IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Baromètre RGPD : la mise en conformité non finalisée pour 1/3 des entreprises françaises, trois ans après son entrée en application
D'après KPMG

Le , par Sandra Coret

108PARTAGES

9  0 
Trois années après l’entrée en application du Règlement européen sur la Protection des Données (RGPD), le baromètre KPMG France fait le point sur l’état d’avancement de ce chantier au sein des entreprises françaises.

  • Les entreprises ont saisi l’importance des enjeux liés au RGPD et ont mis en place des organisations dédiées ;
  • Même si des chantiers significatifs ont été lancés, un tiers des entreprises n’a pas finalisé l’étape fondatrice de recensement des traitements ;
  • La pleine conformité au RGPD reste une cible à atteindre.


KPMG France dévoile les résultats de son enquête nationale inédite sur l’évaluation de la maturité des entreprises en matière de conformité au RGPD et dresse un panorama des enjeux et opportunités associés.

Portant sur un panel de grandes entreprises, d’ETI et de PME, cette étude donne une image claire de la façon dont les entreprises françaises ont intégré les enjeux du RGPD et permet de tirer un certain nombre d’enseignements.

L’analyse des réponses apportées a ainsi permis de mettre en lumière les tendances sur les axes suivants des projets de mise en conformité des entreprises :

  • Vision de l’exposition aux risques et principaux facteurs de risque ;
  • Organisation de la gouvernance des données personnelles ;
  • Niveau d’avancement dans la mise en œuvre des exigences introduites par le Règlement ;
  • Bénéfices induits, difficultés rencontrées et principaux challenges liés à la mise en œuvre.


Les entreprises ont saisi l’importance des enjeux liés au RGPD et ont mis en place des organisations dédiées

L’entrée en application du RGPD en mai 2018 et les projets de mise en conformité associés ont constitué un véritable défi pour les entreprises. Aiguillées par la prise de conscience des enjeux de sanctions potentielles (pour 80% des répondants), mais aussi de réputation (66% des réponses), elles se sont lancées dans des chantiers de mise en conformité d’ampleur. Ces travaux ont concerné l’état des lieux des traitements, le cadre de la gouvernance, l’analyse des écarts et la mise en œuvre des actions de remédiation.

Dans la majorité des cas, c’est la Direction Générale ou les fonctions de contrôle telles que la Conformité ou le Juridique qui ont été à l’initiative de ces travaux. Les entreprises ont dans leur grande majorité (80 %) nommé un DPO (Data Protection Officer), le plus souvent interne et non dédié à ses fonctions. Elles ont également, pour près de la moitié d’entre elles, mis en place une gouvernance relative à la protection des données personnelles. Le registre des traitements, les informations préalables et les consentements, ainsi que la Politique de Gestion des données personnelles sont les chantiers de mise en conformité les plus avancés.

Même si des chantiers significatifs ont été lancés, un tiers des entreprises n’a pas finalisé l’étape fondatrice de recensement des traitements

Les AIPD (Analyses d’impact relatives à la protection des données) et la mise en place des durées de conservation constituent les deux thématiques les moins abouties (respectivement citées par 42 % et 30 % des répondants). Ces chantiers sont menés malgré des moyens globalement limités (budget comme ressources humaines).

Bien que la mise en conformité ait permis des bénéfices certains, telles que la mise en place d’une meilleure gouvernance de la donnée ou l’amélioration de la cyber résilience, les entreprises rencontrent des difficultés liées à la charge de travail (66 %) et à la complexité du Règlement (39 %).


La pleine conformité au RGPD reste une cible à atteindre

Tous types d’entreprises confondus, des chantiers de long terme restent encore à mener, qu’il s’agisse d’actions de mise en conformité à finaliser ou d’améliorations à mettre en œuvre sur les dispositifs existants.

En parallèle, un travail régulier est nécessaire pour maintenir la mobilisation de l’ensemble des acteurs et assurer la pérennité, l’efficacité et le contrôle périodique du dispositif de conformité.

A quelle échéance estimez-vous avoir finalisé vos actions de mise en conformité ?


Vincent Maret, Associé, Responsable du pôle Cybersécurité et Protection des données personnelles chez KPMG France, a déclaré : "Trois ans après l’entrée en application du Règlement européen, les entreprises françaises se sont massivement mobilisées et ont une vision claire de leur exposition au risque et des enjeux de conformité. L’avancement des chantiers de mise en conformité est en revanche inégal et souffre souvent d’un manque de moyens. Quelle que soit leur taille, les entreprises considèrent très majoritairement que l’atteinte de la pleine conformité constitue un chantier à long terme."

Méthodologie

L’enquête a pris la forme d’un questionnaire destiné aux professionnels de la protection des données personnelles d’un large panel d’entreprises de toutes tailles et secteurs d’activité basées en France. Les réponses ont été collectées au cours du premier trimestre 2021.

Source : KPMG France

Et vous ?

Que pensez-vous de cette étude de KPMG sur l'état de la mise en conformité du RGPD ?
Quelle est la situation dans votre entreprise ?
Quels sont les principaux obstacles qui vous empêchent de finaliser cette mise en conformité ?

Voir aussi :

Trois ans après son lancement le RGPD est-il le nouveau modèle économique de la conformité ? Par Jean-Pierre Boushira, VP South, Benelux and Nordics chez Veritas Technologies

Bilan du RGPD : les régulateurs européens ont infligé plus de 114 millions d'euros d'amendes, la France championne avec 50 millions d'euros d'amendes infligées

L'Irlande ouvre une enquête RGPD sur Facebook, suite à la fuite de données qui a exposé 533 millions de contacts, elle encourt une sanction financière allant jusqu'à 4 % de son chiffre d'affaires

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de Glutinus
Inactif https://www.developpez.com
Le 03/08/2021 à 14:43
Quelle est la situation dans votre entreprise ?

Chez mon client précédent, la RGPD c'est un peu comme l'Océanie dans Risk : un petit bonus caché au fond dans lequel tu peux avoir un renfort (en terme de budget et/ou personnel) si t'arrives à le choper.

Un des collègues de mon équipe a voulu s'y mettre. Il me disait tout le temps : "De toute façon, ils ont pas le choix, c'est une règlementation européenne, etc. faut se mettre dedans, c'est le futur" mais je lui rétorquai que, tant qu'il n'y avait pas de première sanction, ils n'y mettraient pas la priorité.

Et j'ai eu raison, à son grand dam : pour ce (gros) client, la RGPD, c'était secondaire, il avait mieux à faire, par exemple finaliser le projet avec une centaine de personnes qui avait pris deux ans de retard, avec des internes qui se font des croche-pattes dans les escaliers, des prestas qui se barrent épuisés, des jeunes consultats juniors qui occupent des poste-clés mais ne comprennent rien à ce qu'ils font, personne qui veut faire le boulot et passe son temps à tirer à boulets rouges sur l'équipe d'à côté...

Donc croyez-moi qu'essayer de comprendre en quoi protéger les données des clients alors que c'est l'unique manière de tester correctement une appli c'est de mettre la base ouverte à tous, c'est un peu compliqué

Quels sont les principaux obstacles qui vous empêchent de finaliser cette mise en conformité ?

D'avoir surtout des technocrates qui ne comprennent rien à ce qu'ils font. SSII/ESN et autres cabinets de consultants ont profité de l'aubaine pour envoyer au mieux un senior placardisé tranquille dans son intercontrat, au pire un junior qui ne bittait rien à l'informatique mais qui voulait juste quelque chose pour monter des échelons.

Au final l'équipe RGPD de ce client c'était un interne aux dents longues qui a recruté 5 gars de cabinet de conseil, qui passaient leur temps à pondre des PowerPoint de merde et quand mon collègue a réalisé un POC, des vraies doc, une véritable analyse de la règlementation etc. ils se les ont accaparés en mettant leur nom. Et comme notre manager ne voulait surtout pas faire de remous, ils étaient à 5 contre 1 pour dire que c'est eux qui avaient fait le boulot...

Au final l'interne aux dents longues a viré la moitié de notre équipe - dont votre serviteur - et a phagocyté notre projet, puis il continue encore et toujours...

Donc très clairement la RGPD c'est juste la porte ouverte pour les cabinets de conseil en costard noir qu'on connaît tous et qui jouent encore plus les parasites que les SSII...
12  0 
Avatar de gangsoleil
Modérateur https://www.developpez.com
Le 23/11/2021 à 9:28
Hello,
Citation Envoyé par Jules34 Voir le message
Je plussoie ! Nous on a carrément laisser tomber, et on conseille pareil à nos clients TPE/PME. Pour le moment c'est juste un investissement en pure perte et inutile. Certaine de nos petite boîte se lance dedans sans savoir et finisse chez nous à demander comment faire et on leur dit ce que Madoff à du dire à tout ses associés : "vous savez pour le moment y'a pas le feu au lac"
Eh bien je suis bien désolé d'entendre de telles choses. À mes yeux, la protection des données est essentiel, et je ne comprends pas que entreprises entières n'en aient rien à secouer. Pour ceux qui croient que c'est uniquement un règlement européen, sachez que la Californie a également des lois similaires, ainsi que la Suisse et encore d'autres pays.

Ça fait des années que le RGPD eiste, et que les PME auraient eu le temps de le mettre en place, mais encore faut-il de la volonté.

On trouve d'ailleurs les mêmes inepties sur la sécurité informatique.
7  0 
Avatar de Jules34
Membre expérimenté https://www.developpez.com
Le 22/11/2021 à 15:19
Un lundi matin; après le café :
- Alors, ça avance ce projet RGPD ?
- Yes boss ! c'est un sacré morceau mais ça avance, c'est compliqué vous savez, les mecs la haut viennent d'inventer un métier ! Et tout nos process sont à revoir !
- Comment ça ? On adopte pas juste une charte pour mettre un nouveau tampon label sur le site de la boite ?
- Ha non c'est bien plus que ça, on audite, on change des trucs et à la fin il faut un data protection offici...
-Laissez tombez retournez bossé je vous ai pas engagé pour que vous changiez de métier en cours de route !

Voila mon expérience du RGPD.
5  0 
Avatar de Glutinus
Inactif https://www.developpez.com
Le 04/08/2021 à 9:20
"Oui bon, vous nous faites une page web avec un bouton, vous appuyez dessus et ça supprime les données de plus de dix ans et ça anonymise le tout selon parametrage.txt, ça doit pas faire plus de 12.000 euros ? "
4  0 
Avatar de byrautor
Membre éclairé https://www.developpez.com
Le 06/08/2021 à 10:49
Désolé d'être aussi franc mais les "législateurs" se créent eux mêmes leur job, et les esclaves suivent !
Pas d'accord avec la plupart de ces "normes" ou "recommandations" ou réglementations" issus de gens spécialistes en embrouillaminis, qui ont parfois les brevets pour vous barrer le chemin ou vous extorquer la manne. J'en ai connu des réunions, des gens qui voulaient nous faire "avancer" vers l'abime où nous sommes presque.
Et merci à ceux qui s'en préoccupent et qui nous aident moyennant finance.
Par entreprise il faudra :
un comptable (non responsable d'après le Conseil d'Etat et ce que j'en sais) ,un avocat, un spécialiste cybersécurité, un conseil pour appliquer les "règlements" européens, un autre conseil pour les normes de son domaine (souvent issues d'un pays étranger à la civilisation différente), un autre pour les "lois" françaises, un pour les droits du travail (et des vacances)j'en oublie probablement.
Bien sur adhérer à plusieurs associations de "défense" et y passer du temps avec les collègues.
Enfin être prêt à entrer en concurrence avec une monnaie quatre fois inférieure à la vôtre et des nations avec un SIMG (ou sans SMIG) 50 % inférieur à celui de vos lois !
En résumé : être un génie (des affaires) !
Comment débuter si l'on n'est pas pourvu en cash ou en prêt, si l'on est pas déjà une grosse affaire.
En prenant des risques et en vendant à une grosse boîte dès que çà marche.
La protection ? : elle est simple : abandonner, déposer le bilan, fermer et partir. Surtout pas de "sentimalisme" c'est mortel !
4  1 
Avatar de solstyce39
Membre confirmé https://www.developpez.com
Le 03/08/2021 à 16:55
Quelle est la situation dans votre entreprise ?

Chez un client : Analyse de mise en conformité rendue. Devis proposé, au vu du prix on en a plus entendu parler
2  0 
Avatar de gangsoleil
Modérateur https://www.developpez.com
Le 23/11/2021 à 22:45
Citation Envoyé par Glutinus Voir le message
du jour au lendemain
Le RGPD date de 2016, est applicable depuis 2018, tu vas me dire que tes "grands clients bancaires" n'ont pas déployé un projet en prod depuis ce temps là ? Qu'ils n'avaient pas la possibilité (je ne parle pas de l'envie, mais de la possibilité) d'intégrer un projet RGPD parmi tous ceux qu'ils ont fait ?
Et comment se fait-il que certaines entreprises y arrivent, et d'autres pas ?

C'est exactement la même chose que pour la sécurité informatique : tu as ceux qui disent "on n'a pas le temps, on peut pas, c'est vraiment horrible la sécurité, ça coute cher, c'est compliqué, et puis en plus il pleut", et d'autres qui essayent, et qui en plus arrivent à faire des choses...

Aujourd'hui, une très grande majorité des sites sont accessibles en https. Pourtant, avant son déploiement massif, beaucoup d'entrerprises disaient que oulala mais c'est horrible, c'set compliqué, il va falloir embaucher des consultants, et puis pour la maintenance on va faire comment, vous vous rendez pas compte...
2  0 
Avatar de Glutinus
Inactif https://www.developpez.com
Le 24/11/2021 à 10:38
Citation Envoyé par Mat.M
ehhh rechercher une donnée précise c'est à ça que sert le SQL non ?
Autrement pour ce qui est des bases de données non documentées c'est un autre problème et oui c'est certain que pour appliquer les règles de la RGPD s'il n'y pas un modèle conceptuel de données bien précis et bien bétonné là bonjour la galère.
On se mord la queue, là.

Tiens, Mat.M, je te nomme responsable des devs pour la RGPD. On va anonymiser les champs NOM et PRENOM de toutes les bases.

Tu vas faire quoi ? Demander des specs, j'imagine, pour qu'on te donne les colonnes NOM et PRENOM. Et là tu tombes sur 30 consultants MOA "Oui oui, attends, j'ai le comité Gudule qui arrivée après le comité Timothée, le vendredi en 8, après y a le freeze de pré-prod, on verra après la phase 3". Au final, dans deux semaines après, c'est "démerde-toi, Mat.M pour identifier, et arrête d'embêter les gentils MOA qui ont décidemment trop de boulot".

Tu vas aller voir alors les personnes qui travaillent sur les applications, les entrepôts de données qui génèrent du reporting. Ces derniers sont en bout de chaîne, c'est quand même les plus légitimes pour avoir l'ensemble des données au travers des tables opérationnelles, des tables temporaires etc. Qui est la 3ème équipe en 3 ans (des départs de consultant pour mission de merde, différends salariaux, opportunité ailleurs, parce qu'on s'est rendus compte qu'il y a des erreurs de casting). Ils pourraient retrouver d'où vient la donnée "Nom du client" dans le reporting Qlikview, ils l'ont déjà fait 4 fois en un trimestre mais on ne leur a pas laissé le temps de noter dans une rétro-doc d'où vient la donnée, à peine corrigé le mardi on les refile sur une autre anomalie le mardi.

Donc tu fais le travail (alors qu'on aurait pu merger le projet RGPD avec une sorte de reconsolidation de cette documentation), en tâtonnant et en faisant des SELECT sur tous les champs CHAR/VARCHAR de la base dans l'espoir de trouver un PAUL ou un DUPONT quelque part.

Citation Envoyé par Mat.M
Des MCD sur des projets je n'en ai jamais vu et pourtant y'a un excellent produit c'est PowerAmc sans faire de pub.
Ha, mais tu peux faire la pub. Moi je me gausse, car PowerAMC a été déployé chez pas mal de clients, mais on n'a jamais voulu me refiler une licence car c'est trop cher. Du coup c'est bloqué par des chefs de projet, des MOA non spécialisés dans les projets de BDD, qui ne savent pas l'utiliser, mais qui veulent surtout pas refiler leur clé, apeuré qu'on découvre la supercherie.

Tu vas rigoler. Véridique : chez un client chez qui j'ai fait 18 mois de mission, j'ai appris la semaine de mon départ que dans un bureau de mon couloir (pas le bureau voisin, mais celui d'après), que je pensais inoccupé car je n'ai jamais vu quelqu'un y rentrer ou en sortir, était en fait celui des concepteurs-modélisateurs de la majorité des BDD. Mon N+2, qui pensait me faire une punition en me virant de mission alors que je n'ai pas arrêté de me plaindre ouvertement de la nullité, du non-sens des actions, a dit sur un ton de reproche "tu sais, il suffit de demander" alors que depuis 18 mois j'ai cherché l'information.

En vérité, je pense qu'il s'agit de gens placardisés : les concepteurs étaient déjà partis depuis longtemps.
2  0 
Avatar de Glutinus
Inactif https://www.developpez.com
Le 06/08/2021 à 10:57
Citation Envoyé par byrautor
Désolé d'être aussi franc mais les "législateurs" se créent eux mêmes leur job, et les esclaves suivent !
Pas d'accord avec la plupart de ces "normes" ou "recommandations" ou réglementations" issus de gens spécialistes en embrouillaminis, qui ont parfois les brevets pour vous barrer le chemin ou vous extorquer la manne. J'en ai connu des réunions, des gens qui voulaient nous faire "avancer" vers l'abime où nous sommes presque.
Je suis d'accord ave toi. Beaucoup de personnes réussissent par force de lobby à se créer du boulot. Non pas que la RGPD n'est pas importante en soi, mais quand le taux de chômage / intercontrat monte, l'imagination technocrate est sans limite pour trouver du bullshit à revendre.
1  0 
Avatar de Glutinus
Inactif https://www.developpez.com
Le 09/08/2021 à 9:45
Je m'étais fait des réflexions curieuses il y a quelques temps (une dizaine d'années). Je bossais en SSII, chez un client bancaire qui n'est autre que la banque où j'ai mon compte à vue. A la fin du mois, la banque payait la facture de ma SSII ; ma SSII me payait ; et moi je remboursais mon emprunt à la banque. Cela faisait un triangle un peu débile.

Le jour de leur diplôme, on voit beaucoup de mèmes : les jeunes actifs américains sont contents d'être diplômés, mais ont peur de ne pas trouver un emploi malgré leur master, pour rembourser l'emprunt contracté pour les diplômes. Au final, je suis à peu près sûr qu'on peut trouver plein de bullshit jobs dans les banques et entreprises de crédit, pour justifier une activité à une élite qui a payé pour une fac ou une école...
1  0