À moins d’un an de l’application du règlement européen sur la protection des données personnelles, plus de 9 entreprises sur 10 ne sont pas prêtes à appliquer le GDPR (General Data Protection Regulation). Et pour cause : deux tiers pensent que le texte manque de clarté, selon une étude menée par le cabinet d’avocats international Bird & Bird.
Le sondage réalisé auprès d’un échantillon de 100 entreprises en mai dernier permet de tirer quelques enseignements sur le niveau de préparation des grandes entreprises (72 % des répondants) et les difficultés qu’elles peuvent rencontrer à mettre en pratique la nouvelle législation.
Plus de 9 entreprises sur 10 ne sont pas prêtes à appliquer le GDPR et plus inquiétant, pas moins de 53 % des sondés estiment qu’ils ne seront pas en mesure d’appliquer le texte dans son intégralité d’ici l’échéance du 25 mai 2018. Pourquoi ? Deux tiers des sondés pensent que le texte manque de clarté en particulier sur le droit à la limitation du traitement, le droit à la portabilité des données, l’obligation de privacy by design ou encore l’intégration des nouveaux droits des personnes, et que l’application du GDPR nécessitera l’assistance d’un conseil externe.
Une opportunité pour la moitié des entreprises malgré les difficultés
Malgré les doutes sur une application effective du GDPR d’ici la date d’échéance, les entreprises accueillent avec bienveillance cette nouvelle réglementation européenne. Dans le détail, la moitié des entreprises y voit même une opportunité et un tiers d’entre elles un moyen de réguler l’économie numérique. Dans cette logique, près de 4 entreprises sur 10 s’apprêtent à désigner un DPO (délégué à la protection des données ) lorsque qu’un peu moins d’un tiers en a déjà un. Les entreprises priorisent d’abord la mise en place d’une gouvernance efficace de protection des données personnelles, la constitution de la documentation obligatoire et la formation ainsi que la sensibilisation de leur personnel sur ces sujets. Mais, la quasi-totalité des entreprises sondées regrettent que les nouvelles conditions du consentement, ou Opt-In, soient très difficilement réalisables.
« Les entreprises ont parfaitement conscience que le risque zéro de non conformité n’existe pas. Les clés de la conformité au GDPR résident pour l’essentiel dans la mise en place d’une gouvernance efficace, l’implémentation d’instruments d’accountability et l’éducation du personnel au respect de la protection des données personnelles », indique Merav Griguer, avocat, associée Bird & Bird et responsable de l’enseignement protection des données personnelles et cybersécurité au master 2 DMI de l’Université de droit Paris 2 Panthéon Assas.
A lire, l’excellent guide sur le GDPR réalisé par le cabinet. Il synthétise les principaux changements et souligne les mesures les plus importantes que les entreprises doivent mettre en œuvre afin de se conformer aux nouvelles règles.
Auteur : Pierre Saire