74 % des experts affirment que les autorités de protection des données trouveraient des « violations pertinentes » dans la plupart des entreprises – si elles enquêtaient sur elles.

L’application rigoureuse du GDPR n’a pas tenu ses promesses, ne craint pas d’affirmer noyb – European Center for Digital Rights (none of your business ) à l’issue d’une étude auprès de plus de 1 000 professionnels de la protection des données. L’enquête est édifiante.

Un échec que commente l’activiste Max Schrems, président honoraire du noyb : « Il est extrêmement alarmant de constater que 74 % des professionnels de la protection des données au sein des entreprises déclarent que les autorités trouveraient des violations importantes dans une entreprise moyenne. De tels chiffres seraient inimaginables s’il s’agissait de se conformer à la législation fiscale. La non-conformité ne semble être la norme que lorsqu’il s’agit des données personnelles des utilisateurs. »

Des données objectives d’initiés sur la conformité au GDPR

Afin de mieux comprendre l’application pratique du GDPR, l’enquête de noyb comprenait 65 questions couvrant une série de sujets dans le domaine de la conformité et de l’application du GDPR. « Cela nous a permis d’obtenir des données fiables et objectives sur les dynamiques internes qui empêchent les DPO de mettre en œuvre des mesures visant à renforcer la conformité au GDPR, ainsi que sur les facteurs externes qui pourraient pousser les entreprises à se conformer davantage au GDPR à l’avenir. »

Ces données semblent cruciales pour concentrer le travail d’application et de mise en conformité sur des stratégies qui fonctionnent réellement et soutiennent le travail des DPD internes.

GDPR, sujet de conflit avec les services de marketing et la direction

Les entreprises opèrent souvent dans un espace conflictuel entre la recherche du profit, les coûts de mise en conformité de leurs systèmes avec le GDPR et l’obligation de se conformer à la loi. L’enquête de noyb montre clairement que les DPO subissent des pressions pour limiter la conformité au GDPR dans l’intérêt de l’entreprise. 46 % des personnes interrogées ont déclaré que les services de vente et de marketing faisaient activement pression sur les PDO pour limiter la conformité, tandis que 32 % se sentaient poussés par les membres de la direction générale. « Sans surprise, convaincre ces parties prenantes de procéder aux changements nécessaires pour améliorer la conformité s’avère également très difficile », notent les responsables de l’étude.

Un pourcentage choquant de 56 % des personnes interrogées ont déclaré qu’il était difficile de convaincre le service marketing, tandis que 38,5 % ont eu des problèmes avec la direction générale. 51 % ont également déclaré qu’il était difficile de convaincre les fournisseurs hors UE/EEE de fournir des produits conformes aux entreprises clientes de l’UE.

« Les DPO sont censés être indépendants et garantir la conformité au sein de l’entreprise, observe Max Schrems. En réalité, nombre d’entre eux font état de pressions exercées par diverses parties pour qu’ils donnent la priorité aux intérêts commerciaux ! »

En application fondée sur des preuves : amendes et atteinte à la réputation

L’absence de mesures d’application claires de la part des autorités n’aide pas les DPO à faire leur travail. Selon les résultats de l’enquête, une entreprise est plus susceptible d’améliorer sa conformité lorsqu’elle -ou même d’autres entreprises- est confrontée à des amendes importantes. 67 % des personnes interrogées ont déclaré que les décisions de l’autorité de protection des données à l’encontre de leur propre entreprise, assorties d’une amende, inciteront les décideurs à opter pour une plus grande conformité.

Il est intéressant de noter que 61,5 % des personnes interrogées ont déclaré que même les amendes infligées à d’autres organisations influenceraient la conformité de leur propre entreprise au GDPR. Cet effet de « dissuasion » est bien connu et étudié, mais n’est pas vraiment utilisé par les autorités.

Le deuxième meilleur outil semble être la publication des décisions. 52 % ont déclaré que la perte de réputation d’une autre entreprise a déjà un effet positif sur la conformité de leur propre entreprise. Cependant, de nombreuses autorités ne publient pas leurs décisions.

Des centaines de dossiers classés sans suite

Alors que les autorités investissent des efforts, du temps et des ressources considérables pour fournir des lignes directrices aux entreprises, celles-ci semblent être largement ignorées. 46 % des personnes interrogées dans les entreprises estiment que les lignes directrices n’ont pas d’influence. De même, les initiés estiment que les plaintes directes auprès des entreprises n’ont pas beaucoup d’influence.

Bien que tout indique qu’il est urgent d’appliquer strictement la législation, dans la pratique, les mesures prises par les autorités chargées de la protection des données sont l’exception. Selon le centre européen, la plupart des affaires – plus de 800 ! – sont en suspens depuis plus de deux ans. Mais même, si l’on ne retient que les affaires que le noyb a gagné, il n’y a qu’une poignée de décisions qui prévoient une amende.

Trop de dossiers classés sans suite, selon Max Schrems. « À en juger par les réactions des responsables de la conformité, ce n’est malheureusement pas la meilleure façon d’utiliser l’argent des contribuables. »

L’opinion des initiés reste plus positive que l’expérience des utilisateurs

Bien que le point de vue des initiés soit déjà alarmant, il reste plus optimiste que l’expérience moyenne des personnes concernées. Par exemple, lorsque le noyb a exercé son droit d’accès aux données à caractère personnel, plus de 90 % des demandes n’ont pas reçu de réponse complète dans les délais impartis. La plupart des demandes sont tout simplement ignorées. En comparaison, 59 % des personnes interrogées pensent que la plupart des entreprises se conformeraient « pour l’essentiel » aux « règles de base » du GDPR. L’expérience pratique suggère que le point de vue de l’extérieur peut être encore pire que celui de l’intérieur.

Si l’on en croit les personnes interrogées, la seule solution réaliste à ce problème est claire : une application plus stricte et des décisions plus claires des autorités de protection des données et des tribunaux qui obligent les entreprises à mettre leurs traitements de données en conformité.