74% des DPO affirment que le RGPD n'est pas encore correctement appliqué par les entreprises

Quelle vision ont les spécialistes de la protection des données de l'application du Règlement général sur la protection des données personnelles (RGPD) à l'intérieur des entreprises ? C'est la question qu'a posée l'association autrichienne Noyb, militante pour la préservation de la vie privée, à plus de 1000 délégués à la protection des données (DPO) internes et externes, des responsables de la protection des données et des consultants. Ils ont été sondés en ligne durant le mois de novembre 2023.

A noter que les professionnels travaillant en Irlande, Allemagne et au Danemark et dans des entreprises de plus de 500 salariés sont sur-représentés.

Le RGPD jugé moins important que d'autres textes ?

La majorité d'entre eux juge sans surprise que ce règlement a "considérablement amélioré" la manière dont les entreprises traitent les données personnelles. En revanche, et c'est plus inquiétant, 74% d'entre eux affirment que si les autorités compétentes menaient une enquête sur place dans une entreprise qui traite des données personnelles, elles trouveraient des "violations pertinentes". "De tels chiffres seraient inimaginables s'il s'agissait de se conformer à la législation fiscale ou à la réglementation en matière de sécurité incendie, a réagi Max Schrems, le président honoraire de Noyb. La non-conformité ne semble être la norme que lorsqu'il s'agit des données personnelles des utilisateurs."

En pratique, les participants ont été interrogés sur le respect du RGPD chapitre par chapitre. Des articles 5 à 11, portant sur les principes fondateurs du texte (principe de minimisation, obligation d'une base légale...), près de 50% des répondants ont déclaré que la plupart des entreprises avaient encore des difficultés à s'y conformer. Des articles 13 à 22, concernant les droits des personnes (accès, transparence...), près de 58% disent que les règles sont respectées. Pourtant, note l'association, la majorité des procédures porte sur ces dispositions. Des articles 24 à 55, qui concernent les responsables de traitement et les transferts de données, seuls 5% des interrogés déclarent que les entreprises les respectent pleinement.

La culture du "laissez-faire"

Globalement, les experts de la data protection sont 7,7% seulement à répondre que "la plupart" des entreprises sont conformes à 100% avec n'importe quelle disposition du RGPD. Noyb y voit une imprégnation de la culture du "laissez-faire".

Les spécialistes ont également été interrogés sur leurs liens entretenus avec les autres strates des entreprises dans lesquelles ils travaillaient. "La capacité des DPO à exercer leurs fonctions dépend, entre autres, de la facilité avec laquelle ils peuvent convaincre la direction, les autres services et les fournisseurs externes des changements nécessaires pour se conformer au RGPD", note l'étude. Elle conclut : "les résultats montrent clairement que, de manière générale, les DPO ont du mal à faire leur travail".

Difficile de convaincre le top management

Dans les détails, 38,5% des spécialistes disent avoir du mal à convaincre les plus hauts cadres dirigeants (top management) des changements à faire pour se conformer au RGPD. Les cadres supérieurs semblent être légèrement plus faciles à convaincre que les cadres intermédiaires. Concernant les fournisseurs, sans grande surprise, ceux issus de la région européenne sont beaucoup plus faciles à convaincre que les autres de l'importance de se conformer à cette législation.

Face à ces constats, Noyb a voulu interroger les DPO sur les axes d'amélioration possibles. Les amendes et autres sanctions ainsi que la perte de réputation sont les principaux facteurs qui poussent les entreprises à se mettre en conformité. Point également intéressant : les lignes directrices du European Data Protection Board (EDPB) se sont révélées être "le facteur le moins influent". Ils les estiment être "trop générales", "ce qui les rend inapplicables dans la pratique". Egalement, les décisions rendues par les autorités ou les tribunaux étrangers ne sont pas considérées comme ayant une influence pour 46% des répondants.

Pour conclure, l'association présente plusieurs suggestions. Elle appelle ainsi les tribunaux et les autorités de protection des données à "renforcer leur application" du RGPD, à adopter "des amendes élevées" et à publier leurs décisions. Elle juge également que les ressources financières, techniques et humaines de la plupart des autorités ne sont pas suffisantes pour contrôler efficacement et punir les violations du texte européen.