Archives par mot-clé : reglement europeen

Les entreprises françaises trop sûres d’elles face au RGPD

Règlement européen sur la protection des données (RGPD) : Les entreprises françaises seraient-elles trop confiantes vis à vis de leur conformité réglementaire ?

A moins de 8 mois de l’entrée en vigueur du RGPD, le Règlement Général sur la Protection des Données  le 25 mai 2018, Trend Micro a souhaité vérifier si les entreprises étaient bien préparées. Pour ce faire, l’éditeur a conduit une étude internationale auprès de 1 000 cadres dirigeants à travers une dizaine de pays, dont la France.

Les entreprises françaises : vraiment prêtes ?

98 % des entreprises françaises savent qu’elles doivent se conformer au RGPD et 92 % des cadres dirigeants affirment avoir déjà pris connaissance des dispositions légales s’y rapportant, conscients de l’importance de la règlementation. De même, la moitié d’entre eux connait le montant des pénalités financières en cas de non-conformité, démontrant une certaine avance en comparaison d’autres pays tels que le Royaume-Unis où seuls 27 % des dirigeants sont conscients que leur entreprise encourt une amende équivalente à 4 % du chiffre d’affaires.

Cependant, les entreprises ne semblent ni aussi préparées ni aussi protégées qu’elles le prétendent. En effet, une certaine confusion demeure quant à la nature exacte des données personnelles à protéger. L’étude démontre par exemple que les cadres dirigeants français sont encore nombreux à ignorer que sont considérées comme des données personnelles : la date de naissance d’un client (67 %), les bases de données marketing contenant des mails (33 %), les adresses postales (27 %) ou encore les adresses électroniques (21 %).

La bonne compréhension des principes généraux du RGPD s’accompagne donc d’un certain excès de confiance puisque près de 8 entreprises françaises sur 10 (79 %) affirme pourtant que leurs données sont totalement sécurisées (89 % aux États-Unis). Une majorité d’entre elles (33 %) estime d’ailleurs n’avoir besoin que de 7 à 12 mois pour se mettre en conformité.

Mise en conformité : quelles étapes, quels obstacles ?

Les étapes considérées comme prioritaires par les entreprises françaises pour se conformer à la règlementation sont l’augmentation de la police d’assurance en cas de faille (60 %) et l’embauche d’une tierce personne en charge de la conformité (58 %). Sur ce sujet, on constate une divergence entre les pays : en Allemagne (64 %), aux Etats-Unis (63 %) et au Royaume-Uni (58 %), investir davantage pour sécuriser le SI reste en effet la première priorité.

Trend Micro s’est également attaché à mettre en lumière les principaux freins liés à la mise en conformité. Ainsi parmi les personnes sondées, le manque de processus clairs et d’informations liées à l’appartenance des données (34 %) et les ressources financières nécessaires (32 %) sont perçus comme les principaux obstacles.

Les entreprises françaises : suffisamment transparentes vis-à-vis de leurs clients ?

Selon l’étude, 97 % des entreprises françaises déclarent avoir d’ores et déjà mis en place un processus permettant de prévenir les autorités en charge de l’application du RGPD dans les 72 heures suivant la détection d’une faille de données. Cependant, 27 % admettent ne pas prévenir leurs clients suite à une fuite de données… un point sur lequel d’autres pays font preuve de davantage de transparence, puisque 13% des organisations américaines et 14% des entreprises anglaises déclarent ne pas avertir leurs clients. En France, ce manque de rigueur est largement décrié par les clients qui, à 81 %, demandent plus de transparence sur la protection et l’utilisation de leurs données.

Quant aux conséquences, 43 % des cadres dirigeants estiment qu’une faille de données survenant après l’entrée en vigueur du RGPD aurait un impact négatif sur la fidélité de leurs clients, tandis que 30 % d’entre eux considèrent que l’impact serait davantage d’ordre financier.

L’appartenance des données est quant à elle une question encore relativement floue pour les entreprises françaises. En effet, en cas de fuite de données européennes détenues par un prestataire de services américain, 57 % pensent que la responsabilité revient au propriétaire des données en Europe et 25 % au prestataire de services basé aux Etats-Unis. La tendance varie aux Etats-Unis, 43 % des sondés considérant que la faute incombe au prestataire de services et 42 % au propriétaire des données.

Mise en place du RGPD : mais qui est responsable au sein de l’entreprise ?

En France, 46 % des personnes interrogées tiennent le RSSI pour responsable de la mise en conformité, tandis que cette tâche revient à l’ensemble de l’entreprise aux yeux des entreprises allemandes (40%), anglaises (37 %) et américaines (38 %). « Si cette étude illustre bien la prise de conscience et le chemin parcouru, elle confirme cependant que le processus de mise en conformité ne doit pas être pris à la légère », commente Loïc Guézo, Stratégiste CyberSécurité Europe du Sud, Trend Micro. « En effet, les entreprises se doivent de mettre en place des solutions de protection des données efficaces pour éviter d’exposer leur réputation et ne pas mettre en péril la relation de confiance construite avec leurs clients ».

Perte ou vol de données sur internet : une meilleure protection des consommateurs

A compter du 25 août 2013, le règlement européen n° 611/2013 met en place une procédure d’information en cas de piratage de données d’un opérateur de services de télécommunications ou d’un fournisseur de services internet permettant à un tiers d’accéder à des données à caractère personnel (nom, adresse ou coordonnées bancaires par exemple).

Cette procédure comprend 3 obligations à la charge du professionnel :

  • La notification des faits auprès de la Commission nationale informatique et libertés (CNIL) dans un délai de 24 heures après leur constatation (avec un document normalisé et identique pour tous les membres de l’Union européenne),
  • La fourniture d’une description des données concernées et des mesures déjà prises ou qui seront prises,
  • Une évaluation de la nécessité d’informer ou non les abonnés, en fonction du type de données ayant fait l’objet d’une violation.

Une liste indicative de mesures techniques de protection à mettre en œuvre (techniques de cryptage par exemple) sera publiée ultérieurement par la Commission européenne. Pour en savoir plus, DataSecurityBreach.fr vous invite à vous lire le Règlement n° 611/2013 de la Commission européenne du 24 juin 2013 du journal officiel de l’Union européenne.