RGPD : les chantiers ne font vraiment que commencer
L’impréparation semble encore dominer dans de nombreuses organisations. De quoi souligner que l’entrée en application du texte européen marquera souvent plus un début qu’une fin.
La multiplication des courriels liés à l’entrée en vigueur toute prochaine du règlement général de protection des données (RGPD) dans les boîtes aux lettres des internautes européens peut donner l’impression d’une vaste préparation des organisations traitant des données concernées par cette nouvelle législation. Mais il semble que cela ne soit qu’une illusion.
Ainsi, selon un sondage réalisé réalisé par la Cloud Security Alliance pour Netskope, en début d’année, auprès d’un peu plus d’un millier de professionnels, 83 % des entreprises à travers le monde ne s’estiment pas bien préparées à l’entrée en vigueur du RGPD. Pour autant, 71 % des sondés se disent confiants dans la capacité leurs entreprises à entrer en conformité. D’ailleurs, si plus de 10 % des organisations représentées n’ont pas encore défini de plan pour cela, 31 % disposent d’une stratégie totalement structurée en ce sens, 85 % ont mis en place un dispositif ad hoc, et 73 % ont commencé à le mettre en œuvre.
Les principales difficultés à laquelle déclarent se heurter les sondés ? Cela commence par la gestion du droit à l’oubli. Et cela n’a rien d’une surprise : encore faut-il pouvoir retrouver toutes les données relatives à une personne pour lui permettre d’exercer ce droit et, l’an dernier déjà, une étude Vanson Bourne pour Varonis soulignait déjà la difficulté de la tâche.
Après avoir sondé les représentants de 183 entreprises dans le monde, SAS ne dit pas autre chose : pour l’éditeur, le premier défi est bien l’identification de l’ensemble des données personnelles stockées. Vient ensuite l’acquisition des compétences nécessaires à la mise en conformité. Mais la volonté apparaît toutefois bien présente. Ainsi, 58 % des entreprises représentées mettent actuellement en œuvre un plan de mise en conformité structuré, et 35 % prévoient de le faire.
Mais l’impréparation continue de dominer. Ainsi, selon SAS, à peine 30 % des entreprises aux Etats-Unis pensent pouvoir être prêtes pour le 25 mai. C’est mieux en Europe, mais loin d’être glorieux : seulement 53 % des entreprises se déclarent préparées pour cette situation.
Là encore, cela n’est pas vraiment une surprise. Lors d’une conférence thématique du Club de la sécurité de l’information français (Clusif) dédiée au sujet, fin avril, Gilles Garner, de Harmonie Technologie, estimait qu’il y a autant de situations que d’entreprises : « on découvre trop souvent aujourd’hui qu’il y avait une loi qui existait depuis 40 ans ; le RGPD sert de réveil ». Et s’il souligne que beaucoup d’entreprises « étaient très matures dans ce domaine », « les petites entreprises découvrent parfois, au travers de leurs gros clients, les choses qu’elles doivent mettre en place pour continuer à travailler avec eux ».
La bonne nouvelle est que le règlement semble perçu par une majorité comme une opportunité : 68 % des sondés de l’étude SAS estiment ainsi que le RGPD renforcera la confiance des clients.
Fin mars, une étude Ifop pour SendinBlue allait d’ailleurs dans ce sens. Si 63 % des consommateurs sondés se disaient peu convaincus de l’impact potentiel du RGPD sur la protection effective de leurs données, ils n’en sont pas moins 77 % à estimer que les efforts de transparence induits par le RGPD joueront un rôle dans leurs critères d’achat.