Les entreprises sont inquiètes face au règlement européen sur la sécurité des données personnelles qui sera mis en application en mai 2018. Seront-elles conformes ? Et sinon, les pénalités financières vont-elles les conduire à cesser leurs activités ?
Destiné à harmoniser la gouvernance des informations personnelles au sein des pays membres de l’Union européenne, le Règlement Général sur la Protection des Données ou General Data Protection Regulation (GDPR) impose de savoir précisément où et comment les données sensibles sont stockées et transférées et comment leur accès est encadré et contrôlé par les entreprises. Ces données concernent aussi bien les informations personnelles que les cartes de crédit ou encore les coordonnées bancaires et les données de santé. La réglementation, qui entrera en vigueur le 25 mai 2018, ne concerne pas uniquement les entreprises au sein de l’UE, la réglementation s’applique mondialement à toute entreprise proposant des biens et des services aux citoyens de l’UE ou analysant leur comportement en surveillant par exemple leurs habitudes d’achat. En cas de non conformité, les pénalités peuvent atteindre 20 millions d’euros ou représenter 4% du chiffre d’affaires annuel, le montant le plus élevé étant retenu. Ce qui inquiètent bien évidemment les entreprises.
Des inquiétudes sur le business
Selon une étude mondiale de Veritas, 86 % d’entre elles sont inquiètes des répercussions qu’un défaut de conformité au règlement général sur la protection des données pourrait entraîner sur leur business. Parmi elles, près d’une entreprise interrogée sur cinq (18%) craint de mettre fin à ses activités en cas de non-conformité. De plus, 21% se montrent très préoccupées par les amendes potentielles qui pourraient entraîner des réductions de personnel afin de compenser le montant des pénalités infligées. Les entreprises s’inquiètent également des répercussions qu’un défaut de conformité pourrait entrainer sur leur image de marque, plus particulièrement si un incident venait à être rendu publique, la nouvelle réglementation imposant en effet de notifier toute violation de données aux personnes concernées.
« Près d’une entreprise interrogée sur cinq craint de mettre fin à ses activités en cas de non-conformité »
19% des personnes interrogées se montrent préoccupées par les éventuelles couvertures négatives dans les media et sur les réseaux sociaux qui pourraient les amener à perdre des clients. De plus, une sur dix (12%) se dit très inquiète de la dévalorisation que pourraient engendrer ces couvertures négatives sur leur marque. Selon une autre étude, de Citrix et Ponemon Institute, 74% d’entre elles déclarent que le GDPR aura un impact significatif et négatif sur leurs opérations commerciales. Notamment, elles sont 65% à s’inquiéter des nouvelles pénalités.
Le manque de technologies appropriées
Près de la moitié des entreprises (47%) redoutent de ne pas être prêtes à répondre aux exigences de la réglementation en temps et en heure, la mise en place de technologies adaptées étant citée comme le principal défi de la mise en conformité, selon l’étude de Veritas. En France, 92% des dirigeants et décideurs français s’inquiètent de ne pas être en conformité d’ici 2018 selon une autre étude menée par Symantec. Les résultats d’une enquête française de SerdaLAB indiquent eux que 38 % des organisations pensent qu’elles ne seront pas en conformité avec le RGPD en mai 2018. 1 organisation sur 4 manque de temps et ne possède pas les ressources nécessaires.
« 92% des dirigeants et décideurs français s’inquiètent de ne pas être en conformité d’ici 2018 »
L’enquête de SerdaLAB révèle que 56 % des organisations ne sont pas au fait des technologies et des outils capables de les aider dans la mise en conformité. L’étude de Veritas souligne également que beaucoup d’entreprises peinent à déterminer quelle est la nature des données dont elles disposent, à savoir où elles sont localisées et à évaluer quelle est leur pertinence business. Des critères pourtant essentiels pour assurer les premières étapes de mise en conformité avec GDPR. Selon les résultats de l’étude, elles auraient des difficultés à résoudre ces problématiques car elles ne seraient pas équipées des technologies adéquates pour répondre aux exigences de la réglementation.
Près d’un tiers des répondants (32%) redoutent que les technologies actuellement en place dans leur entreprise ne soient pas capables de gérer leurs informations efficacement ce qui pourrait entraver la recherche, la découverte et la vérification des données, des critères clés pour garantir la conformité avec GDPR.
De plus, 39% des répondants estiment que leur entreprise n’est pas en mesure d’identifier et de localiser correctement les données pertinentes. Pourtant, la réglementation exige que les entreprises transmettent à toute personne qui en ferait la demande une copie des données la concernant ou procèdent à leur suppression sous un délai de 30 jours.
La conservation des données est également une préoccupation majeure. 42% des entreprises admettent qu’aucune démarche n’est mise en place pour déterminer quelles données doivent être sauvegardées et quelles sont celles à supprimer (en fonction de leur valeur). Dans le cadre de GDPR, les entreprises peuvent conserver des données personnelles seulement si celles-ci sont toujours utilisées pour les raisons notifiées auprès des individus au moment de la collecte de leurs données. En revanche, elles doivent être supprimées si leur utilisation n’est plus nécessaire pour les raisons invoquées au moment de la collecte.
« La moitié des entreprises seulement a commencé à se préparer aux nouvelles exigences »
L’étude de Citrix confirme que la moitié des entreprises seulement a commencé à se préparer aux nouvelles exigences. 52% des répondants ne pensent pas que leur infrastructure de sécurité facilite la conformité et l’application de la réglementation avec une approche centralisée du contrôle, du suivi et du reporting des données.
Pour les entreprises travaillant actuellement à la mise en conformité, des investissements à près de 7 chiffres sont envisagés selon Veritas. En moyenne, les entreprises prévoient de dépenser plus de 1,3 millions d’euros. Mais selon Citrix, 1 entreprise sur 2 seulement a alloué une partie de son budget afin de se conformer à la nouvelle réglementation.
