Une proportion importante d’entreprises qui déclarent être prêtes au Règlement Général sur la Protection des Données (GDPR) ne le sont en fait pas du tout ou pas vraiment. C’est ce que montre une enquête menée à l’échelle mondiale que vient de publier Veritas Technologies.
Rappelons que la GDPR vise à harmoniser les mandats de confidentialité et de protection des données personnelles dans les états membres de l’Union Européenne (UE). Cela demande aux entreprises de mettre en œuvre des mesures et processus de protection appropriés pour gérer efficacement les données personnelles. GDPR prendra effet le 25 mai 2018 et s’appliquera à toutes les entreprises – faisant parties ou non de l’UE – offrant des biens ou services aux résidents de l’UE, ou contrôlant leur comportement.
Dans ce contexte, il y a les entreprises – les plus nombreuses – qui ne sont pas prêtes et pourtant l’heure presse car la date de mise en conformité est mai 2018. Il y a celles qui pensent être conformes et qui, au vu des réponses fournies à différentes questions montrent, qu’en fait, elles ne le sont pas. Ce qui est sans doute plus problématique.
En effet, près d’un tiers des répondants (31%) déclarent que leur entreprise est déjà conforme aux principales exigences de la réglementation. Cependant, une analyse croisée des réponses avec les dispositions de GDPR suggère que seulement 2% d’entre elles sont réellement prêtes, révélateur d’une certaine confusion du niveau de préparation.
« Pour ces entreprises, il est temps qu’elles sollicitent les bons conseils pour déterminer précisément leur niveau de préparation et pour les aider à établir une stratégie précise afin d’assurer leur conformité, commente Frédéric Viet, channel director West chez Veritas. Car un défaut de conformité pourrait bien mettre en péril la confiance des employés dans le cadre du « droit à l’oubli » mais aussi l’image de marque et à terme la pérennité des entreprises ».
Les résultats du rapport Veritas GDPR 2017 montrent que près de la moitié (48%) des entreprises qui pensent être conformes n’ont pas de visibilité totale sur les incidents de perte de données personnelles. De plus, 61% d’entre-elles admettent qu’il est difficile pour les entreprises d’identifier et de signaler une faille de données personnelles dans les 72 heures – une exigence fondamentale de la réglementation GDPR quand il y a un risque pour les individus concernés.
Toute entreprise incapable de signaler la perte ou le vol de données personnelles – telles que les dossiers médicaux, les adresses e-mail et les mots de passe – à l’organe de surveillance dans ce délai est en rupture avec cette exigence clé.
Les résultats de ce rapport suggèrent que les entreprises qui pensent être conformes au GDPR devraient revoir leurs stratégies de conformité. Une violation de cette clause peut conduire à une amende pouvant atteindre jusqu’à 4% du chiffre d’affaires annuel ou encore jusqu’à 20 millions d’euros, le montant le plus élevé étant retenu.
Figure 1 : « Dans quelle mesure est-il difficile pour votre entreprise d’identifier et de signaler une faille de données dans les 72 heures ? » Résultats des 279 répondants qui pensent que leur entreprise est déjà conforme à GDPR.
La menace des anciens employés
Limiter l’accès des anciens employés aux données de l’entreprise et supprimer leurs informations d’identification contribue à éviter les activités malveillantes, les pertes financières et les dommages causés à l’image de marque. Pourtant, 50% des entreprises qui se disent conformes déclarent que d’anciens employés ont toujours accès aux données internes. Ces résultats mettent en évidence que même les entreprises les plus confiantes luttent pour contrôler l’accès des anciens employés et leur potentielle prédisposition aux attaques.
Les obstacles dans l’exercice du « droit à l’oubli »
Dans le cadre de GDPR, les résidents de l’Union Européenne auront le droit de demander la suppression de toutes leurs données personnelles des bases de données d’une entreprise. Cependant, l’étude Veritas montre que de nombreuses entreprises ne seront pas en mesure de rechercher, localiser et supprimer des données personnelles dans le cadre de ce principe du droit à l’oubli.
Parmi les entreprises qui pensent être prêtes pour GDPR, un cinquième (18%) admettent que les données personnelles ne peuvent être supprimées ou modifiées. Et 13% d’entre elles affirment ne pas avoir les capacités de rechercher et d’analyser efficacement les données personnelles pour détecter à la fois des références explicites et implicites d’un individu. Elles ne seront également incapables de visualiser avec précision la localisation de ces données, car les sources et les dépôts de données ne sont pas clairement identifiés.
Ces défaillances rendraient une entreprise non conforme à GDPR. Les entreprises doivent s’assurer que les données personnelles ne sont utilisées que pour les raisons pour lesquelles elles ont été collectées et soient supprimées lorsqu’elles ne sont plus nécessaires.
Démystifier la responsabilité à GDPR
L’étude menée par Veritas montre également qu’il existe une confusion des entreprises concernant la responsabilité des données détenues dans les environnements cloud. Près de la moitié des entreprises (49%) qui pensent être conformes à la régulation GDPR considèrent que le fournisseur de services cloud (CSP) est l’unique responsable de la conformité des données stockées dans le cloud. Cependant, la responsabilité incombe aux contrôleurs des données (l’entreprise) de s’assurer que le processeur des données (CSP) fournit des garanties GDPR suffisantes. Ce sentiment illusoire de protection pourrait entraîner de graves répercussions dans le cadre de GDPR.