Dans la 8e édition de son observatoire trimestriel, l’AFCDP, l’association représentative de DPO (Data Protection Officer) en France, plus d’un tiers des délégués à la protection de la vie privée n’en sont qu’au seul stade de l’étude de la directive NIS2 qui vise à harmoniser et à renforcer la cybersécurité du marché européen. Pourtant, elle rentrera en vigueur en France au deuxième semestre 2024 au plus tard.
Les données des organisation bien protégées ? Des DPO moins confiants
Les données des organisations sont-elles bien protégées ? De plus en plus de DPO (53 % vs 41 % fin janvier 2023) considèrent qu’il y a encore du chemin à parcourir. Est-ce le contexte économico-socio-politique tendu qui influe sur le sentiment des DPO en ce début 2023 ?, s’interroge l’AFCDP. L’organisation relève que ce n’est visiblement pas les réglementations changeantes (DMA, DSA, DA, Privacy Shield, Cookies Wall, etc.) qui perturbent les stratégies de protection des données personnelles mises en place, alors que seuls 10 % des répondants (vs 18 % fin janvier 2023) les considèrent comme responsables.
« L’AFCDP constate une baisse du sentiment de confiance des DPO qui traduit peut-être une certaine inquiétude de ces professionnels face au contexte actuel. Les professionnels de la protection des données sont confrontés à des défis majeurs, comme les applications d’intelligence artificielle dans les métiers pour rester compétitifs, les challenges socio-économiques, etc. Ces priorités peuvent mettre au second plan parfois, comme lors du Covid, les enjeux de protection des données personnelles », commente Paul-Olivier Gibert.
8 % des DPO élaborent un PIMS
Quasiment la moitié des DPO répondants (49 %) avoue ne pas être familière du PIMS, le « Système de Management de la Vie privée ». Pour rappel, la norme ISO/IEC 27701 a été publiée en août 2019. Première norme internationale qui traite du management de la protection de la vie privée, son objectif est d’aider les organismes à établir, à tenir à jour et à améliorer continuellement un système de management en matière de protection de la vie privée (SMVP) en améliorant le SMSI (Système de Management de la Sécurité de l’Information) existant, conformément aux exigences de la norme ISO/IEC 27001 et aux orientations de la norme ISO/IEC 27002. Il peut être utilisé par tous les types d’organismes, quels que soient leur taille, leur complexité ou le pays dans lequel ils opèrent. Aujourd’hui, seuls 8 % des DPO répondants sont en cours d’élaboration d’un PIMS, et 25 % disent ne pas avoir encore assez de recul sur cette norme.
NIS2 : plus d’un tiers au seul stade de l’étude
Les députés européens ont voté le 10 novembre 2022 la directive NIS2 qui vise à harmoniser et à renforcer la cybersécurité du marché européen. Elle rentrera en vigueur en France au deuxième semestre 2024, au plus tard. De nombreuses entreprises et administrations françaises seront soumises à cette nouvelle réglementation, depuis les PME jusqu’aux grands groupes du CAC 40, en passant par les administrations et certaines collectivités territoriales.
Les professionnels de la protection des données personnelles répondants sont, pour plus d’un tiers (38 %), au stade de l’étude des conséquences de cette directive toute récente, contre un tiers qui ne se prononce pas encore aujourd’hui. A noter que 8 % des répondants sont déjà en train de se mettre en conformité, et 20 % déclarent ne pas être concernés.
« Il faut noter que NIS2 semble se rapprocher des mécanismes du RGPD. Il est donc préférable de se pencher sur les impacts au sein de son organisation, car les sanctions prévues, selon les infractions, seront calculées selon son chiffre d’affaires », conseille Paul-Olivier Gibert.