IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

La moitié des entreprises US n'étaient pas conformes au RGPD à son entrée en validité
Il a fallu au moins six mois à certaines pour le devenir

Le , par Stéphane le calme
7 commentaires

599PARTAGES

19  0 
Les professionnels de la protection de la vie privée ont expliqué que la conformité au RGPD était complexe à comprendre et difficile à gérer, consommant des milliers d'heures de productivité et présentant un risque lié à des processus manuels sujets aux erreurs. Pire encore, ils s'accordent pour dire que le travail qu'ils ont effectué pour se conformer à la norme RGPD n’est pas suffisant pour une conformité totale auxs nouvelles réglementations en matière de confidentialité.

Le coût de la conformité à la confidentialité est plus que financier - il est opérationnel et représente un coût permanent. Dans l’approche du RGPD, les entreprises ont affecté des dizaines d’employés à des dizaines de réunions, consommant des centaines d’heures de travail pour se préparer. Quand vous faites le calcul, c’est un peu fou: certaines entreprises ont passé plus de 9 000 heures en réunions dans la perspective du RGPD. Même les décideurs de haut niveau ont passé des semaines sur leur temps, non seulement pour se préparer au RGPD, mais également pour maintenir la conformité.

Malheureusement, la préparation n'est que la case initiale à cocher puisque, pour maintenir la conformité, les entreprises doivent encore consacrer des milliers d’heures supplémentaires. Les professionnels de la protection de la vie privée ont pour défi de gérer efficacement les flux de travail entre plusieurs systèmes et services, et ont du mal à intégrer des solutions entre plusieurs systèmes et services.


En bref :
  • 70% des répondants conviennent que les systèmes qu'ils ont mis en place (ou vont mettre en place) ne seront pas adaptés à la nouvelle réglementation.
  • Neuf entreprises sur dix prévoient embaucher au moins trois personnes pour gérer la réglementation en matière de confidentialité au cours des deux prochaines années.
  • 9 professionnels de la confidentialité sur 10 conviennent qu'un inventaire de données est essentiel pour se conformer aux réglementations existantes et à venir en matière de confidentialité.
  • À la date limite du 25 mai 2018, seules 51% des entreprises avaient atteint le taux de conformité RGPD qu'elles avaient elles-mêmes déclaré; la plupart ont pris plus de six mois à préparer.
  • Il est probable que l’organisation moyenne a consacré 2 000 à 4 000 heures de réunions à la seule préparation de la RGPD, ce qui représente plus d’une année complète de travail.
    • 49% des décideurs ont personnellement consacré 80 heures à la préparation de la RGPD.
    • 34% des décideurs dans les entreprises (plus de 1000 employés) ont passé au moins 160 heures à se préparer personnellement à la RGPD.

  • 67% des entreprises avaient au moins 25 employés impliqués dans la gestion de l'état de préparation à la RGPD; 44% des entreprises en avaient au moins 50.
  • 58% des entreprises reçoivent plus de 11 Data Subject Request (DSR) par mois, 28% reçoivent plus de 100 demandes de DSR par mois.
  • 58% des entreprises ont au moins 26 employés qui gèrent des DSR.
  • Les entreprises s'inquiètent des erreurs humaines liées au traitement des demandes de confidentialité, 84% d'entre elles disposant d'un processus permettant d'éviter les erreurs manuelles DSR.

RGPD un an plus tard

À la fin de 2018, la plupart des entreprises américaines (82%) ont déclaré avoir atteint la conformité à la RGPD, tandis que les autres prévoient le faire d’ici à la fin de 2019. La mauvaise nouvelle est qu’il a fallu plus de temps que prévu pour atteindre la conformité - la plupart des entreprises ( 53%) ont passé plus de six mois à se préparer.


Les professionnels de la protection de la vie privée ont adopté une approche à plusieurs volets en matière de conformité au RGPD, avec différents niveaux de sophistication. Une majorité d'entre eux ont adopté des solutions technologiques, mais la moitié utilise encore des processus manuels pour identifier l'emplacement des données personnelles et pour gérer les demandes de données (DSR). Non seulement ces processus manuels introduisent des risques, car ils sont sujets à des erreurs, mais ils peuvent également prendre beaucoup de temps.

Approches prises pour devenir conforme au RGPD

Les approches ont été multiples :
  • 58% ont acheté des solutions technologiques commerciales ;
  • 57% ont choisi de développer des solutions technologiques en interne ;
  • 43% ont décidé de focaliser les employés existants sur la gestion de la confidentialité ;
  • 48% ont développé des processus manuels pour gérer les demandes émises par les utilisateurs concernés (droit à l'oubli, portabilité, etc.) ;
  • 50% ont embauché des consultants externes / conseillers juridiques ;
  • 46% ont embauché des employés pour se consacrer à la gestion de la confidentialité ;
  • 54% ont établi les intervenants appropriés et un flux de travail interne ainsi que des processus manuels pour identifier l'emplacement des données réglementées.


Le coût du maintien à la conformité

Le coût de la conformité ne peut être mesuré en dollars seulement: il doit également inclure les dépenses opérationnelles de ressources humaines et de temps. De même, ces mesures doivent aller au-delà du coût initial de préparation pour examiner la conformité durable. Les entreprises ont dépensé des centaines de milliers, voire des millions de dollars, en solutions de conformité, mais continuent de consacrer des milliers d’heures à la gestion manuelle de la conformité au risque de provoquer des erreurs humaines.

Le coût de la préparation au RGPD

En comparant les coûts financiers de la conformité avec une base de référence, 74% des entreprises ont dépensé plus de 100 000 USD en services de conseil en conformité et en solutions technologiques, et 20% ont dépensé plus de 1 million de dollars. Un tiers (34%) des entreprises (plus de 1 000 employés) ont dépensé plus d'un million de dollars


Plusieurs facteurs humains ont contribué à la conformité à la RGPD, chacun ayant un effet multiplicatif sur son coût réel

La plupart des organisations (84%) se réunissaient quelquefois par semaine pour préparer la RGPD et 67% des entreprises impliquaient plus de 25 employés dans le processus de préparation. Le résultat final a été un grand nombre d’employés participant à un nombre croissant de réunions à un coût d’opportunité élevé.

L'effet a été encore pire pour les entreprises qui emploient deux fois plus de personnes dans la préparation de la RGPD que pour celles comptant moins de 1 000 employés. Un tiers des décideurs en entreprise a personnellement consacré plus de 160 heures à la préparation du RGPD.


Le coût du maintien de la conformité

La préparation du RGPD a probablement impliqué un ensemble d’activités telles que l’inventaire et la cartographie des données, l’établissement d’un flux de travail (automatisé ou manuel) pour le traitement des DSR, la mise en œuvre de la gestion des autorisations et la mise à jour des politiques de confidentialité. Le maintien de cette conformité implique toutefois d'autres activités telles que la mise à jour continue de la carte de données avec de nouveaux domaines et de nouveaux systèmes d’entreprise, la communication des modifications de processus à tous les employés concernés, la production de journaux de conformité robustes, l’actualisation des mises à jour ou modifications de la réglementation, ainsi que traitement des DSR. Les décideurs déclarent avoir passé pratiquement le même temps à maintenir la conformité qu'à la préparer: il s'agit du coût du maintien de la conformité.


Conclusion

D'après les résultats de l'enquête, il est probable que l'organisation moyenne a consacré de 2 000 à 4 000 heures aux réunions de préparation au RGPD, tandis que la moitié des décideurs en matière de gestion de la confidentialité ont consacré au moins 80 heures à la préparation personnelle du RGPD et 80 heures supplémentaires pour assurer la conformité.

« Les entreprises sans présence européenne n'ont pas été touchées par le RGPD. Cependant, à l'approche du CCPA (California Consumer Privacy Act), les entreprises américaines qui ne sont pas concernées par le RGPD connaissent les mêmes défis que les multinationales concernées », a déclaré Daniel Barber, cofondateur et PDG de DataGrail. « La plupart des entreprises ont déclaré avoir mis au moins sept mois pour être prêtes au RGPD, mais maintenant qu’il ne reste plus que sept mois pour l’entrée en vigueur de la CCPA, elles réalisent que leurs systèmes ne seront pas compatibles avec la CCPA et les autres réglementations à venir. Les entreprises devront intégrer et rendre opérationnelle leur gestion des processus, qui peuvent être sujets aux erreurs, pour se conformer à ces réglementations ».

Le rapport indique que la moitié des entreprises utilisent des processus manuels pour gérer les demandes de droits à la confidentialité RGPD telles que le droit d'être oublié. Les deux tiers des entreprises ont traité au moins 100 demandes au cours de l'année écoulée, couvrant des dizaines de systèmes d'entreprise et de services tiers, et la plupart d'entre elles comptent au moins 25 employés participant à la gestion des demandes. 90% des entreprises prévoient embaucher au moins trois nouveaux employés au cours des deux prochaines années pour traiter la politique de confidentialité.

« Il ressort clairement de cette étude que la plupart des entreprises ont toujours recours à des solutions technologiques et à des processus manuels fragmentés, alors qu’elles devraient se tourner vers des solutions de gestion de la confidentialité conçues spécifiquement pour la réglementation en matière de confidentialité », ajoute Barber. « Lorsque les entreprises tournent leur attention vers le RGPD, le CCPA et au-delà, elles doivent mettre en œuvre une conformité durable pour réduire les risques, offrir une transparence à leurs clients et contrôler leurs coûts opérationnels ».

Source : rapport (au format PDF)

Et vous ?

Ces statistiques vous surprennent-elles ? Pourquoi ?
Peut-on dire que les sites web sont vraiment conformes RGPD ou que c'est juste un vernis pour le faire croire ?

Voir aussi :

La CNIL dévoile son plan d'action et sa stratégie de contrôle pour 2019, l'accent sera mis sur l'accompagnement des pro dans l'application du RGPD
Rapport CNIL 2018 : le RGPD fait bondir le nombre de plaintes annuelles de +32,5%, ce qui représente plus de 11000 plaintes
RGPD : 59 000 atteintes à la protection des données signalées, mais seulement 91 amendes imposées depuis son entrée en vigueur, selon un rapport
Cisco soutient les appels lancés par Microsoft et Apple pour la mise sur pied d'une version US du RGPD

Une erreur dans cette actualité ? Signalez-le nous !

7 commentaires
Commenter Signaler un problème
gangsoleil
Avatar de gangsoleil
Modérateur https://www.developpez.com
Le 17/05/2019 à 16:35
Au moins, la moitié était conforme !

Combien d'entreprises, en Europe, ne sont pas conformes aujourd'hui ?

Quant au fait que le RGPD ne soit pas parfait, c'est certain, mais c'est tout de même une belle avancée dans le bon sens. Reste à espérer que la suite aille dans le même sens, et non pas à contresens.
6  0 
Zefling
Avatar de Zefling
Expert confirmé https://www.developpez.com
Le 17/05/2019 à 13:24
Citation Envoyé par mh-cbon Voir le message
de toute façon le rgpd qui initialement devait protéger la vie privée des gens est devenue, dans les faits, une incitation à autoriser la collecte de ses données personnelles.

mais bon, comme d'hab.
C'est bien plus compliqué que ça. Ça le permet, mais ça donne aussi aux personnes qui les génèrent beaucoup plus de droits sur ces données, ce qui fait qu'il faut mettre tout en place pour ce droit de regard. Ça peut-être compliqué à mettre en place si rien n'a été prévu. Mais oui, au final, tout le monde s'en tapes sauf une minorité de personnes.
5  0 
Edrixal
Avatar de Edrixal
Membre expérimenté https://www.developpez.com
Le 17/05/2019 à 14:05
Citation Envoyé par Zefling Voir le message
C'est bien plus compliqué que ça. Ça le permet, mais ça donne aussi aux personnes qui les génèrent beaucoup plus de droits sur ces données, ce qui fait qu'il faut mettre tout en place pour ce droit de regard. Ça peut-être compliqué à mettre en place si rien n'a été prévu. Mais oui, au final, tout le monde s'en tapes sauf une minorité de personnes.
Vite fait, quant on vois la difficulté sur certain site pour désactivé toute collecte personnel avec parfois plus de 50 switch à mettre sur "refus" ou naviguer sur 15 pages pour arriver enfin sur l'interface de paramétrage... T'a plus vite fait de cliquer sur accepter que d'aller refuser à chaque visite... Ou bien ne jamais revenir, mais parfois t'a pas l'choix...
2  0 
marsupial
Avatar de marsupial
Expert éminent https://www.developpez.com
Le 19/05/2019 à 15:56
* Le fait que Google, Facebook, Tim Cook s'orientent vers une plus grande sureté de la vie privée est vite oublié par certains je trouve.

* Le fait que depuis la mise en place du RGPD, des personnes au Congrès américain trouvent qu'il ne va pas assez loin et ont la volonté de faire leur propre loi protégeant la vie privée sur le net est occulté de la mémoire de certains.

* La Californie a adopté sa propre loi pour répondre au RGPD.

De tous ces éléments, l'Europe a été la première à siffler la fin de la récréation même si Apple, hypocritement, puisqu'il en fait autant (c'est la double peine chez Apple : appli payante + données collectées) dénonce les abus de la concurrence. Tout comme Oracle dénonce Google alors que lui même revend les données qu'il collecte et est poursuivi par différentes ONG pour cela. Donc on peut retirer de tous ces faits que la route est sans doute encore longue
mais que nous sommes sur de bon rails cette fois-ci. Cambridge Analytica aura eu cela de bon : rationaliser les données chez tous les acteurs et un petit plus en sécurité non-négligeable.

Je ne suis pas à fond derrière l'Europe, mais à l'initiative de Max Schrems, avocat autrichien ayant voulu effacer son compte et ses données Facebook en 2011, cette loi a vu le jour. Après c'est facile d'être critique mais au moins, face aux réseaux sociaux et autre, il existe un recours.
2  0 
Ryu2000
Avatar de Ryu2000
Membre extrêmement actif https://www.developpez.com
Le 17/05/2019 à 14:20
Citation Envoyé par Edrixal Voir le message
Vite fait, quant on vois la difficulté sur certain site pour désactivé toute collecte personnel avec parfois plus de 50 switch à mettre sur "refus"
Le plus souvent il y a un bouton "tout refuser" directement sur la première fenêtre, mais c'est vrai que parfois c'est moins bien réalisé et il faut appuyer sur beaucoup de switch.
Je pense qu'au pire il y a moyen d'utiliser une fenêtre de navigation privée est d'accepter tout.
1  0 
Mingolito
Avatar de Mingolito
Membre extrêmement actif https://www.developpez.com
Le 17/05/2019 à 12:37
Parce qu'elles sont conformes maintenant ?
0  0 
mh-cbon
Avatar de mh-cbon
Membre extrêmement actif https://www.developpez.com
Le 17/05/2019 à 13:10
de toute façon le rgpd qui initialement devait protéger la vie privée des gens est devenue, dans les faits, une incitation à autoriser la collecte de ses données personnelles.

mais bon, comme d'hab.
0  1 
Commenter Signaler un problème