46% seulement des entreprises wallonnes se disent au courant de l’entrée en vigueur prochaine du RGPD. 57% pensent par ailleurs qu’elles ne traitent aucune donnée à caractère personnel. Si ces chiffres doivent être nuancés, notamment en fonction de la taille et du secteur des entreprises, ils montrent la nécessité de poursuivre la sensibilisation.
Dès le 25 mai 2018, chaque entreprise belge devra respecter les dispositions du Réglement Général sur la Protection des Données (RGPD/GDPR). Celui-ci définit au niveau européen les nouvelles règles relatives à la protection des données personnelles des citoyens.
Le RGPD oblige donc les entreprises à revoir le fonctionnement de leurs activités qui impliquent le traitement de données personnelles de façon structurelle.
Cette obligation concerne toutes les entreprises, peu importe sa taille, en ce compris les indépendants. A priori, toute entreprise traite des données à caractère personnel, ne serait-ce qu’au travers d’un fichier clients ou du répertoire de son personnel. Que ces fichiers soient sous format papier ou électronique ne change rien à l’application des nouvelles règles. Toutes devront s’adapter.
Où en sont les entreprises wallonnes par rapport au RGPD ?
Dans le cadre du prochain baromètre Digital Wallonia de maturité numérique des entreprises wallonnes, l’Agence du Numérique leur a posé des questions sur la mise en conformité de leurs activités avec le GDPR.
46% seulement des entreprises wallonnes disent être « informées » de l’entrée en vigueur du RGPD. Parallèlement, 57% affirment ne pas traiter de données à caractère personnel.
La confrontation de ces chiffres laisse clairement penser que plus de la moitié des entreprises wallonnes considèrent ne pas être concernées par le RGPD.
Ces taux ne sont évidemment pas rassurants, mais peuvent toutefois être nuancés par le fait qu’ils ont été obtenus dans le cadre du futur baromètre de maturité numérique. Ce sont normalement les chefs d’entreprise qui sont consultés, mais ce n’est évidemment pas toujours le cas pour des raisons de disponibilité. Il est donc vraisemblable que certains répondants n’étaient pas informés qu’un projet de mise en conformité par rapport au RGPD était en cours au sein de leur entreprise au moment de l’interview.
Par ailleurs, l’enquête a été réalisée fin février 2018 à plus ou moins trois mois de la date butoir. On peut espérer que durant ce laps de temps, davantage d’entreprises ont pris connaissance du nouveau règlement qui va affecter leur fonctionnement.
Une question de taille et de secteur d’activité
La méconnaissance du RGPD n’est pas la même selon la taille et le secteur d’activité des entreprises.
Ainsi, 74% des entreprises employant 10 travailleurs et plus, sont bien conscientes qu’elles manipulent des données à caractère personnel. Ce niveau est clairement lié à la taille de l’entreprise comme le montre le graphique ci-dessous.
Au niveau sectoriel, cette prise de conscience est plus importante dans les secteurs dont le business implique de nombreux traitements de données (finance, secteur du numérique, services aux entreprises, etc.), que dans ceux où les entreprises effectuent des activités concrètes ou matérielles au contact des clients, comme l’horeca, l’agriculture ou la construction.
L’autorité de protection des données en Belgique (APD) l’a rappelé, la date du 25 mai ne doit pas être envisagée comme une “date couperet” à la suite de laquelle des sanctions seront immédiatement appliquées.
Le règlement a plutôt vocation à obliger les entreprises à adopter des procédures plus respectueuses des droits des citoyens à propos desquels elles détiennent des données personnelles. Le RGPD doit donc s’envisager comme une évolution des pratiques dans le traitement des données à caractère sensible.
Le chef d’entreprise, acteur clé du RGPD
L’âge et le genre du chef d’entreprise ne semblent pas influencer la connaissance du RGPD. Par contre, le niveau d’études paraît plus déterminant.
Ainsi, 68% des chefs d’entreprise disposant d’un Master connaissent le RGPD, contre 46% des bacheliers et 36% des titulaires d’un CESS.
L’intérêt du chef d’entreprise pour le numérique et les technologies en général joue également un rôle important.
En effet, 57% des patrons qui considèrent la digitalisation des activités de leur entreprise comme une opportunité connaissent le RGPD. A l’inverse, ceux qui perçoivent la transformation numérique d’abord comme un centre de coûts ne sont que 31% à connaître le RGPD.
Ces chiffres sont une nouvelle preuve que le management a un rôle moteur central dans tout changement affectant le fonctionnement de l’entreprise.
Les entreprises conscientes de traiter des données à caractère personnel sont-elles prêtes ?
Si l’on se concentre sur les entreprises de 10 travailleurs et plus, l’enjeu de la mise en conformité est beaucoup plus important. Les traitements de données sont plus nombreux, potentiellement plus complexes et fortement intégrés à l’activité de l’entreprise. Pour ces entreprises, la mise en conformité avec le RGPD revêt donc un caractère urgent, nettement plus critique que pour la plupart des TPE. De plus, certains indicateurs de mise en œuvre du RGPD, comme la désignation d’un chef de projet par exemple, ne s’appliquent pas ou très peu aux TPE.
40% des entreprises de 10 travailleurs étant plus conscientes de traiter des données à caractère personnel ont désigné un chef de projet RGPD.
Une fois encore, ce sont surtout les entreprises de secteurs où la donnée est un actif critique qui se distinguent avec des chiffres largement supérieurs à la moyenne. Le secteur du numérique arrive en tête avec 66% d’entreprises disposant d’un chef de projet RGPD, directement suivi par la finance (60%), l’immobilier (57%) et les services aux entreprises (55%).
Désignation d’un chef de projet RGPD selon le secteur parmi les entreprises wallonnes de 10 travailleurs et plus.
Ces secteurs ont comme point commun des activités essentiellement immatérielles impliquant le traitement d’un grand nombre de données. Plus il y a de traitements structurels sur les données à caractère personnel, plus il faut documenter ces traitements et réformer certains processus de travail. La présence d’un DPO (Data Protection Officer) devient alors indispensable au fonctionnement même de l’entreprise.
Le secteur de la distribution se distingue également par des résultats de 6% au-dessus de la moyenne, vraisemblablement en raison d’opérations marketing récurrentes et intensives.
Conservation et protection des données à caractère personnel
En vertu du RGPD, les entreprises sont responsables de la sécurité de leurs données personnelles, quel que soit leur lieu d’hébergement. Donc même si des données sensibles sont hébergées par un sous-traitant, l’entreprise reste responsable de leur sécurité.
Au sein des entreprises conscientes de traiter des données à caractère personnel, l’hébergement en interne reste la stratégie la plus commune (58%). Dans certains cas, il se fait à plusieurs endroits, ce qui explique un taux supérieur à 100% dans le graphique ci-dessous.
Lieux de stockage des données à caractère personnel des entreprises qui traitent ce type de données.
A peine 59% d’entre elles ont pris des mesures de protection des données (cryptage, firewalls, etc). C’est insuffisant compte tenu de la vulnérabilité de ce type de données, même si le taux de sécurisation passe de 59 à 68% lorsqu’on limite l’analyse aux entreprises de 10 travailleurs et plus.
Le secteur d’activité de l’entreprise est également déterminant dans l’adoption de mesures de protection des données personnelles.
Parmi les entreprises conscientes de traiter des données à caractère personnel, 81% des sociétés du secteur du numérique, employant 10 travailleurs et plus, ont mis en place des mesures spécifiques à la protection des données sensibles. Juste derrière, on trouve à nouveau la finance (79%) et les services aux entreprises (72%).
A priori, l’hébergement dans le Cloud est la solution la plus simple et la plus sûre, à condition de maîtriser les paramètres de cet hébergement. Or, on rappellera que 15% seulement des entreprises wallonnes disposent d’au moins un spécialiste du numérique en interne.
Réversibilité du consentement et portabilité des données à caractère personnel
Le RGPD prévoit aussi que les citoyens puissent corriger ou effacer les données détenues à leur sujet par les entreprises.
Sur base des informations recueillies lors de l’enquête, 36% seulement de ces entreprises déclarent être en mesure de corriger ou effacer complètement les données personnelles d’un citoyen qui en fait la demande.
Les résultats ne sont pas vraiment supérieurs au sein des entreprises employant 10 travailleurs et plus, puisque le taux grimpe seulement à 40%. Il reste donc du travail à faire, même si ce dernier est entamé.
Au niveau de la portabilité des données sensibles, les chiffres sont également trop faibles puisque 44% des entreprises conscientes de traiter des données personnelles disent être en mesure de les restituer sur un support lisible de manière automatisée. On approche les 49% si on restreint l’analyse aux entreprises de 10 travailleurs et plus.
Recommandations
Il reste clairement des efforts de sensibilisation à faire vers les entreprises qui déclarent ne manipuler aucune donnée à caractère personnel.
Par ailleurs, le RGPD est trop souvent présenté comme une procédure fastidieuse et coûteuse. Il conviendrait sans doute de mieux expliquer les principes fondateurs du règlement qui vise à protéger les consommateurs, tout en obligeant les entreprises à documenter leurs traitements de données structurels et à adopter de nouvelles habitudes de travail. En appliquant de manière positive les contraintes liées au RGPD, les entreprises vont au final disposer d’une maîtrise et d’une capacité d’activation de leurs données indispensables à leur transformation numérique, transformation dont les données, il convient de le rappeler, constituent le carburant principal.
A ce sujet, la “Commission Vie Privée”, qui deviendra le 25 mai “Autorité de Protection des Données”, insiste sur l’importance d’informer et de former tous les travailleurs par rapport aux conséquences du RGPD. Le chantier ne fait que commencer, mais il a au moins été entamé par 43% des entreprises wallonnes, en fonction de l’impact du règlement sur leur core business et compte tenu des moyens liés à leur taille.
Par ailleurs, dans le cadre des actions en faveur de la transformation numérique, menées dans le cadre de la stratégie Digital Wallonia, plusieurs ressources utiles ont été mises à disposition sur digitalwallonia.be/transformation.
