Le coût de la conformité à la confidentialité est plus que financier - il est opérationnel et représente un coût permanent. Dans l’approche du RGPD, les entreprises ont affecté des dizaines d’employés à des dizaines de réunions, consommant des centaines d’heures de travail pour se préparer. Quand vous faites le calcul, c’est un peu fou: certaines entreprises ont passé plus de 9 000 heures en réunions dans la perspective du RGPD. Même les décideurs de haut niveau ont passé des semaines sur leur temps, non seulement pour se préparer au RGPD, mais également pour maintenir la conformité.
Malheureusement, la préparation n'est que la case initiale à cocher puisque, pour maintenir la conformité, les entreprises doivent encore consacrer des milliers d’heures supplémentaires. Les professionnels de la protection de la vie privée ont pour défi de gérer efficacement les flux de travail entre plusieurs systèmes et services, et ont du mal à intégrer des solutions entre plusieurs systèmes et services.
En bref :
- 70% des répondants conviennent que les systèmes qu'ils ont mis en place (ou vont mettre en place) ne seront pas adaptés à la nouvelle réglementation.
- Neuf entreprises sur dix prévoient embaucher au moins trois personnes pour gérer la réglementation en matière de confidentialité au cours des deux prochaines années.
- 9 professionnels de la confidentialité sur 10 conviennent qu'un inventaire de données est essentiel pour se conformer aux réglementations existantes et à venir en matière de confidentialité.
- À la date limite du 25 mai 2018, seules 51% des entreprises avaient atteint le taux de conformité RGPD qu'elles avaient elles-mêmes déclaré; la plupart ont pris plus de six mois à préparer.
- Il est probable que l’organisation moyenne a consacré 2 000 à 4 000 heures de réunions à la seule préparation de la RGPD, ce qui représente plus d’une année complète de travail.
- 49% des décideurs ont personnellement consacré 80 heures à la préparation de la RGPD.
- 34% des décideurs dans les entreprises (plus de 1000 employés) ont passé au moins 160 heures à se préparer personnellement à la RGPD.
- 67% des entreprises avaient au moins 25 employés impliqués dans la gestion de l'état de préparation à la RGPD; 44% des entreprises en avaient au moins 50.
- 58% des entreprises reçoivent plus de 11 Data Subject Request (DSR) par mois, 28% reçoivent plus de 100 demandes de DSR par mois.
- 58% des entreprises ont au moins 26 employés qui gèrent des DSR.
- Les entreprises s'inquiètent des erreurs humaines liées au traitement des demandes de confidentialité, 84% d'entre elles disposant d'un processus permettant d'éviter les erreurs manuelles DSR.
RGPD un an plus tard
À la fin de 2018, la plupart des entreprises américaines (82%) ont déclaré avoir atteint la conformité à la RGPD, tandis que les autres prévoient le faire d’ici à la fin de 2019. La mauvaise nouvelle est qu’il a fallu plus de temps que prévu pour atteindre la conformité - la plupart des entreprises ( 53%) ont passé plus de six mois à se préparer.
Les professionnels de la protection de la vie privée ont adopté une approche à plusieurs volets en matière de conformité au RGPD, avec différents niveaux de sophistication. Une majorité d'entre eux ont adopté des solutions technologiques, mais la moitié utilise encore des processus manuels pour identifier l'emplacement des données personnelles et pour gérer les demandes de données (DSR). Non seulement ces processus manuels introduisent des risques, car ils sont sujets à des erreurs, mais ils peuvent également prendre beaucoup de temps.
Approches prises pour devenir conforme au RGPD
Les approches ont été multiples :
- 58% ont acheté des solutions technologiques commerciales ;
- 57% ont choisi de développer des solutions technologiques en interne ;
- 43% ont décidé de focaliser les employés existants sur la gestion de la confidentialité ;
- 48% ont développé des processus manuels pour gérer les demandes émises par les utilisateurs concernés (droit à l'oubli, portabilité, etc.) ;
- 50% ont embauché des consultants externes / conseillers juridiques ;
- 46% ont embauché des employés pour se consacrer à la gestion de la confidentialité ;
- 54% ont établi les intervenants appropriés et un flux de travail interne ainsi que des processus manuels pour identifier l'emplacement des données réglementées.
Le coût du maintien à la conformité
Le coût de la conformité ne peut être mesuré en dollars seulement: il doit également inclure les dépenses opérationnelles de ressources humaines et de temps. De même, ces mesures doivent aller au-delà du coût initial de préparation pour examiner la conformité durable. Les entreprises ont dépensé des centaines de milliers, voire des millions de dollars, en solutions de conformité, mais continuent de consacrer des milliers d’heures à la gestion manuelle de la conformité au risque de provoquer des erreurs humaines.
Le coût de la préparation au RGPD
En comparant les coûts financiers de la conformité avec une base de référence, 74% des entreprises ont dépensé plus de 100 000 USD en services de conseil en conformité et en solutions technologiques, et 20% ont dépensé plus de 1 million de dollars. Un tiers (34%) des entreprises (plus de 1 000 employés) ont dépensé plus d'un million de dollars
Plusieurs facteurs humains ont contribué à la conformité à la RGPD, chacun ayant un effet multiplicatif sur son coût réel
La plupart des organisations (84%) se réunissaient quelquefois par semaine pour préparer la RGPD et 67% des entreprises impliquaient plus de 25 employés dans le processus de préparation. Le résultat final a été un grand nombre d’employés participant à un nombre croissant de réunions à un coût d’opportunité élevé.
L'effet a été encore pire pour les entreprises qui emploient deux fois plus de personnes dans la préparation de la RGPD que pour celles comptant moins de 1 000 employés. Un tiers des décideurs en entreprise a personnellement consacré plus de 160 heures à la préparation du RGPD.
Le coût du maintien de la conformité
La préparation du RGPD a probablement impliqué un ensemble d’activités telles que l’inventaire et la cartographie des données, l’établissement d’un flux de travail (automatisé ou manuel) pour le traitement des DSR, la mise en œuvre de la gestion des autorisations et la mise à jour des politiques de confidentialité. Le maintien de cette conformité implique toutefois d'autres activités telles que la mise à jour continue de la carte de données avec de nouveaux domaines et de nouveaux systèmes d’entreprise, la communication des modifications de processus à tous les employés concernés, la production de journaux de conformité robustes, l’actualisation des mises à jour ou modifications de la réglementation, ainsi que traitement des DSR. Les décideurs déclarent avoir passé pratiquement le même temps à maintenir la conformité qu'à la préparer: il s'agit du coût du maintien de la conformité.
Conclusion
D'après les résultats de l'enquête, il est probable que l'organisation moyenne a consacré de 2 000 à 4 000 heures aux réunions de préparation au RGPD, tandis que la moitié des décideurs en matière de gestion de la confidentialité ont consacré au moins 80 heures à la préparation personnelle du RGPD et 80 heures supplémentaires pour assurer la conformité.
« Les entreprises sans présence européenne n'ont pas été touchées par le RGPD. Cependant, à l'approche du CCPA (California Consumer Privacy Act), les entreprises américaines qui ne sont pas concernées par le RGPD connaissent les mêmes défis que les multinationales concernées », a déclaré Daniel Barber, cofondateur et PDG de DataGrail. « La plupart des entreprises ont déclaré avoir mis au moins sept mois pour être prêtes au RGPD, mais maintenant qu’il ne reste plus que sept mois pour l’entrée en vigueur de la CCPA, elles réalisent que leurs systèmes ne seront pas compatibles avec la CCPA et les autres réglementations à venir. Les entreprises devront intégrer et rendre opérationnelle leur gestion des processus, qui peuvent être sujets aux erreurs, pour se conformer à ces réglementations ».
Le rapport indique que la moitié des entreprises utilisent des processus manuels pour gérer les demandes de droits à la confidentialité RGPD telles que le droit d'être oublié. Les deux tiers des entreprises ont traité au moins 100 demandes au cours de l'année écoulée, couvrant des dizaines de systèmes d'entreprise et de services tiers, et la plupart d'entre elles comptent au moins 25 employés participant à la gestion des demandes. 90% des entreprises prévoient embaucher au moins trois nouveaux employés au cours des deux prochaines années pour traiter la politique de confidentialité.
« Il ressort clairement de cette étude que la plupart des entreprises ont toujours recours à des solutions technologiques et à des processus manuels fragmentés, alors qu’elles devraient se tourner vers des solutions de gestion de la confidentialité conçues spécifiquement pour la réglementation en matière de confidentialité », ajoute Barber. « Lorsque les entreprises tournent leur attention vers le RGPD, le CCPA et au-delà, elles doivent mettre en œuvre une conformité durable pour réduire les risques, offrir une transparence à leurs clients et contrôler leurs coûts opérationnels ».
Source : rapport (au format PDF)
Et vous ?
Ces statistiques vous surprennent-elles ? Pourquoi ?
Peut-on dire que les sites web sont vraiment conformes RGPD ou que c'est juste un vernis pour le faire croire ?
Voir aussi :
La CNIL dévoile son plan d'action et sa stratégie de contrôle pour 2019, l'accent sera mis sur l'accompagnement des pro dans l'application du RGPD
Rapport CNIL 2018 : le RGPD fait bondir le nombre de plaintes annuelles de +32,5%, ce qui représente plus de 11000 plaintes
RGPD : 59 000 atteintes à la protection des données signalées, mais seulement 91 amendes imposées depuis son entrée en vigueur, selon un rapport
Cisco soutient les appels lancés par Microsoft et Apple pour la mise sur pied d'une version US du RGPD