
Le coût de la conformité à la confidentialité est plus que financier - il est opérationnel et représente un coût permanent. Dans l’approche du RGPD, les entreprises ont affecté des dizaines d’employés à des dizaines de réunions, consommant des centaines d’heures de travail pour se préparer. Quand vous faites le calcul, c’est un peu fou: certaines entreprises ont passé plus de 9 000 heures en réunions dans la perspective du RGPD. Même les décideurs de haut niveau ont passé des semaines sur leur temps, non seulement pour se préparer au RGPD, mais également pour maintenir la conformité.
Malheureusement, la préparation n'est que la case initiale à cocher puisque, pour maintenir la conformité, les entreprises doivent encore consacrer des milliers d’heures supplémentaires. Les professionnels de la protection de la vie privée ont pour défi de gérer efficacement les flux de travail entre plusieurs systèmes et services, et ont du mal à intégrer des solutions entre plusieurs systèmes et services.
En bref :
- 70% des répondants conviennent que les systèmes qu'ils ont mis en place (ou vont mettre en place) ne seront pas adaptés à la nouvelle réglementation.
- Neuf entreprises sur dix prévoient embaucher au moins trois personnes pour gérer la réglementation en matière de confidentialité au cours des deux prochaines années.
- 9 professionnels de la confidentialité sur 10 conviennent qu'un inventaire de données est essentiel pour se conformer aux réglementations existantes et à venir en matière de confidentialité.
- À la date limite du 25 mai 2018, seules 51% des entreprises avaient atteint le taux de conformité RGPD qu'elles avaient elles-mêmes déclaré; la plupart ont pris plus de six mois à préparer.
- Il est probable que l’organisation moyenne a consacré 2 000 à 4 000 heures de réunions à la seule préparation de la RGPD, ce qui représente plus d’une année complète de travail.
- 49% des décideurs ont personnellement consacré 80 heures à la préparation de la RGPD.
- 34% des décideurs dans les entreprises (plus de 1000 employés) ont passé au moins 160 heures à se préparer personnellement à la RGPD.
- 67% des entreprises avaient au moins 25 employés impliqués dans la gestion de l'état de préparation à la RGPD; 44% des entreprises en avaient au moins 50.
- 58% des entreprises reçoivent plus de 11 Data Subject Request (DSR) par mois, 28% reçoivent plus de 100 demandes de DSR par mois.
- 58% des entreprises ont au moins 26 employés qui gèrent des DSR.
- Les entreprises s'inquiètent des erreurs humaines liées au traitement des demandes de confidentialité, 84% d'entre elles disposant d'un processus permettant d'éviter les erreurs manuelles DSR.
RGPD un an plus tard
À la fin de 2018, la plupart des entreprises américaines (82%) ont déclaré avoir atteint la conformité à la RGPD, tandis que les autres prévoient le faire d’ici à la fin de 2019. La mauvaise nouvelle est qu’il a fallu plus de temps que prévu pour atteindre la conformité - la plupart des entreprises ( 53%) ont passé plus de six mois à se préparer.
Les professionnels de la protection de la vie privée ont adopté une approche à plusieurs volets en matière de conformité au RGPD, avec différents niveaux de sophistication. Une majorité d'entre eux ont adopté des solutions technologiques, mais la moitié utilise encore des processus manuels pour identifier l'emplacement des données personnelles et pour gérer les demandes de données (DSR). Non seulement ces processus manuels introduisent des risques, car ils sont sujets à des erreurs, mais ils peuvent également prendre beaucoup de temps.
Approches prises pour devenir conforme au RGPD
Les approches ont été multiples :
- 58% ont acheté des solutions technologiques commerciales ;
- 57% ont choisi de développer des solutions technologiques en interne ;
- 43% ont décidé de focaliser les employés existants sur la gestion de la confidentialité ;
- 48% ont développé des processus manuels pour gérer les demandes émises par les utilisateurs concernés (droit à l'oubli, portabilité, etc.) ;
- 50% ont embauché des consultants externes / conseillers juridiques ;
- 46% ont embauché des employés pour se consacrer à la gestion de la confidentialité ;
- 54% ont établi les intervenants appropriés et un flux de travail interne ainsi que des processus manuels pour identifier l'emplacement des données réglementées.
Le coût du maintien à la conformité
Le coût de la conformité ne peut être mesuré en dollars seulement: il doit également inclure les dépenses opérationnelles de ressources humaines et de temps. De même, ces mesures doivent aller au-delà du coût initial de préparation pour examiner la conformité durable. Les entreprises ont dépensé des centaines de milliers, voire des millions de dollars, en solutions de conformité, mais continuent de consacrer des milliers d’heures à la gestion manuelle de la conformité au risque de provoquer des erreurs humaines.
Le coût de la préparation au RGPD
En comparant les coûts financiers de la conformité avec une base de référence, 74% des entreprises ont dépensé plus de 100 000 USD en services de conseil en conformité et en solutions technologiques, et 20% ont dépensé plus de 1 million de dollars. Un tiers (34%) des entreprises (plus de 1 000 employés) ont dépensé plus d'un million de dollars
Plusieurs facteurs humains ont contribué à la conformité à la RGPD, chacun ayant un effet multiplicatif sur son coût réel
La plupart des organisations (84%) se réunissaient quelquefois par semaine pour préparer la RGPD et 67% des entreprises impliquaient plus de 25 employés dans le processus de préparation. Le résultat final a été un grand nombre d’employés participant à un nombre croissant de réunions à un coût d’opportunité élevé.
L'effet a été encore pire pour les entreprises qui emploient deux fois plus de personnes dans la préparation de la RGPD que pour celles comptant moins de 1 000 employés. Un tiers des décideurs en entreprise a personnellement consacré plus de 160 heures à la préparation du RGPD.
Le coût du maintien de la conformité
La préparation du RGPD a probablement impliqué un ensemble d’activités telles que l’inventaire et la cartographie des données, l’établissement d’un flux de travail (automatisé ou manuel) pour le traitement des DSR, la mise en œuvre de la gestion des autorisations et la mise à jour des politiques de confidentialité. Le maintien de cette conformité implique toutefois d'autres activités telles que la mise à jour continue de la carte de données avec de nouveaux domaines et de nouveaux systèmes d’entreprise, la communication des modifications de processus à tous les employés concernés, la production de journaux de conformité robustes, l’actualisation des mises à jour ou modifications de la réglementation, ainsi que traitement des DSR. Les décideurs déclarent avoir passé pratiquement le même temps à maintenir la conformité qu'à la préparer: il s'agit du coût du maintien de la conformité.
Conclusion
D'après les résultats de l'enquête, il est probable que l'organisation moyenne a consacré de 2 000 à 4 000 heures aux réunions de préparation au RGPD, tandis que la moitié des décideurs en matière de gestion de la confidentialité ont consacré au moins 80 heures à la préparation personnelle du RGPD et 80 heures supplémentaires pour assurer la conformité.
« Les entreprises sans présence européenne n'ont pas été touchées par le RGPD. Cependant, à l'approche du CCPA (California Consumer...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.