Le Règlement général sur la protection des données (RGPD), entré en vigueur en mai 2018, a marqué un tournant majeur dans la manière dont les organisations gèrent la sécurité des données. Sept ans après, le bilan est contrasté. Si le RGPD a indéniablement amélioré la protection des données personnelles en Europe, les défis de conformité et de sécurité demeurent importants pour la majorité des entreprises. Une enquête menée par Gartner en 2025 montre que 58% des organisations considèrent toujours la conformité RGPD comme une priorité majeure, tandis que 42% affirment avoir rencontré des difficultés significatives dans sa mise en place.
Les avancées concrètes du RGPD
Le RGPD a fondamentalement changé les pratiques d’organisation. Premièrement, il a imposé une traçabilité des données personnelles, obligeant les entreprises à documenter précisément qui traite quoi et pourquoi. Deuxièmement, il a renforcé les droits des individus : droit d’accès, droit à l’oubli, portabilité des données. Ces droits ont forcé les organisations à moderniser leurs systèmes informatiques et leurs processus. Troisièmement, le RGPD exige une notification des violations de données dans les 72 heures, ce qui a incité les entreprises à investir dans la détection d’intrusions et la gestion des incidents. Selon la Commission nationale de l’informatique et des libertés (CNIL), la France enregistre environ 800 notifications de violations par an, un chiffre qui reflète une meilleure détection plutôt qu’une augmentation réelle des incidents.
Les lacunes persistantes
Malgré ces avancées, des failles importantes subsistent. Nombreuses sont les organisations qui adoptent une approche purement documentaire du RGPD sans en implémenter les vrais mécanismes de sécurité. Selon une analyse du cabinet Forrester de 2025, 47% des entreprises européennes déclarent ne pas avoir réalisé un audit complet de leurs données personnelles depuis trois ans. De plus, la sous-traitance crée des zones grises : les responsabilités en matière de sécurité ne sont pas toujours clairement définies entre le responsable du traitement et les sous-traitants. Les petites organisations, en particulier, manquent de ressources pour mettre en place des architectures de sécurité véritablement robustes, même si elles reconnaissent l’obligation légale.
Vers un renforcement du cadre réglementaire
La Directive sur la sécurité des réseaux et de l’information (NIS2), qui s’applique à partir de 2025 en Europe, vient compléter le RGPD. Elle impose des obligations de sécurité plus strictes à certains secteurs comme la santé, l’énergie et les finances. Le RGPD et NIS2 constituent désormais un cadre intégré : le premier protège les droits des individus, le second garantit la résilience des systèmes critiques. Les entreprises doivent donc aligner leurs stratégies de sécurité sur ces deux textes, ce qui requiert une vision holistique du risque cybernétique et une culture de la conformité ancrée au niveau du management.