L Gates fait le point, sachant que plus des deux-tiers des entreprises françaises ne se sont toujours pas mises en conformité un an après l’entrée en vigueur du RGPD.
Un an, c’est beaucoup et c’est très peu. Depuis le 25 mai 2018, les entreprises sont censées respecter le RGPD, (Règlement Général pour la protection des données). Ce cadre européen a pour objectif de responsabiliser les organismes traitant des données personnelles et de renforcer les droits des personnes dont les données sont traitées. Toutes les sociétés sont concernées par ce texte quelle que soit leur taille ou leur effectif. La notion de donnée personnelle est très large puisqu’elle est définie par la CNIL (Commission Nationale de l’Informatique et des Libertés) comme « toute information se rapportant à une personne physique identifiée ou identifiable ». Voilà donc près d’un an que les compagnies doivent se plier à cette loi. Mais qu’en est-il dans la réalité ?
« Plus des deux-tiers des entreprises n’ont encore rien fait mais elles ne représentent que 15% du volume des datas », tranche Etienne Drouard, avocat associé au cabinet K&L Gates . Les grands groupes se sont tous mis en conformité mais une énorme majorité des PME-PMI n’ont toujours pas mis en place des procédures leur permettant de répondre à ces nouvelles obligations légales.
Des coûts importants
Ce retard n’est pas la seule conséquence d’un certain laisser-aller même si beaucoup de dirigeants ont eu tendance à remettre au lendemain ce qu’ils auraient du faire la veille. La première barrière pour de nombreuses compagnies est financière. Respecter le RGPD représente un investissement financier. « Les coûts dépendent de la taille de votre société et du volume de données que vous traitez mais il faut compter au minimum 12.000 euros pour accroître votre sécurité informatique, protéger vos données et rédiger une réglementation conforme avec la nouvelle loi, prévient Etienne Drouard. Pour les grandes banques, cet investissement peut atteindre près de 30 millions d’euros ». Autre raison. Bon nombre d’entreprises ont également pris un certain retard en raison du manque criant de spécialistes capables de les épauler. « 95% des besoins en accompagnement pour gérer le virage documentaire lié au RGPD ne sont pas satisfaits en raison de l’absence de personnes formées et capables de décliner un discours correct en terme de mise en conformité, regrette l’avocat de K&L Gates. Aujourd’hui, des SSII, des consultants en informatique et des cabinets d’avocats se disent capables de répondre aux besoins de leurs clients en matière de RGPD mais il n’existe aucune reconnaissance officielle pour séparer le bon grain de l’ivraie ». Malgré les deux années de préparation qui ont précédé l’entrée en vigueur du Règlement pour la protection des données, tout semble avoir été fait un peu à la va-vite.
150 sanctions sont annoncées chaque… semaine
« La charrue a été mise avant les bœufs, confirme Etienne Drouard. Les entreprises et les régulateurs n’étaient pas suffisamment préparés ». L’Etat semble avoir pris conscience de cette situation. Pendant quelques mois, quelques contrevenants seulement, ont reçu des amendes de l’ordre de 4% de leur chiffre d’affaires, mais récemment les autorités ont commencé à montrer les crocs. « Quelques grands acteurs surtout basés en dehors de l’Union européenne ont été sanctionnés, raconte l’avocat de K&L Gates. Le montant total des amendes qui ont été infligées à ce jour atteint 56 millions d’euros. Google France a été condamné, à lui seul à verser 50 millions d’euros par la CNIL ». De nombreuses autres procédures sont en cours. 150 sanctions sont annoncées chaque… semaine. Mais ce texte ne résout pas tout. « Le RGPD n’empêche pas un certain morcellement des décisions, regrette Etienne Drouard. A cinq jours d’intervalle, le régulateur autrichien a estimé que les cookie walls étaient permis alors que les autorités néerlandaises ont jugé le contraire. Ce règlement a toutefois fait comprendre aux particuliers qu’ils pouvaient être protégés par leurs régulateurs. On assiste ainsi à une explosion du nombre de plaintes déposées. On en est à 214.000 aujourd’hui. Les entreprises ont donc réalisé qu’elles devaient se mettre en conformité. Du retard a été pris mais la situation s’améliore de jour en jour », conclut optimiste malgré tout, Etienne Drouard.