Comment réagissent les entreprises face à la réforme du régime de protection des données de l’Union européenne, qui devrait être actée d’ici la fin de l’année ? Trend Micro, spécialiste de la sécurité, a mené une étude européenne avec le cabinet d’analyses Vanson Bourne. Son constat est alarmant.
La réforme de la législation européenne sur la protection des données a pour but de renforcer le contrôle des citoyens européens sur leurs données personnelles et d’accroître leur protection. En l’état actuel, le texte proposé par le Parlement prévoit notamment d’encadrer plus étroitement le transfert de données vers des pays tiers, de faciliter l’exercice du droit à l’effacement ou encore de mettre en place une procédure de demande de consentement explicite pour le traitement des données personnelles. Le Parlement européen a prévu de conclure un accord avant la fin 2014. Une fois la réforme adoptée, les entreprises ne disposent, a priori, que d’un délai de deux ans pour appliquer la loi. En cas de violation des règles, notamment lors d’une fuite de données, les entreprises risquent une amende pouvant aller jusqu’à 100 millions d’euros ou 5 % de leur chiffre d’affaires, selon le montant le plus élevé.
1/3 des responsables ne sont même pas au courant
Mais les responsables informatiques sont-ils bien au courant ? Las, il ressort de cette étude que les entreprises françaises sont vraiment mal informées. Plus d’un tiers (35 %) des répondants n’ont en effet même pas conscience qu’une réforme est en cours ! En outre, seuls 31 % des professionnels français interrogés savent qu’ils n’ont que 2 ans pour se mettre en conformité, tandis que 41 % n’en ont aucune idée ou pensent qu’ils disposeront de plus de temps. En ce qui concerne les sanctions, 69 % d’entre eux ne connaissent pas le montant prévu par le texte actuel, et 21 % ignorent que des sanctions seront appliquées. Pour plus de deux-tiers (67 %), la sanction actuelle de 5 % aurait pourtant un impact conséquent sur les activités de leur entreprise ! Par ailleurs, plus d’un tiers des répondants (37 %) n’a pas conscience que cette législation remplacera de facto la législation nationale. Est-ce dû au fait que seuls 35 % des responsables informatiques pensent que le texte actuel sera ratifié ?
« Les responsables informatiques, pourtant particulièrement concernés, semblent peu informés sur cette réforme, pourtant si près d’être adoptée », commente Loïc Guézo, Evangéliste Sécurité de l'Information pour l'Europe du Sud chez Trend Micro. « Toutes les entreprises traitant des données sont concernées, quelle que soit leur taille. Or, avec la montée du Big Data, les données sont au cœur d’un nombre croissant de projets clés pour le développement des entreprises. La problématique de la confidentialité des données ne doit donc plus être l’apanage du département informatique, elle doit être prise en compte au plus haut niveau de décision de l’entreprise. »
Une mise en conformité difficile
Si, en moyenne, les personnes interrogées estiment à 23 mois le temps nécessaire pour se mettre en conformité avec cette législation à venir, le chemin ne sera toutefois pas de tout repos. 86 % d’entre elles affirment ainsi que leur organisation devra prendre des mesures spécifiques. Une majorité (56 %) prévoit d’augmenter les budgets alloués à la sécurité informatique et près de la moitié (48 %), de renforcer la formation des collaborateurs en matière de protection des données. Ils sont également près d’un tiers à envisager de recruter un délégué à la protection des données – un dispositif qui sera rendu obligatoire pour certaines entreprises – et 27 % de faire appel à un tiers pour garantir la conformité.
Par ailleurs, 88 % des répondants considèrent que plusieurs défis importants devront être relevés. Une sécurité des données pas assez efficace (32 %) et des dispositifs de sécurité informatique insuffisants (27 %) sont les principaux enjeux qui ressortent. Arrivent ensuite, à égalité (24 %), des ressources trop limitées pour améliorer les processus existants et des collaborateurs pas suffisamment avertis. De plus, seules 18 % des personnes interrogées ont affirmé que leur entreprise informait systématiquement ses clients en cas de fuite de données, quand 21 % déclarent ne disposer d’aucune procédure prévue à cet effet au sein de leur organisation.
Des entreprises sceptiques
L’étude montre que la démarche de réforme entreprise par l’Union européenne est globalement plébiscitée : 68 % des répondants la considèrent nécessaire pour améliorer la protection des données et 52 % estiment que ses exigences sont réalistes. En revanche, les résultats montrent un certain scepticisme quant à l’efficacité du dispositif : près de la moitié (46 %) des professionnels interrogés considèrent ainsi qu’elle n’empêchera ni la collecte illégale de données par des organisations, ni la fuite de données de citoyens européens.
« Ces résultats doivent alerter les entreprises sur la nécessité de commencer à se préparer dès maintenant », ajoute Loïc Guézo. « Il s’agit d’un enjeu pour l’entreprise dans son ensemble : les sanctions proposées peuvent gravement impacter ses activités et les clients sont de plus en plus en demande de transparence. Il est ainsi urgent que chaque organisation évalue sa gestion des données afin d’anticiper au mieux les mesures qui devront être prises. »
Cliquez ici pour accéder à l’infographie du rapport