RGPD : où en sont nos voisins ?

Echéance ? Quelle échéance ? Moins d’un an avant l’entrée en vigueur du RGPD, le niveau d’impréparation des entreprises françaises a de quoi inquiéter. Seules 14% d’entre elles se déclarent aujourd’hui conformes au règlement européen sur la protection des données personnelles, alors même qu’elles s’accordent à reconnaître que l’alignement sur le référentiel constitue un projet structurant et consommateur de ressources. Plus inquiétant encore, elles sont moins d’un quart à estimer que cet objectif calendaire est tenable. Une étude menée par Umanis au mois d’avril dernier indiquait même que deux tiers des acteurs français ne seraient tout simplement pas prêts à temps…

Le phénomène n’est pas nouveau et il y a plusieurs mois déjà que de nombreux observateurs alertent entreprises et pouvoirs publics sur le risque de non-conformité majeure à l’heure de l’entrée en vigueur du RGPD. Au point d’entraîner un report de la règlementation ? Il faudrait pour cela que le risque de vide juridique et la lourdeur des sanctions envisagées (jusqu’à 4% du chiffre d’affaires mondial des entreprises fautives) contraigne le législateur à offrir un délai supplémentaire aux retardataires. Problème : le périmètre du RGPD est européen, et l’éventualité d’un report – si elle prenait de l’épaisseur – devrait emporter l’adhésion de tous les pays concernés.

Nous ne sommes pas seuls

Pour qu’un tel mouvement puisse prendre corps, il faudrait donc que le retard constaté en France trouve des équivalences en Europe, et que l’Hexagone ne fasse pas figure de vilain petit canard de la conformité. Intéressons-nous donc à l’état d’avancement de nos voisins européens.

Premier enseignement : nous ne sommes pas seuls ! Le manque de maturité vis-à-vis du RGPD pourrait même faire figure de socle commun parmi les pays d’Europe occidentale. En Italie, en Espagne et même en Allemagne, on constate un même retard chronique dans la mise en place des règles et des procédures imposées. Partout – à l’exception notable du Royaume-Uni, bon premier de la classe – une majorité des répondants admet n’être qu’au début du cheminement vers la compliance. Une part non négligeable des entreprises interrogées par IDC admet même que leur stratégie consiste à mettre en place « juste ce qu’il fait de RGPD pour éviter les sanctions »…

Le Brexit de la conformité

Cette attitude défensive ne doit pas pour autant occulter la bonne volonté manifeste des entreprises européennes. Une majorité s’accordent à reconnaître caractère vertueux de la démarche, et voient dans la conformité au RGPD l’occasion d’améliorer la qualité de leur politique de data management, et pourquoi pas de bâtir un différenciateur commercial.

Le retard à l’allumage est donc loin d’être une spécificité française, et nos voisins font preuve d’une belle unanimité en la matière. L’hypothèse d’un report pourrait toutefois faire grincer quelques dents au Royaume-Uni, dont la maturité en la matière est largement supérieure à celle de ses voisins : près d’une entreprise sur 5 s’y dit déjà en conformité avec le RGPD, et seules 7% débutent seulement la démarche. Un chiffre à mettre en regard avec les autres pays d’Europe occidentale, qui établissent une moyenne de… 21%.

ZDNet