L’entreprise Data Legal Drive, spécialiste dans l’édition de logiciels de conformité avec le règlement général sur la protection des données (RGPD), a réalisé une étude sur la protection de la data dans plusieurs domaines, notamment autour de la santé, de l’éducation, des banques et des assurances. La firme a réalisé plusieurs sondages auprès de structures et de professionnels exploitant les données personnelles au quotidien. Plusieurs thématiques ont été abordées comme les cyberattaques, la formation du personnel ou le RGPD sous la forme de plusieurs sondages.
Une étude sur la data dans plusieurs secteurs d’activités et dans tout type d’entreprises
Dans le cadre de cette enquête, 348 professionnels ont partagé leur avis. En partenariat avec Lefebvre Dallos et l’AFJE, Data Legal Drive ont interrogé des DPO internes, des DPO externes et des juristes d’entreprises issues de secteurs différents : immobilier, tourisme, industrie, commerce, communication, droit, banques, assurances, éducation, recrutement. Toutefois, les trois secteurs les plus représentés sont : la santé, le public et la technologie qui correspondant à 46 % des personnes sondées. 3 experts sur 4 proviennent d’une entreprise privée.
Selon l’étude, le niveau de maturité des collaborateurs est positif, mais il reste beaucoup de chemin à parcourir pour que leur rôle soit central au sein de l’entreprise. Il est précisé que la sensibilisation autour de la data pourrait être efficace si l’importance du RGPD était mise en lien avec les particularités de chaque profession. Toutefois, les séminaires, les formations professionnelles et le e-learning sont peu utilisés par les organisations qui préfèrent, à l’heure actuelle, se pencher sur l’e-mailing et les newsletters (17 %), l’intranet et les réseaux internet (18 %) et les réunions avec les directions (27 %) pour former les collaborateurs au RGPD.
Un point général sur le RGPD en 2021
L’étude a souhaité faire un point général sur le RGPD en 2021. Environ une entreprise sur deux évoque avoir un bon niveau de conformité RGPD puisqu’ils estiment avoir atteint un niveau de complétude supérieur à 70 %.
48 % des personnes interrogées perçoivent le RGPD comme une démarche transverse, permanente et vertueuse. Néanmoins, au sein des entreprises, le RGPD peut être vu de trois manières qui ont été évoquées par au moins une entreprise sur cinq. Le règlement peut être perçu comme une obligation règlementaire juridique, comme une contrainte technique et/ou juridique ou alors comme un devoir de transparence et une marque de respect.
La crise sanitaire liée à la pandémie de COVID-19 aurait eu un effet positif sur les entreprises. 2 fois plus de structures ont renforcé leur sécurité en 2020 par rapport à 2019. Des actions liées à l’augmentation des cyberattaques, comme l’affirme également Thalès dans son rapport sur la data et les cybermenaces. 64 % des organisations ont mené un audit de sécurité de leur site internet, et 35 % des DPO et juristes ont mené des actions concrètes avec la mise en place de mesures de sécurité conforme à l’article 32 du RGPD. Ce paragraphe du règlement évoque la sécurité du traitement des données.
Banques et assurances, éducation, santé : trois secteurs en retard
Selon l’étude, entre 2019 et 2021, la digitalisation de la gouvernance des datas a augmenté de 120 %. 31 % des DPO et juristes sondés ont digitalisé leurs registres avec exhaustivité et pérennité. Néanmoins, 62 % d’entre eux réalisent encore leurs registres à l’aide du logiciel de tableurs Excel.
Pendant plusieurs mois, la Commission nationale de l’informatique et des libertés (CNIL) a mis en place une période de “tolérance” où elle a réalisé des efforts pédagogiques pour sensibiliser autour de la protection des données. Elle a notamment sanctionné Amazon pour avoir déposé des cookies publicitaires sans information et consentement préalable auprès des utilisateurs.
65 % des DPO pensent que les nouvelles directives autour des cookies facilitent l’obtention du consentement des internautes. Grâce à ces actions, 53 % des entreprises ont mis à jour leurs mentions légales, politiques de confidentialité et ont assuré la gestion des cookies pour mettre leur site web en conformité. En 2019 et 2020, seuls 30 % des organismes possédaient un site conforme aux attentes de la CNIL.
Pour finir, l’enquête menée par Data Lega Drive s’est penchée sur les secteurs où la digitalisation et la protection des données ne sont pas encore rentrées dans les mœurs. On retrouve l’éducation, les banques & assurances ainsi que le secteur de la santé où environ deux institutions sur trois ont affirmé ne pas avoir réalisé de registre des traitement de données personnelles alors que la protection des données dans ce domaine est primordiale.
