Jean-Luc Kirchgessner, Sadec-Akelys : « L’année 2019 marque la fin de la période de transition liée au RGPD »

Interviews
Outils
TAILLE DU TEXTE

Jean-Luc Kirchgessner, PDG de CIAGEC, filiale informatique du cabinet d'expertise comptable Sadec-Akelys, dresse un bilan sur le RGPD un an après son entrée en application.

Un an après l'entrée en vigueur du RGPD, où en sont les entreprises dans la mise en œuvre de ce texte ?

Mis en application le 25 mai 2018, le RGPD a impacté notre vie numérique en redonnant plus de contrôle aux utilisateurs sur la gestion et la collecte de leurs données personnelles. Les entreprises sont donc contraintes d’adapter leur modèle à ces nouvelles obligations protectrices.

La situation des entreprises concernant la conformité avec la législation en vigueur en matière de protection des données personnelles est très hétérogène. Cela dépend beaucoup de leur taille, de leur activité et du degré de conformité avec la loi informatique et libertés qui était le leur avant le 25 mai 2018.

Concernant notre cabinet d’expertise comptable Sadec-Akelys, nous avons mené plusieurs campagnes de sensibilisation auprès de nos 8 000 clients éligibles. Nous avons développé avec notre filiale informatique CIAGEC un outil web, accessible à nos clients, leur permettant de tester leur conformité aux obligations du RGPD, en leur donnant un ensemble de recommandations pour mener à bien leur parcours de conformité.

Malgré ces communications, nous constatons que peu d’entreprises se sentent concernées par ces obligations. A la suite des diverses actions de communication menées auprès de nos clients, nous avons constaté qu’un panel estimé à 3 % a utilisé notre outil web de test à l’éligibilité, principalement des TPE, et nous n’avons eu à ce jour qu’une vingtaine de demandes d’accompagnement à la mise en place du RGPD et ce, par des PME.

Or, en consultant le site de la Cnil, on peut se rendre compte d’une augmentation significative des notifications de violation des données avec sanctions administratives, mais cette augmentation n’est pas en corrélation avec la mise en œuvre du RGPD dans les entreprises.

Quels sont les freins principaux à la mise en conformité ?

En interrogeant certains de nos clients, nous avons pu identifier quatre causes majeures : 

  • le manque de temps pour s’en occuper ;
  • la mauvaise compréhension de l’obligation ;
  • la difficulté à aborder le sujet : comment procéder et par quel élément commencer ;
  • le fait qu’ils ne se sentent pas concernés par l’obligation et ce, malgré nos communications et les informations relayées par la presse.

Dans son rapport pour 2018, la Cnil a partagé les résultats d’un sondage réalisé par l’Ifop, dans lequel 66 % des Français se disent plus sensibles à la protection de leurs données : cette sensibilisation des principaux intéressés aura-t-elle un effet de catalyseur sur la mise en conformité des entreprises ?

Outre l’aspect réglementaire, du fait de notre expérience, nous constatons que nos interventions auprès des PME permettent également de sécuriser le système d’information des entreprises, fonction trop souvent négligée mais vitale dans le fonctionnement quotidien de ces entités.

Que risquent les entreprises en cas d'infraction ?

Contrairement à ce que l’on pourrait croire, la Cnil ne concentre pas uniquement ses efforts de contrôle sur les grandes entreprises mais les TPE-PME, utilisant des données personnelles, sont également en ligne de mire.

Le RGPD a mis à disposition de la Cnil un important arsenal de sanctions. En effet, en cas de constatation de violation des données à caractère personnel, les montants des sanctions sont dissuasifs, allant de 10 à 20 millions d’euros ou 2 à 4 % du chiffre d’affaires mondial de l’entreprise. A ces sanctions administratives, peuvent s'ajouter des sanctions pénales, s’échelonnant jusqu’à 300 000 euros et 5 ans d’emprisonnement.

La première condamnation sous l’égide du RGPD a été prononcée par la Cnil le 21 janvier 2019. Il s’agit d’une amende de 50 millions d’euros à l’encontre de Google. 

Ainsi, la Cnil n’hésite plus à appliquer des montants très importants de sanction à tout type d’entreprise : TPE, PME ou association. En effet, l’année 2019 marque la fin de la période de transition liée au RGPD, a annoncé la Cnil il y a quelques jours sur son site internet. Elle avertit qu'elle vérifiera désormais pleinement le respect des nouvelles obligations et nouveaux droits issus du cadre européen et tirera, au besoin, toutes les conséquences en cas de manquement. Or à ce jour, encore trop de TPE-PME ne sont pas aux normes. Il est alors nécessaire pour elles de s’y conformer, notamment avec l’aide de professionnels dont nous faisons partie.

Propos recueillis par Hugues Robert

Les Annuaires du Monde du Chiffre