Après quatre années de travail, le règlement européen sur la protection des données (GDPR) a été officiellement adopté le 14 avril dernier. Pourtant bon nombre de DSI français ignore toujours l’existence de cette nouvelle réglementation.
Le GDPR (General Data Protection Regulation) entrera en vigueur en France en 2018 et sera applicable à toutes les entreprises européennes et non européennes fournissant des biens et services et détenant des informations personnelles de citoyens européens. Quel est le niveau de connaissance des entreprises ? Sont-elles conscientes des enjeux, de ce qu’elles encourent en cas de non-conformité et des politiques à mettre en place pour y remédier ? Une étude menée par Trend Micro en mars dernier montre que le chemin est encore long à parcourir. 31% des DSI français ignorent toujours l’existence de cette nouvelle réglementation Et 1 décideur sur 10 pense toujours que cette réforme ne s’applique pas à son organisation.
Parmi les DSI les mieux informés, la très grande majorité (90 %) connaît les conditions imposées par le GDPR. Cependant, quand un tiers d’entre eux pense avoir entre 6 à 12 mois pour s’y conformer, près de 7% pense plutôt avoir entre 2 et 3 ans pour le faire !
Si un peu moins de la moitié des DSI interrogés (44%) sont conscients que des sanctions leur seront appliquées en cas de non-respect, ils ignorent toutefois à quels types d’amendes ils devront faire face. 1 DSI sur 10 ignore l’existence même de sanctions applicables.
« Les entreprises surprises en situation de non-conformité s’exposent à une amende pouvant s’élever à 4% de leur chiffre d’affaires ou jusqu’à 20 millions d’euros* », rappelle Loïc Guézo, Stratégiste Cybersécurité Europe du Sud de Trend Micro. « Au vu de tels chiffres, Il est donc primordial que l’ensemble de l’organisation prenne conscience du défi que représente la confidentialité des données ».
Mise en conformité : vous avez dit DPO ?
Seule une petite proportion des DSI (5%) affirme ne pas connaître les étapes nécessaires pour se conformer à cette nouvelle directive. Mais 77 % ne sont pas conscients de devoir recruter un délégué à la protection des données ou DPO (Data Protection Officer).
En ce qui concerne la mise en conformité, 38 % des personnes interrogées pensent que le chef d’entreprise est responsable, quand 33 % estiment que la responsabilité incombe à l’ensemble de l’entreprise.
L’étude a également cherché à mettre en lumière les facteurs considérés comme des obstacles majeurs à la mise en conformité. Pour ¼ des personnes sondées, le premier facteur cité est le faible niveau de sécurisation des données. Suivent ensuite : le manque d’outils de sécurité performants (23%), les restrictions liées au système informatique (22%) et le manque de ressources financières (19%).
Sécurité informatique et protection des données
L’étude montre que le stockage des données reste un enjeu prioritaire pour les DSI. Ainsi, 60% d’entre eux souhaitent plus de transparence afin de pouvoir appréhender ce sujet de façon plus sereine.
Par ailleurs, 69% des sondés déclarent qu’un processus officiel a été mis en place au sein de leur entreprise afin que les autorités en charge de la protection des données soient informées dans les 72h suivant une faille. Dans cette optique et suite aux fuites de données de grande ampleur médiatisées, 87% des sondés avouent avoir revu leur stratégie de protection des données. Presque 50% d’entre eux ont ainsi mis en place de nouveaux processus.
Droit à l’oubli : une problématique adressée par 50 % des entreprises
En termes de « droit à l’oubli », la moitié des personnes interrogées considère que leur organisation a déployé les processus et technologies adéquats pour adresser cette problématique. Un chiffre en demi-teinte qui prouve qu’il reste encore beaucoup à faire pour assurer la protection des informations des individus. « Dans un contexte de multiplication et de sophistication des attaques, il est primordial que les DSI commencent dès aujourd’hui à mettre en place une stratégie de gestion des risques efficace et adaptée », explique Loïc Guézo. « Cette étude montre que la prise de conscience est bien réelle, mais qu’il reste cependant du chemin à parcourir ».
Selon le GDPR, le responsable de l’entreprise est tenu de garantir une sécurité optimale tenant compte des risques encourus et de la nature des données à protéger. Parmi les organisations en mesure d’assurer un tel niveau de sécurité, ¼ d’entre-elles estime que les solutions dans lesquelles elles investissent doivent être testées par des organismes indépendants comme NSS Labs ou AV Test. 20% considèrent qu’elles doivent être recommandées par des cabinets d’analystes tels que Gartner, IDC ou Forrester.
Réalisée en mars 2016 pour le compte de Trend Micro, cette étude a été menée par Opinium auprès de 100 décideurs informatiques français.
Plus d’actualité sur : L´accord “E.U.-U.S. Privacy Shield” à réviser à la lumière de l´avis du G 29
Et lire aussi : Nouveau règlement européen sur la protection des données : priorité au chiffrement, à l’authentification et aux contrôles d’accès