Contrairement aux idées reçues, les entreprises françaises ne font pas figure de mauvais élèves dans le cadre de la mise en œuvre du RGPD. Certes, beaucoup d’entreprises ne seront pas prêtes, mais ce sera le cas pour de nombreuses entreprises européennes.
Selon un sondage publié par l’entreprise Smart GDPR en mars dernier, 80 % des entreprises françaises estiment qu’elles ne seront pas entièrement en conformité le 25 mai avec les règles du RGPD qui rentreront en vigueur. Chiffre plus étonnant, 31 % des DSI ignorent toujours l’existence de cette nouvelle réglementation et 10% d’entre eux ne savent pas que leurs entreprises pourront se voir sanctionnées en cas de non conformité.
Mais la France n’est pas le mauvais élève que l’on pourrait croire, le constat est identique en Allemagne, dans un pays pourtant réputé pour sa rigueur. Ainsi, 75 % des grandes entreprises interrogées dans la région DACH (Allemagne, Autriche et Suisse) ne sont pas non plus préparées au
RGPD. 45 % d’entre elles ne savent pas comment répondre à certaines nouvelles exigences de la réglementation telles que le droit à l'oubli, c'est à dire la suppression complète des informations personnelles sur demande.
Stop aux préjugés sur la très stricte réglementation allemande
L’Allemagne est l’un des pays pionniers en matière de protection des données. Les réglementations qui y sont aujourd’hui en vigueur sont plus strictes que celles de la plupart des autres pays européens. Cependant, de nombreuses entreprises allemandes pensent à tort qu'elles sont déjà bien préparées puisque la législation nationale est particulièrement exigeante en la matière. C’est l’une des raisons qui explique pourquoi les entreprises allemandes ne sont pas, à un mois de l’entrée en vigueur du RGPD, mieux préparées que leurs homologues françaises.
La rigueur de la réglementation allemande en matière de protection des données est-elle plus stricte que le RGPD ? Avec cette réglementation, l’Union européenne souhaite améliorer la protection des données mais également la standardisation de cette protection dans tous les pays européens. Certaines parties du RGPD sont plus strictes que la législation allemande en vigueur, et de nouvelles obligations ont été complètement réintroduites. Par exemple, pour ce qui concerne le sujet mentionné dans le premier paragraphe sur les informations aux clients ou partenaires commerciaux, à savoir les délais d'informations, ils sont beaucoup moins stricts dans la législation allemande sur la protection des données qu'ils ne le sont actuellement dans le RGPD européen.
Toutes les entreprises sont concernées
Nombreuses sont les petites entreprises, allemandes ou françaises, comptant moins de dix employés à penser qu'elles ne sont pas concernées par le RGPD. C'est une erreur. À quelques exceptions près, ces nouvelles règles s'appliquent à chaque entreprise, quelque soit sa taille. A tout moment, le cadre du RGPD prévoit qu’un partenaire ou un client peut souhaiter obtenir des informations sur les données stockées sur lui dans une entreprise. Si tel est le cas, toutes les entreprises, même les plus petites, doivent répondre à ces requêtes dans les quatre semaines.
Sanctions élevées, probabilité de contrôle faible : vraiment ?
On entend souvent dire qu’il n’y aura que peu de contrôles et que les informations stockées par les entreprises n’intéresseront personne. Pourtant, l’affaire Facebook Cambridge Analytica montre que, pour les individus dont les données sont stockées par une entreprise, ces informations ont une valeur importante. Il est même probable de voir que certaines entreprises se verront adressées des demandes d’informations sur les données stockées par leurs concurrents. Enfin, les autorités européennes pourront être alertées et vérifieront si les entreprises répondent dans les temps aux requêtes qui leur seront adressées, d’autant que tarder à répondre ces demandes alertera aussi les associations de protection des consommateurs.
Avec le RGPD, c’est à chaque entreprise de protéger les données de ses clients. En cas de non-respect, c’est également elle qui s’exposera à une amende pouvant aller jusqu’à 4 % de
son chiffre d’affaires annuel mondial, plafonnée à 20 millions d’euros, le montant étant défini en fonction du degré de négligence des entreprises.