La grande enquête GDPR: les entreprises risquent de manquer la date-butoir

D’ici le 25 mai 2018, toute entreprise qui traite des données à caractère personnel devra se conformer au Règlement Général sur la Protection des Données (RGPD/GDPR). Or il semble bien que de très nombreuses entreprises belges ne respecteront pas ce délai, comme il ressort d’une enquête menée par Data News et IRIS.

Depuis l’approbation par l’Europe du RGPD fin 2015, on a sans doute vu beaucoup plus d’encre couler, nettement plus de livres blancs paraître et quantité de présentations PowerPoint être faites que pour le fameux bug du millénaire. Tout comme le Y2K a représenté une lourde épée de Damoclès au-dessus des entreprises IT, des consultants n’hésitent pas aujourd’hui à profiter de la méconnaissance du sujet auprès des entreprises. Et comme ce fut le cas pour l’An 2000, d’aucuns suscitent inutilement un sentiment de panique pour ensuite se voir confier des missions à prix d’or. Reste que la comparaison s’arrête là puisque le RGPD n’est aucunement lié à une erreur de logiciel, mais concerne une législation nouvelle – ou plutôt adaptée. Il n’empêche que ne rien faire n’est nullement une option.

Le Règlement Général sur la Protection des Données (RGPD) est fondamentalement une mise à jour d’une ancienne législation européenne datant de 1995. Le nouveau RGPD entend d’une part moderniser et actualiser les règles relatives à la protection des données en fonction de la réalité moderne du cloud et des médias sociaux et, d’autre part, harmoniser la législation dans les différents pays de l’Union européenne.

A partir du 25 mai, un seul et même cadre légal s’appliquera dans l’ensemble de l’UE, cadre auquel les Etats-membres devront satisfaire. L’ensemble des organismes publics et entreprises qui traitent des données personnelles en Europe tombent sous le coup du RGPD.

Où en est la Belgique ?

Dans la foulée de l’échéance du 25 mai prochain, Data News s’est associé à IRIS pour faire un état des lieux de la situation : où en sont les entreprises belges dans leur préparation ? A la question ‘Votre entreprise a-t-elle déjà pris des mesures concrètes dans le cadre du RGPD ? ‘, une majorité le confirme heureusement. 35,5 % précisent que de premières mesures ont été prises, tandis que 23,4 % affirment être déjà bien avancés. Mais à peine 5,5 % des répondants considèrent qu’ils sont d’ores et déjà prêts pour le RGPD. Il s’agit en l’occurrence surtout de grandes entreprises qui ont entamé depuis pas mal de temps déjà leurs travaux préparatoires. C’est ainsi que nous avons notamment entendu parler d’une grande banque belge qui se dit déjà totalement ‘RGPD ready’, mais qui commencé voici 2,5 ans déjà ses premiers préparatifs.

Fait inquiétant toutefois, le fait que près de 19 % précisent – à 4 mois à peine de l’échéance – devoir encore commencer la mise en oeuvre de mesures concrètes. Et sans doute plus inquiétant encore, 7,5 % prétendent que ‘Non, ce n’est pas nécessaire pour notre entreprise’. Pourtant, il y a de très fortes chances que le RGPD ait également un impact sur ce type d’entreprises, sachant qu’elles traitent sans doute aussi des données personnelles. Par données personnelles, l’Europe entend toute donnée permettant d’identifier une personne, une notion susceptible d’être interprétée largement. Songez par exemple à des adresses IP, des noms d’utilisateurs, des logins et même des tweets.

Une ventilation par nombre de collaborateurs fait apparaître une scission claire. Dans les grandes entreprises (+ de 500 personnes), presque aucun répondant n’indique que son entreprise n’a encore pris aucune mesure. Dans les moyennes entreprises (50 à 500 personnes), ce nombre est de près de 18 % et dans les petites entreprises (moins de 50 personnes), il s’agit de pas moins de 34,5 %. Globalement, 15 % des PME se disent ‘à un stade très avancé’. En d’autres termes, ce sont surtout les PME qui peinent dans l’exécution du RGPD.

Presque personne ne fait tout en interne

Dans de nombreuses organisations, le concept de RGPD s’est d’abord imposé dans le juridique ou les RH avant de s’étendre au comité de direction et à l’IT. Voilà ce qui apparaît dans les réponses à la question ‘Votre entreprise a-t-elle demandé conseil en matière de RGPD ? ‘ 4 entreprises sur 10 ont demandé des conseils juridiques et 36,5 % des conseils techniques. Par ailleurs, 11 % se sont demandées si elles étaient concernées par la législation et ont demandé conseil à ce propos. Seuls 16 % des répondants affirment disposer en interne de connaissances suffisantes en matière de RGPD. Cela signifie que les consultants font de bonnes affaires, surtout dans les domaines juridique et technique. La sécurité et la vie privée sont certes quelque peu oubliés : 14,4 % ont commandité un audit de sécurité et 12,3 % un audit d’information. Etant donné qu’il s’agit au final de prendre en compte des données sensibles en termes de vie privée, on aurait pu supposer qu’un plus grand nombre d’entreprises aurait demandé un audit à ce niveau.

” Dans l’ensemble, il m’apparaît clairement qu’il existe par ailleurs toujours un besoin de sensibilisation, estime Rick Gruijters, Director Business Strategy EIM chez IRIS Professional Solutions, spécialisée en gestion de l’information d’entreprise. Dans plus de 80 % des organisations de plus de 500 personnes, tout le monde dans l’entreprise n’est pas au courant. Et ce que je trouve encore plus alarmant dans les résultats : près de 1 direction sur 4 (23%) dans les grandes organisations de plus de 500 personnes ne prend pas au sérieux les risques liés au RGPD. ”

Où se trouvent les données personnelles ?

‘Savez-vous où sont stockées les données personnelles que traite votre entreprise ? ‘ Pour une grande part, celles-ci se trouvent – évidemment – dans un progiciel ERP, des solutions CRM et d’autres applications d’entreprise : une réponse logique avec 57,1 %. La première réponse est cependant, avec 64,5 %, ‘dans le réseau de l’entreprise’. De même, les serveurs mail et le cloud figurent en bonne place (43,9 % et 37,6%), ce qui ne constitue pas une surprise. ” Reste évidemment à voir ce que l’on entend par cloud, fait remarquer Rick Gruijters. Un cloud privé peut parfaitement être sécurisé, mais pour un compte Dropbox, c’est une autre paire de manches. Tout ce qui est stocké dans Dropbox est la propriété de Dropbox. Est-ce vraiment ce que l’on veut ? Et les CIO en ont-ils conscience ? ” Les appareils mobiles (laptop, tablette, téléphone) et les clés de stockage USB semblent par ailleurs sous-représentés dans les réponses, avec respectivement 20,6 % et 12,9 %. ” Quand bien même il s’agit d’une représentation fidèle de la réalité, c’est suffisant pour en tenir compte en tant qu’entreprise. Et si je mets ces chiffres en corrélation avec ceux des politiques de sécurité relatives à ces supports, cela m’inquiète “, poursuit Gruijters.

Dans la moitié environ des entreprises interrogées, une politique est en place en matière de sécurité et de conformité des données personnelles sur les appareils mobiles. Au niveau des clés USB et des dispositifs de stockage externes, il s’agit de 44 %. Voilà qui apparaît comme un risque inacceptable, surtout lorsque l’on sait qu’il s’agit là des principales causes de pertes de données. La première réponse (44,7%) est ‘des collaborateurs négligents’. Si l’on y ajoute la ‘perte physique de données’ (USB, disque dur) (28,9%), on voit où le bât blesse. ” Vous avez beau bétonner votre infrastructure et vos services cloud, si un collaborateur part avec des données, votre entreprise se retrouvera toujours fragilisée. Au final pour moi, l’utilisateur s’en fiche bien de l’endroit où il stocke ses données personnelles. La question est pour l’entreprise de savoir où se trouve l’ensemble des données personnelles, avant de prendre ensuite les mesures nécessaires pour limiter les risques “, insiste Gruijters.

42,4 % de tous les répondants affirment que l’entreprise dans laquelle ils travaillent a procédé à une cartographie des données personnelles gérées, de la provenance de ces données ainsi que des entités avec lesquelles ces données ont été ou sont partagées. Par ailleurs, 19,8 % indiquent que cette cartographie ne concerne que certains départements. Reste 5,1 % qui n’ont encore rien fait et n’en ont pas vraiment l’intention, de même qu’environ 30 % qui concèdent n’avoir encore aucune cartographie.

” Comme je le disais, la prise de conscience reste un problème. Certes, il faut aussi prendre en compte le support limité de la direction ou les contraintes budgétaires. Pourtant, c’est un peu à tort, car il aurait été possible entre-temps de cartographier ces données en partie automatiquement. Les CIO le savent bien. Pourtant, j’entends toujours dire que les données personnelles, et plus spécifiquement les ‘dark data’ sont leur pire cauchemar. ” Ces ‘dark data’ sont un terme imaginé par Gartner pour évoquer les fichiers et données ‘oubliés’ et qui sont stockés un peu partout dans l’organisation, mais dont personne ne sait qu’ils existent encore.

” Or cette situation existe partout et tout le temps. Notamment les RH qui collectent des CV destinés au business. Il ne faut pas longtemps avant que des copies ne circulent, lesquelles sont ensuite oubliées par tout le monde “, croit encore savoir Gruijters. Ce qui prouve bien la nécessité d’une cartographie de l’ensemble des données personnelles car qui ne cherche pas, ne trouve forcément pas. ”

Les entreprises voient la nécessité

Avec le RGPD, l’Europe entend donc rendre le traitement de données plus transparent à l’échelle internationale, tout en donnant au citoyen davantage de contrôle sur l’utilisation de ses données personnelles. En effet, les organisations sont tenues selon le RGPD d’informer les citoyens sur leurs données personnelles. Or la moitié des répondants (48,2%) ne le fait pas encore aujourd’hui.

Néanmoins, une majorité écrasante est convaincue que l’entrée en vigueur du RGPD est une bonne chose pour le consommateur (87,6%). Quant à savoir si ce règlement permettra de diminuer le nombre de fuites de données, la réponse est moins tranchée puisque 60,6 % se disent convaincus. Elément encourageant : trois quarts des grandes entreprises (>500 personnes) estiment que l’introduction du RGPD est également une bonne chose pour l’entreprise elle-même. Il semble donc que les entreprises aient le sentiment que les choses devaient évoluer dans la manière dont les données personnelles sont traitées, même si cela implique pas mal d’efforts supplémentaires pour ces entreprises.

58 % des grandes entreprises évoquent des ‘efforts importants’. Dans les entreprises de taille moyenne, il s’agit de 40,7 % et dans les petites 32 %. Plus l’entreprise est petite, plus il y a de chances que l’ensemble des mesures soit exécuté totalement en interne. Dans les grandes entreprises, 42,3 % font appel à un ou plusieurs partenaires externes pour l’ensemble de ce travail de conformité au RGPD.

Data Protection Officer

Dans le cadre de l’introduction du RGPD, de très nombreuses (grandes) entreprises vont devoir désigner un délégué à la protection des données (DPO). Il s’agit en l’occurrence d’organisations qui traitent des données ‘particulières’ comme des données criminelles, des préférences politiques ou des convictions religieuses. Notre enquête révèle que 4 répondants sur 10 précisent avoir déjà un DPO ou prévoient de le désigner. Ce DPO peut être nommé en interne ou recruté à l’extérieur.

Cela étant, la liste des mesures que les entreprises ont prises ou doivent prendre est particulièrement longue : adaptation de la politique de sécurité et de vie privée, refonte des processus internes, mise sur pied de formations et d’une communication internes, ajustements techniques des logiciels, alignement avec les fournisseurs, standardisation des processus, etc.

Les accords sectoriels en matière de RGPD apparaissent comme un frein au travail d’implémentation. Le secrétaire d’Etat à la vie privée, Philippe De Backer (Open VLD), confiait encore fin novembre à Data News qu’il estimait que la Commission Vie privée devait encore s’activer pour apporter toute la clarté nécessaire. Les résultats de notre enquête semblent lui donner raison : 38,2 % estiment que de nombreuses dispositions du RGPD doivent encore être clarifiées pour le secteur dans lequel elles opèrent.

Nos entreprises seront-elles prêtes ?

Reste évidemment cette question clé : nos entreprises seront-elles vraiment prêtes à l’échéance du 25 mai ? D’abord, la bonne nouvelle : près d’un quart (24,8%) de nos entreprises répond par ‘oui, certainement’. Par ailleurs, 46,2 % s’en tiennent à un ‘oui, probablement’. Reste néanmoins un tiers de l’ensemble des répondants qui ne sera (sans doute) pas (totalement) prêt : 7,6 % le sait d’ores et déjà (‘non, certainement pas’) et 21,4 % le présume (‘non, probablement pas’).

S’agit-il là d’un bon résultat ? ” Certes, j’estime que le nombre d’entreprises qui seront prêtes est assez élevé, ce qui est encourageant “, confie toujours Rick Gruijters.

L’Autorité de Protection des Données (APD) – le nouveau nom de la Commission Vie privée restructurée – recevra en tout cas suffisamment de pouvoirs pour imposer le respect du RGPD, avait indiqué récemment à Data News le secrétaire d’Etat compétent, Philippe De Backer. ” L’Autorité de Protection des Données se verra également attribuer des compétences en matière de sanction et de répression, de même qu’elle pourra notamment mener des audits auprès d’entreprises. La compétence en matière de sanctions reviendra sans doute à des personnes issues de la magistrature. Rien d’étonnant à cela, dans la mesure où de nombreux magistrats siègent déjà à la Commission actuelle. Reste que l’accent sera surtout mis sur la prévention et la sensibilisation. ”

” Reste à présent à voir surtout si les autorités contrôleront d’emblée et imposeront des amendes aux auteurs d’infractions. Plus les sanctions seront sévères, plus il deviendra urgent pour les retardataires de se mettre en règle “, conclut Gruijters.