iStock
RGPD : le début d’une longue marche
Plusieurs études conduites avant l’été mettent en évidence une conformité loin d’être aboutie. Le signe que d’importants travaux doivent être menés dans les entreprises.
Mi-mai, à quelques jours de l’entrée en vigueur du règlement européen sur la protection des données (RGPD, ou GDPR pour les anglophones), les chantiers de mise en conformité des organisations n’apparaissent guère plus que démarrés. Quelques mois plus tard, la situation ne semble guère meilleure.
Mi-juillet, le cabinet Wavestone partageait un premier constat, à partir de l’étude de 37 entreprises « dont les services sont régulièrement utilisés par le grand public ». A cette date, 46 % d’entre elles n’avaient pas encore communiqué sur le RGPD. Certes, près de la totalité des entreprises examinées avait mis à jour sa charte de protection des données personnelles. Mais le volet sécurité de ces données n’était abordé que dans 11 % des chartes. Surtout, indiquait le cabinet, « certaines chartes restent très génériques et n’apportent pas de précisions sur les traitements réalisés, les acteurs qui trient les données, les tiers à qui elles sont transférées, les durées de conservation des données » ou encore les droits exerçables. Celles qui apportent des réponses complètes et concrètes à toutes ces questions restaient alors « plus rares ». Le constat était alors simple : « un grand nombre de ces chartes devra être amélioré ».
Et puis, si une large majorité des entreprises étudiées disposait sur son site d’un espace dédié aux données personnelles, « permettant de gérer à minima le consentement sur la communication commerciale », seulement 20 % étaient allées plus loin avec la « mise en place d’un espace en ligne dédié à la gestion des données à caractère personnel ».
L’approche de la question des cookies n’était pas moins hétérogène, avec 49 % des sites de ces entreprises informant sur leur existence, mais sans possibilité d’intervenir ou encore 3 % sans la moindre information relative au sujet. Pire encore, 22 % des entreprises ne permettaient d’exercer le droit d’accès que par voie postale.
Et le traitement des demandes n’était pas meilleur : 28 % des entreprises ne réagissaient pas, et 69 % n’envoyaient pas les données à caractères personnel dans un délai d’un mois à compter de la demande. L’éventail des moyens utilisés pour adresser les données aux demandeurs apparaissait extraordinairement varié, sans compter la qualité et l’étendue de celles-ci. La conclusion de Wavestone était sans appel : « le marché n’est pas prêt ».
Et ce constat n’était pas exclusif au cabinet. A la même période, une étude de Gemalto relevait que 82 % des entreprises peinaient à se conformer au RGPD. Et pour cause : elles n’étaient que 54 % à déclarer savoir où sont stockées toutes leurs données sensibles ; seulement 28 % des entreprises françaises indiquaient alors parvenir à « analyser efficacement toutes les données sur les consommateurs qu’elles stockent ».
Publiés dans le courant de l’été, les résultats d’un sondage conduit par Imperva sur Infosecurity Europe, qui s’est déroulé en juin à Londres, ne donnent pas une photographie plus rassurante : plus d’un tiers des sondés reconnaissaient ne pas savoir où se trouvent toutes les données. Toutefois, près de 90 % assuraient pouvoir répondre aisément à des demandes d’accès émanant de consommateurs.
Une étude conduite par Kaspersky auprès de plus de 5 800 entreprises de tailles variées à travers le monde ne dit pas autre chose. Près d’un tiers de ces entreprises indiquent être concernées par le RGPD car elles stockent des données personnelles de citoyens européens. Mais la variété des supports utilisés pour le stockage de ces données est impressionnante – à défaut d’être surprenante : postes de travail et terminaux mobiles de l’entreprise, serveurs physiques ou virtuels en local, cloud privé, cloud public, ordinateurs et appareils mobiles propriété des employés, ou encore applications SaaS.
Dans ce contexte, la protection des données ressort en première position des préoccupations des entreprises de plus de 50 collaborateurs, avec risque de perte / fuite de données induites par des attaques ciblées, exposition de systèmes internes, ou encore perte de supports physiques.
Surtout, 41 % des entreprises concernées par le RGPD reconnaissent n’avoir pas encore commencé à adresser au moins un volet de la préparation à la conformité. Plus préoccupant peut-être, 25 % des entreprises chinoises concernées estiment ne pas avoir à s’inquiéter du règlement européen, et même 18 % des russes.