Les bénéfices du RGPD pour les entreprises : premiers retours

Méthodologie de l’étude

Le prestataire retenu a mené 17 entretiens avec des délégués à la protection des données (DPO), dans une variété de secteurs, avec des acteurs grandes entreprises, ETI mais aussi PME et TPE. L’objectif était de mieux connaître les tenants et les aboutissants économiques de la conformité RGPD dans les entreprises, notamment sur l’aspect des gains de conformité pour lesquels il s’agissait du premier retour terrain systématique sollicité par le régulateur depuis l’entrée en application du RGPD en mai 2018. Les résultats (cf. fichier en annexe) ne visaient pas à la représentativité statistique mais à une connaissance agrégée du phénomène, avec le cas échéant une déclinaison sectorielle.

L’investissement dans la conformité

Les leçons dégagées par les entretiens ont tout d’abord confirmé le fort investissement des entreprises françaises dans la conformité au RGPD depuis 2018. Des programmes dédiés de conformité ont été mis en place, dont le pivot a été le DPO de l’entreprise, dans la quasi-totalité des cas soutenus par le top management. Il convient de bien distinguer les sur-coûts initiaux, qui ont fréquemment comporté une dimension de modernisation des SI, et les budgets récurrents, notamment liés au budget de l’équipe DPO et de ses relais (pour les établissements, marques ou pays d’implantation).

De manière intéressante, les budgets de modernisation informatique (revue du cycle de vie de la donnée, mise en cohérence des consentements, purge des données pour respecter les durées de conservation…) ont été souvent portés par les DSI, sans consolidation avec le budget de l’équipe DPO. Cela signifie que l’entreprise a traité ces dépenses comme des investissements SI, mais aussi qu’elle n’a pas de vision d’ensemble des coûts et bénéfices de la conformité.

Au moment de son entrée en application, le RGPD a également causé une complexification de la gestion des relations contractuelles. L’étude ayant été réalisée peu de temps après, il n’est pas possible de savoir si cette complexification a perduré par la suite.

L’impact sur les modèles d’affaires

Dans 15 cas sur 17, les entreprises n’ont pas constaté d’impact de l’entrée en application du RGPD sur leurs modèles d’affaires. Si des inquiétudes se sont fait jour dans le domaine du marketing, aucun impact notable n’a été enregistré sur leurs opérations ou leurs activités. Toutefois pour les entreprises particulièrement exposées aux données personnelles (notamment celles vendant des données), un impact notable a été enregistré, par exemple dans le secteur de la vente en ligne ou des services informatiques, avec une augmentation des exigences de sécurité dans le cas de locations de bases clients par exemple. Dans tous les cas, la montée en compétence sur le RGPD a également entrainé une charge supplémentaire même si celle-ci est sans doute résorbée à présent.

Point intéressant également, pour les PME/TPE, la mise en conformité a suivi de facto une approche « par les risques » : limitée pour les entreprises qui n’ont pas de forts enjeux en termes de données personnelles, les entreprises plus exposées à cette question de par leur activité ont suivi un cycle de conformité proche de celui des grandes entreprises.

Les gains de conformité

Les entreprises interrogées n’avaient pas tenté de chiffrer les gains de mise en conformité RGPD à la mise en place, mais avaient perçu cette mise en conformité uniquement comme une obligation réglementaire. Toutefois, interrogées à ce sujet, les entreprises sont capables d’’identifier les postes de gains liés à la conformité ou les leviers de valorisation de la conformité au RGPD pour elles.

Pour les grandes entreprises, les principaux leviers identifiés sont :

• Un meilleur positionnement dans les appels d’offres notamment publics et plus généralement, dans les négociations avec les prospects en B2B, pour un cinquième des grandes entreprises, avec une recherche de différenciation (alors qu’en B2C, la conformité est plus perçue comme une évidence) ;
• Une meilleure confiance des clients (amélioration de l’expérience client, moins de réclamations) pour la moitié des entreprises ;
• Un meilleur ciblage de la communication en direction des clients ;
• Un levier pour renforcer la sécurité des systèmes d’information (pour un tiers des grandes entreprises) ;
• Une amélioration de la gouvernance de certains processus métiers, en lien avec les clients, les salariés, la conception des produits ou les contrats avec les partenaires ;
• Un levier en termes de « green privacy » (réduction de la masse des données traitées) et dans plus de la moitié des cas, les grandes entreprises ont prévu de communiquer sur la conformité dans leur rapport annuel ou leur rapport RSE

Dans la plupart des cas, les entreprises ont cherché à valoriser leur démarche de conformité vers l’extérieur (clients, partenaires, écosystème), en allant plus loin que la simple communication : participation à des travaux professionnels du type guides ou labels, recherche de certifications, mention de la « privacy » dans la culture d’entreprise, utilisation auprès des agences de notation…

Pour les TPE/PME exposées au sujet, la conformité au RGPD comporte les mêmes bénéfices que les grands groupes, notamment lorsque leurs clients sont sensibles aux aspects de conformité RGPD (appels d’offres publics).

Ainsi, il est possible d’identifier des bénéfices économiques à la conformité au RGPD et dans certains cas, de les chiffrer. Ces derniers ne s’adressent d’ailleurs pas seulement, en dernière instance, à des personnes physiques comme les clients, les salariés ou le public (image), mais comportent aussi une dimension relevant de la vie de l’entreprise elle-même (économies, optimisations de gestion, dimension « écosystémique » auprès des partenaires). Enfin, comme pour les coûts, ces bénéfices concernent plus les secteurs exposés aux données personnelles, alors que la valorisation de la conformité au RGPD est moins fréquente pour les secteurs pour lesquels les données personnelles ne sont pas un enjeu.

La gouvernance de la donnée

Au-delà des éléments de complexité organisationnelle relevés pour la mise en place de la conformité RGPD, qui touche de très nombreuses dimensions de la vie de l’entreprise, l’étude fait ressortir (i) le rôle central du DPO dans la gouvernance de la donnée, qui prend des responsabilités parfois plus grandes que celles prescrites par la réglementation (ii) l’importance dans la gouvernance de la gestion contractuelle avec les tiers avec lesquels la marge de négociation peut être réduite (grandes plateformes, éditeurs de logiciels…) (iii) le besoin de sécurité juridique et notamment d’une interprétation unifiée de la réglementation RGPD en Europe.

Télécharger l'étude