Pour les 3/4 des entreprises interrogées, la conformité au GDPR sera difficile.

Une étude, menée par Varonis Systems, Inc. (éditeur de solutions logicielles de protection des données contre les menaces internes et les cyberattaques), révèle que 75% des entreprises vont rencontrer des difficultés pour se mettre en conformité avec le GDPR avant le 25 mai 2018. Menée sur plus de 500 décideurs informatiques en France, en Allemagne, au Royaume-Uni mais aussi en Amérique du Nord, cette étude permet de cerner la difficile réforme des entreprises en matière de traitement des données personnelles.

Ce constat met en lumière que l’harmonisation européenne de la réglementation dans ce domaine est la bien venue, même pour un pays comme la France qui était déjà dotée d’une législation en la matière.

Quelles sont les dispositions qui soulèvent le plus de difficultés ?

Le droit à la suppression des données (article 17 du GDPR) pose des difficultés à 55% des entreprises. C’est aussi le cas de l’obligation d’enregistrement des traitements de données pour 52% des entreprises, de la sécurité des données (50%), du principe de « Privacy by design » (48%) ou encore de l’analyse d’impact (33%).

Mais pour Christophe Badot (Directeur Général France de Varonis), « la conclusion la plus inquiétante est qu’une entreprise sur quatre ignore où résident ses données sensibles ». Or, les données sensibles portent sur des informations très intimes, dont l’utilisation est soumise à des procédures particulières. « Pour ces entreprises, le réveil risque d’être brutal dans un an. À défaut d’une parfaite visibilité sur l’emplacement de leurs données sensibles, et sur les personnes qui y ont accès et y accèdent, leurs chances de se conformer au règlement sont minces, ce qui les place en tête de liste des entreprises qui s’exposeront à des sanctions

Cet aspect est d’autant plus problématique que 59% de ces entreprises ont identifié au moins un cas d’accès trop permissif aux données personnelles. Plus encore, alors que l’analyse d’impact va être obligatoire pour les traitements portant sur les données sensibles, 32% des entreprises déclarent ne pas en avoir mis en oeuvre dans les 12 derniers mois.

Quelles fonctions sont perçues comme étant les plus proches de celle de DPO ?

Pour 47% des entreprises interrogées, la fonction IT est la première fonction à devoir prendre en compte les changements induits par la nouvelle réglementation, suivi de la fonction juridique et de la sécurité pour 23% d’entre-elles. D’après les entreprises interrogées, c’est de ces fonctions que doit dépendre le DPO.

Le département des ressources humaines est prioritairement concerné pour seulement 2% des entreprises. Or, elle centralise de nombreuses informations sur l’ensemble des salariés de l’entreprise : gestion des personnels, réseaux sociaux d’entreprise, évaluation des collaborateurs, contrôle de l’usage d’internet et de la messagerie, contrôle d’accès par badge ou biométrie, exploitation de la vidéo-surveillance ou géolocalisation.

Plus encore : les fonctions marketing ne semblent pas être prioritaires. Pourtant, entre prospection ciblée et algorithmes prédictifs, la donnée est au coeur de leur modèle économique. Plus encore, la fonction devrait utiliser cette évolution réglementaire comme une opportunité de renforcer la confiance avec les clients.

Il y a donc fort à parier que le chemin sera encore long pour que ces entreprises ciblent parfaitement les enjeux de la Data Privacy. Certes, le DPO devra avoir des compétences techniques et juridiques, mais il est indispensable qu’il comprenne les enjeux liés à toutes les autres fonctions de l’entreprise.

Quels secteurs ?

« Les entreprises du secteur public sont manifestement celles qui ont le plus de mal à se conformer au règlement : elles sont beaucoup plus susceptibles de manquer de budget (26 % des entreprises du secteur public disposent d’un budget distinct prévu à cet effet, contre 41 % dans le secteur privé) »

C’est un constat alarmant puisque le secteur public regorge de données plus ou moins sensibles : santé, logement, état civil, etc.

De plus, 92% des entreprises estiment que certains secteurs sont plus susceptibles de ne pas respecter le GDPR, et d’être condamnées. Le secteur bancaire apparait comme était le plus exposé pour 26% d’entre-elles.

 

Dans tous les cas, il est inquiétant de voir que la conformité GDPR n’est pas une priorité pour 42% des entreprises interrogées. Pourtant, cette absence de conformité pourrait leur couter jusqu’à 4% de leur chiffre d’affaires mondial ou 20 millions d’euros, le montant le plus élevé étant retenu.

 

 

 

 

 

 

 

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *