RGPD : quand la conformité vire au racket

Face au retard des entreprises, des sociétés proposent des solution clés en main pour être conformes RGPD. Une arnaque régulièrement dénoncée par la CNIL, mais qui montre aussi que cette mise en conformité a un coût pour les entreprises.

Depuis le début de l’année, la CNIL s’est fendue de plusieurs tweets pour alerter sur la prolifération des arnaques concernant le règlement général sur la protection des données (RGPD). Elle constate que « ces derniers mois, la CNIL a publiquement dénoncé, à plusieurs reprises, les agissements de sociétés promettant de manière peu scrupuleuse une mise en conformité « clé en main » au RGPD ». En effet, plusieurs responsables d’entreprises ou DSI reçoivent dans leur mail des sollicitations de sociétés leur proposant une solution rapide et facile pour se mettre en conformité avec le règlement européen.

Leur technique est identifiée constate le régulateur : « insister sur les sanctions financières encourues pour non-respect du RGPD, se présenter comme « labellisées », « certifiées » ou « recommandées » par la CNIL, vous adresser une simple documentation ou un échange a minima en guise d’accompagnement ». Le régulateur rappelle qu’il ne délivre pas de certification pour la transition vers le RGPD. De même, les sanctions financières pouvant aller jusqu’à 20 millions d’euros et 4% du chiffre d’affaires seront infligées de manière proportionnée à la faute et aux dommages causés.

Le RGPD, un jackpot financier

A l’approche du 25 mai 2018, date d’entrée en vigueur du RGPD, beaucoup d’entreprises ne sont pas conformes et notamment les TPE-PME (80% de retardataires). Si on ajoute que le marché de la transition vers le RGPD est estimé par le Syntec Numérique à 1,2 milliard d’euros (hors dépenses en conseil juridique), on comprend que ce filon aiguise les appétits y compris les charlatans.  Dans les avertissements de la CNIL, il est rappelé que « la mise en conformité au RGPD nécessite plus qu’un simple échange ou l’envoi d’une documentation sur le RGPD. Elle suppose un vrai accompagnement, par une personne qualifiée en protection des données, pour identifier les actions à mettre en place et assurer un suivi ».

En un mot, la transition nécessite du professionnalisme et elle a un coût. Sur ce dernier point, les exemples étrangers montrent que la facture peut s’avérer salée. Ainsi, pour les entreprises anglaises, la facture est estimée à 1,1 milliard d’euros selon une étude menée par EY et IAPP (International Association of Privacy Professionals). Aux Etats-Unis, les sociétés du Fortune 500 vont débourser 7,8 milliards de dollars pour se mettre en conformité au RGPD. Une martingale pour les sociétés de conseil et les cabinets d’avocats très sollicités à l’approche de la date fatidique. Que dire aussi du recrutement des DPO (Data Protection Officer). L’IAPP cité précédemment considère qu’il manque aujourd’hui 28 000 DPO en Europe. Des coûts de recrutement à ajouter à la facture des entreprises. Pour certains analystes, les dépenses accordées pour le RGPD vont impacter d’autres investissements comme par exemple la modernisation des RH. Devant ces coûts, les TPE et les PME sont souvent démunies. La CNIL et BPI France ont rédigé un guide à leur attention pour leur montrer que cette transition n’est pas insurmontable et peut se faire à des coûts raisonnables. Le régulateur a en tout cas promis d’être bienveillant jusqu’à la fin de l’année.

Abonnez-vous à la newsletter hebdo d'IT for Business !

Rejoignez notre liste de diffusion pour recevoir toutes les semaines une sélection d'articles et quelques autres surprises préparées spécialement pour vous par notre rédaction.

ABONNEZ-VOUS !

Nous vous envoyons un e-mail de validation !