Trois ans après l’entrée en vigueur du RGPD, les entreprises européennes se jugent bien « positionnées » sur le sujet de la protection des données personnelles. Sur les bénéfices business de la réglementation, le bilan est plus ambigu.

En mai 2018 entrait en vigueur le Règlement Général sur la Protection des données, le RGPD ou GDPR. Trois ans plus tard, les entreprises européennes sont-elles entrées de plain-pied dans l’ère de la privacy ?

A lire aussi : [Chronique] RGPD/PIA : fin de la récréation le 25 mai 2021

Selon l’enquête conduite par Innofact pour Usercentrics et Siinda auprès de dirigeants allemand, français et britanniques (soumis au RGPD jusqu’au 1^er juillet), la réponse est majoritairement oui à 68,5%.

La CMP clé dans la conformité au RGPD

En France, où la Cnil joue un rôle majeur de contrôle et d’application du règlement, la part des répondants se considérant bien positionnés en termes de protection des données atteint 61%. Le nombre d’amendes infligées en 2020 par les autorités suggère cependant que beaucoup reste encore à faire.

D’après l’audit de Finbold.com, la Cnil prononçait 5 sanctions RGPD en 2020 pour un total de 3,3 millions d’euros. En Italie, ces condamnations représentaient 58,16 millions d’euros pour 34 violations du règlement européen.

Cela équivalait à environ 34% de l’ensemble des amendes RGPD sur la période, soit 171,3 millions d’euros. Au Royaume-Uni, qui quittera bientôt le cadre européen sur la confidentialité, l’ICO infligeait 43,9 millions euros d’amende pour seulement trois décisions.

Mais ces sanctions ne reflètent pas nécessairement la maturité de l’ensemble des entreprises en matière de prise en compte des questions de privacy. Pour répondre à leurs obligations, ces sociétés ont notamment mis en place des CMP, des plateformes de gestion du consentement.

Selon l’étude Usercentrics/Siinda, 59,5% des répondants disposent d’une telle plateforme. Les Français se distinguent avec une part de 73,5%. Cela peut s’expliquer par une série de mises en demeure de la CNIL en 2018 sur la question du recueil des consentements à des fins de géolocalisation et de publicité.

Le DPO incontournable, mais avec quels moyens ?

L’autorité accompagnait ses décisions de recommandations concernant la nature de ces CMP. Ce contexte peut expliquer la plus grande sensibilité des entreprises françaises et leur adoption accrue de ces plateformes.

Outre les CMP, les entreprises européennes disposent très largement d’un délégué à la protection des données, un DPO. Il est vrai que pour nombre d’entreprises, la nomination d’un DPO est obligatoire pour se conformer au RGPD.  Ainsi, seules 16% des entreprises interrogées ne disposent pas d’un DPO.

Disposer d’un délégué à la protection des données n’est cependant pas la garantie d’une pleine prise en compte des enjeux de confidentialité des données. L’AFPA estime que 63% des DPO ne bénéficiaient pas en 2020 d’un budget spécifique.

En outre, 75% exerçaient leurs fonctions à temps partiel, partageant ces tâches avec d’autres missions dans l’organisation. De fait, 58% des DPO consacrent 25% de leur temps de travail et moins à ces missions de protection. Cette part est toutefois en croissance de 16 points par rapport à 2019.

La marge de progression reste conséquente. Et cela peut s’expliquer notamment par la perception des entreprises à l’égard du RGPD. La conformité est, manifestement, d’abord perçue comme un centre de coûts. Un tiers des répondants jugent la protection des données « bénéfique et importante » pour l’activité.

Fin des cookies tiers : imminente pour les Français

Les Français se distinguent avec 41%, contre 35% pour le Royaume-Uni et 29% pour l’Allemagne. Une part équivalente des entreprises voient dans les réglementations une « menace » pour leur modèle commercial. Elles ne sont cependant que 25% dans ce cas en France.

« Ces chiffres montrent à quel point la relation avec la protection des données est ambivalente environ trois ans après l’introduction du RGPD », estime l’étude. Et cela peut notamment s’expliquer par la pression croissante exercée sur la gestion des cookies, par les régulateurs, mais aussi les éditeurs de navigateurs comme Google, Apple et Mozilla.

De fait, les cookies tiers sont amenés à disparaître. Cette disparition semble actée par une majorité d’acteurs français (83%), qui prévoient à 69% de s’appuyer donc sur les cookies « first-party ». L’Allemagne est nettement en retrait sur ce sujet puisque seuls 49,5% des répondants jugent imminente la disparition des cookies tiers.

Il « semble que les Français soient beaucoup plus avertis de la protection des données que leurs homologues allemands ou britanniques, ce qui est probablement dû à l’application rigoureuse par l’autorité française de protection des données CNIL », commente Jürgen Weichert, Chief Revenue Officer pour Usercentrics.