Baromètre de la conformité RGPD des TPE et PME – Edition 2024
Quel est le niveau de conformité RGPD des TPE PME ?
La conformité des sites web : une faille récurrente et visible
Les sites web constituent souvent la principale interface de collecte de données personnelles pour les TPE et PME. Cependant, les résultats montrent que plus de 88 % des sites web analysés ne sont pas conformes au RGPD :
- 95 % des sites web utilisent des cookies ou des traceurs, mais 74 % d’entre eux ne sont pas conformes aux exigences du RGPD en matière de consentement des utilisateurs ;
- 48 % des sites web n’incluent pas les mentions légales obligatoires dans leur formulaire de contact, et 44 % des politiques de confidentialité ne respectent pas les exigences du règlement.
Cela montre que les TPE PME sont souvent mal préparées à répondre aux exigences du RGPD concernant la collecte et l’utilisation des données sur leurs plateformes numériques. Beaucoup de TPE et PME délèguent la gestion de leur site web à des prestataires qui ne sont pas nécessairement au fait des obligations.
Dans ces conditions, un audit régulier est indispensable pour s’assurer de la conformité de son site internet et éviter des sanctions coûteuses et une perte de confiance de la part des clients.
Le respect du droit des personnes en matière de données personnelles : un enjeu encore trop sous-estimé
Le RGPD accorde aux individus un ensemble de droits (accès, rectification, effacement, portabilité, etc.) que les entreprises doivent respecter. Le baromètre révèle que 42 % des entreprises considérées ont déjà reçu une demande relative à l’exercice d’un de ces droits créés le RGPD et que 78 % n’ont pas mis en œuvre toutes les démarches nécessaires pour y répondre dans les délais légaux :
- 69 % des TPE et PME ont reçu des demandes d’opposition à des communications par email, mais seulement 62 % ont répondu dans le délai légal d’un mois ;
- 26 % tiennent un registre des demandes de droits, mais 21 % des entreprises ne prennent aucune mesure proactive pour gérer ces demandes.
L’incapacité à respecter les droits des personnes expose les entreprises à des risques importants de sanctions et peut entacher les relations commerciales.
Le RGPD : un outil au service de la sécurité des données pour prévenir les risques cyber
Les incidents de sécurité représentent une menace sérieuse pour les entreprises. Le baromètre montre que 51 % des TPE et PME ont déjà subi au moins un incident de sécurité. Les types d’incidents les plus fréquents sont :
- 33 % des entreprises ont été victimes de piratage informatique ;
- 22 % ont subi des pertes ou vols de clés USB contenant des données sensibles ;
- 19 % ont fait face à des erreurs d’envoi de documents à des tiers non autorisés.
Le baromètre met également en lumière un manque flagrant de documentation des procédures de sécurité :
- 63 % des entreprises n’ont pas de procédure documentée pour gérer la sécurité de leurs données personnelles ;
- seulement 8 % vérifient si les incidents nécessitent une notification à la CNIL dans les 72 heures, comme l’exige le RGPD en cas de vol de données personnelles.
Pourtant, le RGPD offre des lignes directrices très efficaces pour sécuriser les données personnelles détenues par l’entreprise et prévenir les incidents de sécurité.
La conformité des documents réglementaires : un défi pour les petites entreprises
La gestion des documents réglementaires est un autre domaine où les TPE et PME rencontrent des difficultés majeures en matière de gestion des données personnelles. Selon le baromètre, seulement 5 % des entreprises disposent d’une documentation complète et conforme au RGPD :
- 45 % des entreprises ont mis en place une politique de confidentialité ;
- seulement 28 % ont un registre des traitements des données, alors que ce document est essentiel en cas de contrôle de la CNIL ;
- 63 % des entreprises qui ont un registre des traitements rencontrent des difficultés pour le maintenir à jour, ce qui les expose à des sanctions potentielles.
Pourtant, ces registres et autres documents réglementaires ne sont pas seulement des obligations légales à présenter en cas de contrôle CNIL, mais aussi des outils pour s’organiser et prouver l’engagement de l’entreprise en matière de protection des données personnelles. Ils permettent notamment de se prévaloir auprès de ses clients et partenaires du respect du RGPD afin de les rassurer quant à la bonne gestion des données personnelles.
Quels sont les principaux freins rencontrés par les TPE PME pour se mettre en conformité avec le RGPD ?
Malgré les efforts déployés, les entreprises continuent de rencontrer des obstacles majeurs à la mise en conformité RGPD :
- 59 % des entreprises manquent de temps pour gérer leur conformité ;
- 57 % signalent un manque de compétences juridiques pour naviguer dans la complexité du règlement ;
- 49 % ne savent pas par où commencer, soulignant la nécessité d’un accompagnement personnalisé ;
- 31 % peinent à maintenir leur conformité dans le temps, un défi dans un contexte où les traitements de données évoluent constamment.
Ces freins expliquent pourquoi de nombreuses entreprises restent en difficulté face au RGPD et l’importance d’être accompagné par un expert en gestion des données personnelles pour assurer sa conformité au RGPD.
.