GDPR : les entreprises pensent -à tort- être conformes

Seulement 2% des entreprises seraient réellement prêtes pour le GDPR, autrement dit conformes aux exigences de la législation, assure Veritas Technologies.

S’estimer conforme ne signifie pas l’être pour autant. Près d’un répondant sur trois (31%) d’une étude menée par Veritas Technologies déclare que son entreprise est déjà conforme aux principales exigences de la réglementation. Il n’en serait rien : une analyse croisée des réponses avec les dispositions de GDPR suggère que seulement 2% des entreprises sont réellement prêtes, révélateur d’une certaine confusion du niveau de préparation.

48% des entreprises qui pensent être conformes n’ont pas de visibilité totale sur les incidents de perte de données personnelles. De plus, 61% d’entre-elles admettent qu’il leur serait difficile d’identifier et de signaler une faille de données personnelles dans les 72 heures -une exigence fondamentale de la réglementation GDPR quand il y a un risque pour les individus concernés.

Toute entreprise incapable de signaler la perte ou le vol de données personnelles – telles que les dossiers médicaux, les adresses e-mail et les mots de passe – à l’organe de surveillance dans ce délai est en rupture avec cette exigence clé.

Les résultats de ce rapport suggèrent que les entreprises qui pensent être conformes au GDPR devraient revoir leurs stratégies de conformité. Une violation de cette clause peut conduire à une amende pouvant atteindre jusqu’à 4% du chiffre d’affaires annuel ou encore jusqu’à 20 millions EUR, le montant le plus élevé étant retenu.

La menace des anciens employés

Ca coince à différents niveaux. Ainsi, la limitation de l’accès des anciens employés aux données de l’entreprise. 50% des entreprises qui se disent conformes déclarent que d’anciens employés ont toujours accès aux données internes. Ce qui veut dire que même les entreprises les plus confiantes luttent pour contrôler l’accès des anciens employés et leur potentielle prédisposition aux attaques… Autre souci : le droit à l’oubli. Difficile à mettre en place. L’étude Veritas montre que de nombreuses entreprises ne seront pas en mesure de rechercher, localiser et supprimer des données personnelles dans le cadre du principe du droit à l’oubli.

Parmi les entreprises qui pensent être prêtes pour le GDPR, un cinquième (18%) admettent que les données personnelles ne peuvent être supprimées ou modifiées. Et 13% d’entre elles affirment ne pas avoir les capacités de rechercher et d’analyser efficacement les données personnelles pour détecter à la fois des références explicites et implicites d’un individu.

Responsabilités croisées

L’étude menée par Veritas montre également qu’il existe une confusion des entreprises concernant la responsabilité des données détenues dans les environnements cloud. Près de la moitié des entreprises (49%) qui pensent être conformes à la régulation GDPR considèrent que le CSP (Cloud Service Provider) est l’unique responsable de la conformité des données stockées dans le cloud. Cependant, la responsabilité incombe aux contrôleurs des données (l’entreprise) de s’assurer que le processeur des données (CSP) fournit des garanties GDPR suffisantes. Ce sentiment illusoire de protection pourrait entraîner de graves répercussions dans le cadre de GDPR.

«A moins d’un an de l’entrée en vigueur de GDPR, nous constatons qu’une grande majorité des entreprises qui pensaient être en conformité sont en réalité très loin du but. Ces dernières s’exposent non seulement au risque majeur de violation de la réglementation, mais également à l’incapacité d’avoir le contrôle de leurs données personnelles en cas de faille ou d’attaque provenant de personnes extérieures, rappelle Frédéric Viet, Channel Director West, Veritas. Pour ces entreprises, il est temps qu’elles sollicitent les bons conseils pour déterminer précisément leur niveau de préparation et pour les aider à établir une stratégie précise afin d’assurer leur conformité. Car un défaut de conformité pourrait bien mettre en péril la confiance des employés dans le cadre du ‘droit à l’oubli’, mais aussi l’image de marque et à terme la pérennité des entreprises.»