‘Nombre d’entreprises ne comprennent pas l’impact du GDPR’

Toute firme qui se fichera éperdument de la réglementation européenne sur le respect de la vie privée, peut s’attendre à se voir infliger de lourdes sanctions. D’une enquête réalisée par l’entreprise de sécurité Sophos, il apparaît que beaucoup de firmes ne savent pas ce que ces amendes impliquent exactement. Quasiment une sur cinq admet qu’en cas d’amende, l’entreprise ne devrait en tout cas pas fermer ses portes.

C’est le 25 mai 2018 qu’entrera en vigueur le règlement général sur la protection des données (General Data Protection Regulation ou GDPR). Les entreprises qui ne respecteront pas cette loi, risquent de se voir infliger de lourdes amendes allant jusqu’à vingt millions d’euros ou 4 pour cent de leur chiffre d’affaires mondial total. 54 pour cent des entreprises ne comprennent pas bien ce qu’impliquent ces amendes. Pratiquement une sur cinq (17 pour cent) admet qu’en cas d’amende, elle ne devrait en tout cas pas fermer ses portes. Cette proportion grimpe à 54 pour cent chez les petites entreprises occupant moins de 50 personnes. La fermeture d’entreprises ne serait cependant pas le seul effet, puisque 39 pour cent des décideurs IT indiquent que les amendes pourraient conduire à des licenciements au sein de leur firme.

Le GDPR ne semble pas être une top-priorité

Malgré cette préoccupation, seule une entreprise sur quatre au Benelux considère le GDPR comme une top-priorité. Quasiment une entreprise sur cinq au Benelux (18 pour cent) a déjà annoncé qu’elle suivrait le règlement. Voilà ce qui ressort d’une enquête effectuée par Sophos à propos de l’impact que le GDPR aura sur les entreprises actives en Grande-Bretagne, en France et au Benelux.

“Le fait de se conformer au GDPR représentera un processus de longue haleine. Si les instances en charge du règlement démontrent à partir de mai 2018 qu’elles sont prêtes à infliger des amendes maximales, les entreprises regretteront de ne pas s’y être préparées”, déclare John Shaw, VP Product Management chez Sophos. “Comme le délai est inférieur à un an, il faut que les top-priorités au niveau de la sécurité IT soient accordées à la réduction des principales causes des fuites de données, au piratage des ordinateurs/terminaux, à la perte d’appareils (GSM et ordinateurs portables), ainsi qu’à l’implémentation de la mise en conformité GDPR.”

Le droit à l’oubli

Les entreprises dans toute l’Europe doivent progressivement harmoniser leurs activités avec le GDPR. 42 pour cent d’entre elles pensent qu’elles y arriveront à coup sûr d’ici mai prochain. Mais pour beaucoup d’entre elles, il y a encore pas mal de pain sur la planche. Seuls 42 pour cent ont engagé un responsable de la protection des données, ce qui est nettement moins qu’attendu. Seuls 44 pour cent ont créé des procédures destinées à supprimer les données personnelles en cas d’une demande de ‘droit à l’oubli’ ou si quelqu’un s’oppose au traitement de ses données. Moins de la moitié est à même de révéler une perte de données dans les 72 heures suivant sa découverte, ce qui est pourtant un aspect essentiel du GDPR.

Les équipes IT sous forte pression

Dans 70 pour cent des entreprises, l’équipe IT ou le département de sécurité IT est responsable du respect du GDPR. Elément étonnant: l’enquête montre que seuls 4 pour cent des équipes juridiques et 13 pour cent des directeurs ou du senior management sont en charge de l’implémentation. Voilà qui met une forte pression sur les équipes IT. Nombre de décideurs IT citent le manque de prise de conscience comme principale raison de la non-introduction de certains protocoles.

La bonne nouvelle, c’est que 65 pour cent des organisations appliquent une politique de sécurisation des données et que 98 pour cent des organisations possèdent déjà ou vont implémenter un plan formel en la matière pour leur personnel.

Confusion entre Brexit et GDPR

Malgré le Brexit, la Grande-Bretagne devra encore et toujours se conformer pleinement au GDPR. De l’enquête de Sophos, il apparaît toutefois que beaucoup d’entreprises britanniques pensent que le Brexit implique qu’elles ne doivent pas le faire. Cette confusion pourrait faire en sorte que nombre d’entreprises britanniques ne respectent pas la date-butoir et fassent dès lors l’objet de solides amendes.

En collaboration avec Dutch IT-Channel.