Rawpixel - Fotolia

RGPD : les entreprises françaises ont un niveau de maturité faible et irrégulier (enquête)

Une enquête conduite auprès des acteurs du marché de l’IT montre un niveau d’information globalement faible des entreprises françaises qui, pour certaines, se pensent à l’abri d’une mise en conformité. Les grandes entreprises et le e-commerce ont une longueur d’avance sur la question.

« Intérêt grandissant », « effervescence » ou bien « faible prise de conscience » voire « simple prise de connaissance »… Lorsqu’on évoque l’impact du Règlement Européen sur la Protection des Données (RGPD – GDPR en anglais) sur les entreprises françaises, et leur capacité à se mettre en conformité, il est évident que pour la grande majorité, elles ne font aujourd’hui que caresser le problème.

Pourtant les enjeux sont ici importants pour toutes les entreprises, et surtout celles supportant un modèle économique bâti sur la donnée en Europe. Directement applicable dès le 25  mai 2018, ce règlement européen, dont les contours réglementaires sont désormais clairement dessinés par la CNIL, comporte un certain nombre de risques qu’il convient de connaître au préalable. Au risque de s’exposer à des sanctions  pouvant aller jusqu’à 4% du CA ou 20 millions d’euros.

L’enjeu est donc de taille, mais les niveaux de prise de conscience et de plan d’action varient, résument en substance les différents éditeurs et fournisseurs que nous avons pu interroger. Chacun ayant un pied dans la mise à disposition de technologies permettant d’atteindre tout ou partie de cette précieuse conformité RGPD. Mais qu’en est-il réellement ?

Un angle centré sur la seule protection des données

« Certaines entreprises ont pris connaissance du sujet, voire analysé les impacts juridiques et en termes de responsabilité. D’autres ont engagé un diagnostic ou encore désigné le responsable de la protection des données (puisque la réglementation l’impose). Mais très peu ont engagé la dimension SI du projet avec une analyse d’impact sur leur système d’information ou un plan d’action sur la manière dont elles doivent orchestrer la gouvernance des données », explique Jean-Michel Franco, Directeur Marketing Produit, Data Governance, chez Talend. Et pour lui, « beaucoup d’entreprises se focalisent sur les seuls aspects liés à la sécurité et la localisation des données », oubliant au passage « la nécessaire mise en œuvre de dispositifs pour obtenir une vue à 360° des données d’identité de leurs clients et employés », ainsi que le partage de ces mêmes données « en toute transparence avec les personnes concernées ». « Enfin, très peu ont identifié les différents chantiers à mettre en œuvre pour le respect de la réglementation et leurs échéances (gestion du consentement, portabilité des données, droit à l’oubli…) », ajoute-t-il.

On retrouve cette perception chez Ikoula, via la voie du CEO et co-fondateur de ce spécialiste français du Cloud, Jules-Henri Gavetti : « Les entreprises françaises ne sont pas encore conscientes de la largeur de l’impact que la GDPR aura sur leur business. En effet, elles sont plutôt concentrées sur la protection de leurs données critiques que sur la mise en conformité des processus de stockage et de traitement des données de leurs clients ».

Des départements juridiques en effervescence

Plus nuancé, Eliott Mourier, Ph.D. Docteur en Science Politique et Responsable de l’offre « Conformité GDPR »  chez Micropole, constate de son côté une « effervescence depuis le début d’année sur la GDPR dans les services juridiques, départements de conformité et IT (principalement le RSSI) des entreprises ». Et selon lui, ce qui aurait surtout attiré l’attention des entreprises françaises est la mise en place d’un DPO (Data Privacy Officer), une mesure clé du règlement qui demeure toutefois « une des exigences du texte la moins complexe à mettre en place ». Mais globalement, note-t-il,  « force est de constater que le niveau d’information dans les entreprises reste assez faible », et que « la plupart des entreprises n’ont pas encore engagé la transformation de leur SI qu’induit la GDRP ».

Des niveaux de maturité disparates

Evidemment, les modèles organisationnels et la taille des entreprises sont un critère déterminant, tant au niveau du degré d’informations  que sur la mise en place de plan d’actions pour devenir conforme. Ainsi, alors que les grandes entreprises, qui disposent de départements juridiques en interne, ont déjà initié des actions pour analyser et comprendre les changements qu’elle apporte par rapport aux anciennes régulations locales, affirme de son côté Ghaleb Zekri, NSX Senior Systems Engineer, EMEA chez VMware, « la majorité des petites et moyennes entreprises sont encore dans leurs premières étapes d’étude de la régulation avec un besoin fort de comprendre chaque prérequis de la GDPR et son impact sur leur IT et leurs organisations ».

Pour Raphael Feddawi, responsable architecte avant- vente chez Antemeta, le niveau de maturité quant au règlement européen est aussi lié à une structure d’entreprise et au secteur d’activité.  « Nous ressentons un intérêt grandissant chez nos clients autour de GDPR. Les directions générales commencent à charger les DSI de piloter les projets techniques autour de GDPR », constate-t-il, citant « les sociétés ayant un rayonnement international », mais aussi les entreprises du e-commerce disposant d’importantes bases de données clients. Ces derniers font également preuve d’une bonne maturité car au-delà de l’amende qui peut être progressive dans un premier temps, c’est leur image de marque qui est en jeux dans des proportions supérieures au montant maximum de l’amende ».

Un changement de mode de réflexion

Mais finalement, il y a plus alarmant. Car ce manque d’information peut également avoir un effet plus dévastateur : de ne considérer ce règlement que sous l’angle sécurité de l’IT. « La raison est que jusque-là, ces entreprises ont été confrontés à des régulations qui instaurent des règles et des bonnes pratiques en termes d’architectures technologiques où des produits de sécurité aident à établir la conformité », constate Ghaleb Zekri (VMware). Or, « la GDPR est une régulation basée sur l’évaluation de risque et exige une protection des données personnelles par défaut et par design. Ce qui constitue un changement majeur dans le mode de réflexion sur comment les données sont traitées, stockées et échangées », avance-t-il. Comme « une mauvaise interprétation », en somme.

Un héritage de la conformité qui peut freiner

Du coup, il n’est pas surprenant de constater que parmi les sociétés qui ont commencé à prendre des mesures de conformité sont citées les grandes entreprises du CAC 40 ou FS 120 ainsi que les sociétés du e-commerce. Deux typologies d’entreprises qui se basent « sur les politiques et outils déjà mis en place en dehors du cadre réglementaire de GDPR », résume alors Raphael Feddawi (Antemeta). Des entreprises déjà éduquées et sensibilisées au problème donc.

Certes. Si cela a servi d’accélérateur de la conformité RGPD pour certains, pour d’autres, ce « legacy » en termes de conformité, et l’ensemble des procédures déjà en place pour s’aligner sur les lois françaises, jette un flou artistique, entretenu par un manque certain d’informations. « Le manque de connaissances des entreprises à ce sujet les empêche de mesurer l’importance du périmètre d’action. Elles ont le sentiment d’être déjà en conformité puisqu’elles le sont avec la réglementation française en vigueur. Or, il existe un véritable écart entre la législation actuelle et la GDPR, et une bonne préparation interne va se révéler nécessaire pour que la mise en conformité des entreprises se passe le mieux possible », note Jules-Henri Gavetti (Ikoula).

Le Royaume-Uni et l’Europe du nord plus avancés

Alors faut-il s’alarmer du niveau de maturité faible des entreprises françaises face à ce règlement ? Réponse par la géographie : globalement, la France est en retard par rapport à ses voisins européens qui ont déjà pris les devants. Et tous s’accordent sur un point : le Royaume-Uni et les pays d’Europe du Nord font partie des pays les plus matures. « Le Royaume-Uni, malgré le Brexit, est le pays qui a pris le plus conscience de l’enjeu et de l’urgence à avancer sur le sujet », souligne Jean-Michel Franco (Talend).

Mais globalement, l’influence anglo-saxonne constitue ici un point clé. « Les entreprises européennes d’influence anglo-saxonne et les établissements bancaires (ou assimilés) ont un niveau de maturité assez élevé. L’enjeu pour eux et surtout de transposer dans leur politique la terminologie GDPR aux normes et politiques déjà en place », lance Raphael Feddawi (Antemeta).

Un point sur lequel semble également d’accorder Eliott Mourier (Micropole) pour qui « nous remarquons des niveaux de maturité plus élevés en Europe du Nord que dans les pays latins puisque les entreprises y ont déjà effectué certains des diagnostics avancés que nécessite la DGPR pour sa mise en conformité ».

 

Pour approfondir sur Réglementations et Souveraineté