Tendance – Deux après l’entrée en vigueur du RGPD et au moment où la CNIL se repose sur ce texte pour finalement autoriser l’application gouvernementale STOP-Covid, les entreprises peinent encore à le mettre en oeuvre.
En première ligne pour assurer la santé et la sécurité de leurs collaborateurs lors de cette crise sanitaire, les entreprises ne doivent pas pour autant oublier d’assurer la protection des données personnelles. Deux ans après l’entrée en vigueur du règlement européen de protection des données personnelles, 69 % des entreprises disposent d’un data protection officer (DPO) selon Data Legal Drive dans sa dernière enquête réalisée en partenariat avec Dalloz, les Editions Législatives, l’AFJE et DS Avocats. Un progrès, mais le chantier reste vaste.
La difficile mise en oeuvre du registre des traitements
En 2019, 15 % seulement des entreprises avaient constitué un registre de traitement « digitalisé, transverse, exhaustif et pérenne ».
Cette année, elles sont 33 % à utiliser un logiciel pour le mettre en oeuvre, 27 % n’en ont encore qu’une vision très parcellaire souvent sous forme de fichiers Excel et 12 % ne l’ont toujours pas constitué.
Rappelons que cet outil obligatoire indique, notamment, les objectifs poursuivis par la collecte des données, le temps de conservation, les mesures de sécurisation et quoi ces données sont nécessaires.
En ce temps de pandémie, où l’employeur doit gérer des arrêts maladies Covid-19 un peu particuliers et le traçage des salariés malades, ce registre s’avère d’autant plus indispensable.
« Le télétravail massif suppose une réorganisation RH poussée, avec des questions de droit social et de vie privée et une remise à niveau des process de sécurisation des données », ajoute Sylvain Taub, CEO de Data Legal Drive et avocat associé du cabinet DS Avocats. Un tiers des répondants a d’ailleurs profité du confinement pour remettre à plat les processus sécuritaires indispensables à la situation du télétravail.
Et 40 % se sont penchés sur des éléments de fonds relatifs au RGPD. 22 % d’entre eux ont mis à jour les registres détaillant les traitements relatifs aux données privées. Les DPO y ont ainsi intégré les évolutions liées au télétravail et à une utilisation plus étendue du cloud. 54 % des sondés en aussi profité pour formaliser les avenants RGPD des contrats conclus avec les clients et prestataires.
Des sites web toujours peu conformes
Cependant, 60 % des DPO interrogés estiment que la crise sanitaire et le confinement des collaborateurs ont ralenti la mise en conformité de leurs entreprises. Seuls 30 % ont proposé une formation en ligne ou une sensibilisation aux problématiques de sécurité aux salariés pendant cette période. Pire, 32 % ont tout simplement estimé que ce n’était pas une priorité.
Pourtant, un seul site web sur 3 serait conforme au RGPD d’après cette enquête. Et ce taux n’a pas évolué depuis l’année dernière.
Notons tout de même que 45 % des délégués à la protection des données personnelles sondés ont réalisé en partie la mise à jour des mentions légales, politique de confidentialité et gestion des cookies sur leurs sites web.
DELPHINE IWEINS