Rapport Européen sur la Confidentialité des Données
Les entreprises ne sont pas prêtes pour le RGPD (et ne le seront peut-être pas)
Les entreprises françaises, tout comme les allemandes et les britanniques, ont une compréhension partielle du Règlement Général sur la Protection des Données personnelles (RGPD). Les freins culturels et technologiques peuvent impacter négativement leurs revenus.
Symantec Corp. (NASDAQ: SYMC), leader mondial en cybersécurité, présente aujourd’hui les résultats de son « Rapport Européen sur la Confidentialité des Données », qui révèle que 96 % des entreprises françaises, allemandes et britanniques n’ont qu’une compréhension partielle du Règlement général sur la Protection des Données personnelles (RGPD).
Menées auprès des décideurs informatiques et des dirigeants de 900 entreprises en France, en Allemagne et au Royaume-Uni, l’étude montre notamment que 92 % des sociétés françaises sont inquiètes quant à leur capacité à être en conformité avec le RGPD. Seules 25 % d’entre elles considèrent cette conformité comme l’une des toutes premières priorités dans les deux années à venir, mais elles se montrent cependant plus confiantes que leurs homologues européens, puisque 32 % pensent être déjà prêtes, contre 26% dans les deux autres pays.
« Ces résultats montrent non seulement que les entreprises ne sont pas prêtes pour le RGPD, mais qu’elles ne prennent pas les mesures nécessaires à leur conformité », explique Laurent Lecroq, Directeur Général de Symantec en France. « Il y a une déconnexion évidente et significative entre l’importance que revêt la confidentialité et la sécurité des données pour les consommateurs, et la priorité des entreprises. Il reste certes quelques mois pour se préparer, mais le passage à l’action doit être rapide ».
Une méconnaissance de la règlementation
22 % des personnes interrogées en France (23 % dans les autres pays) pensent que leur entreprise ne sera soit pas du tout soit seulement partiellement en conformité avec le RGPD d’ici 2018. Parmi elles, seulement 22 % également estiment que cela est encore réalisable et 53 % que certains départements seulement seront prêts (contre 49 % en moyenne européenne). Ce manque d’assurance de respecter la date butoir de mai 2018 implique pour les entreprises un risque de s’exposer à de lourdes pénalités qui pourraient entraver leur activité et prospérité.
Déconnectées de leurs clients
Alors que les entreprises doivent se conformer aux obligations du RGPD, elles s’avèrent ne pas être en phase avec les attentes de leurs clients, lorsqu’il s’agit de sécurité et de confidentialité des données. Ainsi 75 % des entreprises françaises n’estiment pas que leur capacité à respecter ces éléments est un facteur déterminant pour leurs clients, alors même que les demandes relatives à la sécurité des données concernent 44,5 % des transactions, un chiffre du reste plus élevé en France qu’en Allemagne et au Royaume-Uni (36 %).
De façon également inquiétante, 40 % des personnes interrogées pensent que leur entreprise n’adopte pas une approche éthique de la sécurisation et de la protection des données.
Ces résultats sont en opposition avec les préoccupations du grand public. Le Rapport sur les Données Privées de 2015 par Symantec montrait que pour 88 % des Européens, la sécurité des données était un facteur décisif dans l’acte d’achat, et pour 86 % d’entre eux, un élément plus important que la qualité du produit.
De façon assez logique, seulement 56 % des entreprises françaises pensent qu’elles satisfont les exigences de leurs clients en termes de sécurité des données.
Des évolutions culturelles et technologiques nécessaires
Le rapport montre également que de nombreuses entreprises n’ont pas encore commencé à travailler sur les changements culturels et organisationnels nécessaires avant mai 2018.
- 7 % en France ont reconnu que tous les collaborateurs de leur entreprise avaient accès aux données personnelles de leurs clients ;
- 4 % qu’ils accédaient aux informations relatives à leurs achats ;
- Seulement 8 % des personnes interrogées en France pensent que la protection des données est l’affaire de chacun dans l’entreprise, contre 14 % dans les deux autres pays européens ;
- 56 % des entreprises françaises (47 % en moyenne européenne) ont déclaré la gestion éthique des données comme une priorité importante ;
- Seulement 26 % des entreprises pensent que le droit à l’oubli fait partie du RGPD et 53 % n’ont pas de systèmes pour accéder à une éventuelle demande de ce type.
Avec un accès aussi étendu aux données privées et une conception aussi réduite du rôle de chaque collaborateur dans la sécurité, les entreprises sous-estiment les défis à relever pour se conformer au RGPD. Des changements de mentalité, mais également technologiques demeurent à entreprendre. Sur ce dernier point, les Français semblent légèrement plus conscients que leurs homologues britanniques et allemands :
- La première conséquence sera le recrutement de personnel informatique : 39 % des entreprises françaises prévoient d’y avoir recours, contre 30 % dans les deux autres pays ;
- 35 % des Français prévoient de revoir complètement leur stratégie de sécurité (contre 27 % en Europe) ;
- 43 % estiment qu’ils vont augmenter les formations en sécurité ;
- Près d’un tiers vont accroitre leur utilisation des technologies de protection des terminaux, des données et contre les menaces persistantes avancées ;
- 64 % des entreprises françaises déclarent avoir déjà au moins un DPO (Data Privacy Officer), un chiffre certainement en relation avec les obligations nationales ;
- Dans l’ensemble, 92 % des personnes interrogées en France sont inquiètes quant à la capacité de leur entreprise de satisfaire aux exigences du RGPD. Les principales inquiétudes portent sur les coûts liés à la satisfaction des critères (45 %), avant la complexité de gérer les données de manière différente ou les contraintes de temps ou de ressources (34 %).
L’apport du RGPD : plus de sécurité et un avantage concurrentiel
Pour les entreprises françaises, le RGPD est le principal moteur de révision de leur sécurité et leur protection des données à 54 %, devant la simple capacité protéger les données, à satisfaire les besoins de leurs clients ou à être éthiques. Les Français se montrent plus enthousiastes quant à l’avantage concurrentiel induit par le RGPD : 43 % contre 30 % de leurs homologues européens, un enthousiasme du reste plus prégnant chez les dirigeants d’entreprise que chez les décideurs informatiques. Cet avantage concurrentiel proviendra selon eux plus particulièrement de la réduction du risque de pertes de données (53 %).
« Les entreprises devraient reconnaitre que la confidentialité, la sécurité et la conformité au RGPD sont des éléments extrêmement importants pour leur réputation et leur marque » explique Laurent Lecroq. « La réponse des entreprises au RGPD devrait s’inscrire au cœur de leur organisation et de leur culture. Adopter une approche fragmentée engendrerait plus de problèmes qu’elle n’en solutionnerait ».
Citations :
Michael Bittan, cyber risk partner, Associé responsable cyber risk services Deloitte France
« Les entreprises intègreront avec succès les obligations liées au GDPR uniquement si elles adoptent le principe de « privacy by design ». Elles doivent également comprendre que cela peut leur procurer un avantage concurrentiel substantiel et que, au-delà des impératifs règlementaires, la sécurité et la protection des données est une priorité pour leurs clients ».
Prof. Dr. Udo Helmbrecht, Executive Director, The European Union Agency for Network and Information Security (ENISA)
« Au vu de l’importance fondamentale du Règlement Général de Protection des Données (RGPD) dans la définition de l’environnement numérique de l’Union Européenne de demain, l’Agence Européenne chargée de la sécurité des réseaux et de l'information (ENISA) salue ce type d’initiatives qui augmentent la compréhension des défis liés à sa mise en place et qui doivent être relevés afin d’atteindre les objectifs définis ».
A propos du rapport
Le Rapport Européen sur la Confidentialité des Données est une étude commissionnée par Symantec auprès du cabinet indépendant Vanson Bourne, auprès de 900 décideurs informatiques et dirigeants d’entreprises de plus de 50 personnes en France, en Allemagne et au Royaume-Uni.