Octavus - Fotolia
RGPD : l’impréparation domine largement
Les études se suivent et se ressemblent. Elles soulignent les difficultés des entreprises à se préparer à l'entrée en vigueur du règlement européen de protection des données. Et le premier des défis semble être leur dispersion.
Les études se succèdent et confirment une situation préoccupante à moins d’un an de l’entrée en vigueur du nouveau règlement européen sur la protection des données personnelles (RGPD).
Selon une étude publiée par Compuware mi-mai, 67 % des entreprises européennes se disent bien informées, un chiffre qui monte à 87 % pour les entreprises françaises. Ces chiffres sont à comparer, sans ironie, aux 82 % d’entreprises américaines dans la même situation (88 % des 94 % de celles qui traitent des données de clients européens).
Pour autant, la préparation apparaît loin d’être au rendez-vous. Seulement 38 % des 400 DSI sondés par Vanson Bourne pour cette étude auraient déjà mis en place un plan complet de conformité avec le RGPD. Ce chiffre est de 43 % en France. Il est à comparer, encore une fois sans ironie, avec 60 % des entreprises américaines concernées.
Pas une priorité ?
Varonis présente le sujet sous un autre angle, complémentaire, mais pas plus rassurant. 42 % des entreprises (sur 500 représentées entre Allemagne, Amérique du Nord, France et Royaume-Uni) ne considèrent pas le sujet comme une priorité.
Mais une chose est sûr : la conscience des difficultés est bien là. Selon cette seconde étude, 74 % des entreprises françaises s’attendent à rencontrer des obstacles. Il faut dire que 69 % de celles qui ont déjà réalisé une étude d’impact (58 % du lot) ont identifié au moins un cas d’accès trop permissif aux données.
A l’issue d’une étude conduite par l’Institut Ponemon auprès de 4 000 professionnels à travers le monde, Citrix souligne les questions d’infrastructure : 52 % des répondants ne pensent pas que leur infrastructure de sécurité facilite la conformité ni l’application de la réglementation. En cause un manque d'approche centralisée du contrôle, du suivi et du reporting des données.
Pour Varonis, Vanson Bourne est plus précis : les difficultés se concentrent sur la localisation des données clients tout au sein de l’infrastructure. Ainsi, 55 % des sondés indiquent peiner à localiser et à cibler précisément les données à supprimer dans le cadre de l’article 17 du RGPD, portant sur le droit à l’oubli.
Mais ce n’est pas tout : 52 % des sondés indiquent en outre éprouver des difficultés - non seulement à localiser les informations d’identification personnelle sur le réseau - mais également à déterminer les droits d’accès les concernant ou encore à compter de quand elles peuvent ou doivent être détruites.
A cela s'ajoute que la moitié de sondés indique avoir des difficultés à mettre en œuvre une gestion des droits d’accès basée sur le principe du moindre privilège.
L’étude réalisée pour Compuware le résume assez bien : 75 % des entreprises interrogées estiment que la complexité des systèmes d’information modernes « ne leur permet toujours pas de savoir où résident les données clients ». Et elles ne sont que 53 % à s’assurer capables de localiser rapidement la totalité des données se rapportant à une même personne. Certains experts ne manqueront pas de trouver ce chiffre quelque peu élevés.