Les DPO internes et externes ont-ils pu mettre à profit ce moment particulier de télétravail pour avancer sur des éléments de fond du RGPD ? Si oui, lesquels ? Ou le confinement a-t-il tout ralenti ? Quel a été le comportement des entreprises pendant le confinement concernant leur conformité ?

Les entreprises ont profité du confinement pour mettre à jour leur conformité RGPD

40% des DPO et juristes interrogés ont mis à profit le confinement pour traiter les sujets de fond de la mise en conformité RGPD de leur entreprise, et en particulier, pour près de la moitié des répondants, la mise à jour du fameux registre des traitements. L'un d'entre eux confie : « Le confinement a permis d'avoir le temps et la tranquillité nécessaire pour avancer sur le sujet ».

« Aux premiers jours de la crise sanitaire, certains ont pu croire que la mise en conformité RGPD serait reléguée aux calendes grecques. En réalité, c’est bien entendu tout le contraire qui s’est passé. La mise en place du confinement a massivement permis aux entreprises de prendre pleinement conscience du chemin à parcourir : le télétravail massif, suppose une (ré)organisation RH poussée, avec des questions de droit social et de vie privée, et une (re)mise à niveau des process de sécurisation des données », commente Sylvain Staub, CEO de Data Legal Drive & Associé du cabinet DS Avocats.

Le télétravail a renforcé la sécurisation des entreprises

En matière de sécurité, il s’agit d’un des facteurs pour lesquels le confinement a permis de remettre à plat des process jugés comme indispensables du fait de la situation de télétravail. Cette situation a, en effet, la vertu d’accélérer cet aspect pour un tiers des répondants. L'un d'entre eux déclare : « Le développement à marche forcée du télétravail et de l'accès à distance aux outils professionnel a permis d'accélérer et de renforcer la conformité de l'organisation au RGPD ».

Néanmoins, si un tiers des répondants déclare ne pas avoir eu besoin de modifier les process de sécurité déjà à niveau, le dernier tiers n’a strictement pas agi, alors qu’il y aurait peut-être nécessité de mener une revue de sécurisation. L'un d'entre eux affirme : « Le contexte de crise sanitaire a mis au second rang la protection des données personnelles et plus largement l'aspect sécurité des données. Des moyens de travail ont été déployés sans l'aval des DSI et du DPO mettant en péril la sécurité des infrastructures et des données alors que le contexte demande une vigilance extrême ».

30% des entreprises ont proposé des formations RGPD à leurs collaborateurs

Concernant la sensibilisation et la formation des collaborateurs au RGPD, un des éléments de l’Accountability que doit pouvoir produire toute entreprise, le confinement a permis une mise à niveau pour 30%. Un tiers n’en ont pas profité estimant, certainement à juste titre, que ce n’était pas la priorité du moment. Près de 40% pensent néanmoins avoir les moyens de mener des formations dans les prochaines semaines. L'un d'entre eux confie : « Tous nos collaborateurs ont été en formation sur le Mooc de la CNIL. Le DPO a été plus disponible pour se pencher sur les questions juridiques de fond ».

Autre chantier majeur du RGPD : la mise en conformité des sites web

Seul 1 site web sur 3 serait à 100% conforme avec le RGPD, et ce taux n’a pas évolué depuis l’étude menée en 2019 par les mêmes partenaires. Néanmoins, le confinement aurait – salutairement – permis à plus de la moitié des DPO répondants et responsables de ce traitement de se concentrer à nouveau sur ce chantier essentiel qui est une vitrine de toute entreprise.

La grande conclusion…

Au global, l'étude 2020 révèle que si le train était à quai en 2019, il est parti en 2020 ! Cette période de confinement a été une des locomotives de ce qu’on peut appeler « la révolution de la gouvernance de la donnée personnelle ».