5 % des entreprises auraient déjà déployé les bonnes actions
L’étude réalisée par le cabinet Censuswide auprès de 1500 responsables informatiques de grands comptes français, britanniques et allemands (entreprises de plus de 200 salariés), constate une situation préoccupante. De manière générale, 44 % des entreprises (51 % pour les Français) se considèrent d’ores et déjà en conformité avec les nouvelles obligations informatiques qui sont entrées en vigueur le 1er janvier. 30 % des entreprises estiment qu’elles seront dans les délais, la réglementation se faisant en deux temps, une première disposition au 1er janvier et une seconde le 25 mai 2018. Mais dans les faits, seuls 5 % des entreprises auraient déjà déployé les bonnes actions pour garantir leur mise en conformité avec le RGPD. D’ici le mois de mai, elles ne seront que 22 % à respecter effectivement la loi.
Ce qui est obligatoire depuis le 1er janvier
Attention, des dispositions du RGPD entrent en vigueur dès le 1er janvier 2018 : tout professionnel qui récolte des informations nominatives concernant les consommateurs doit, dès janvier, constituer ses fichiers sur des supports facilement exploitables et transférables. L’objectif est ici de permettre à l’utilisateur de consulter ses données personnelles à tout moment, sur simple demande auprès de l’entreprise. De même, l’utilisateur doit pouvoir modifier ses données ou en demander la destruction, l’entreprise devant être en mesure de répondre à sa requête sur-le-champ. On parle ici de formats de fichier permettant « la portabilité des données ». Le RGPD renforce également les obligations en matière d’utilisation des cookies. Dès janvier, l’Internaute doit expressément accepter le cookie (les cases pré-cochées sont à bannir). Le professionnel devra également expliquer expressément la finalité de l’utilisation du cookie et faire apparaître la mention suivante : « Conformément à la loi “informatique et libertés” du 6 janvier 1978, modifiée en 2004, vous bénéficiez d’un droit d’accès et de rectification aux informations qui vous concernent, que vous pouvez exercer en vous adressant à “indiquer le nom et les coordonnées du responsable à contacter”. Vous pouvez également, pour des motifs légitimes, vous opposer au traitement des données qui vous concernent. »
Les méthodes de préparation au RGPD diffèrent
d’une entreprise à l’autre
Les méthodes de préparation au RGPD diffèrent également énormément d’une entreprise à l’autre, alors même que les sondés sont issus du même type de structure (PME de plus de 200 salariés). 58 % des responsables informatiques français (contre 56 % des responsables du Royaume-Uni et 34 % des responsables allemands) affirment avoir développé un programme interne de sensibilisation à la protection des données, dont 49 % incluant des niveaux d’accès différents selon l’utilisateur pour le traitement des données personnelles (44 % en Angleterre et 34 % en Allemagne). Seuls 44 % des responsables informatiques français auraient développé une technologie de cryptage de données pour leur entreprise (46 % des responsables anglais et 25 % des responsables allemands).
36 % des entreprises françaises se préparent à payer une amende
Plus inquiétant et révélateur de la complexité du domaine : selon la même étude, 36 % des sondés français affirment se préparer à payer une amende plutôt que de s’atteler à transformer en profondeur leur système en place (contre 48 % des décideurs anglais et 47 % des décideurs allemands). 22 % affirment avoir souscrit une assurance contre les cyberattaques et considèrent cette démarche suffisante pour être conforme au RGPD. « Un vent d’optimisme semble souffler dans les entreprises puisqu’il existe un décalage notable entre perception et réalité en matière de préparation à la réglementation RGPD », explique dans un communiqué de presse Vincent Merlin, directeur marketing de Proofpoint, l’entreprise de sécurité informatique pour laquelle le cabinet Censuswide a réalisé l’étude.
Les points sensibles du RGPD entrant en vigueur en mai 2018
L’une des dispositions les plus importantes du RGPD laisse effectivement toute marge de manœuvre aux entreprises européennes, les faisant baigner dans le flou artistique sur les actions concrètes à mener. Selon le RGPD, à partir du 25 mai 2018, toute entreprise qui récolte des informations personnelles doit être en mesure de justifier d’une organisation et d’un système informatique aptes à protéger ces données des cyberattaques. Ce pan de la réglementation est une obligation de moyens (et non de résultat), relative à l’architecture même d’un site Web ou d’un système informatique, mais aussi à l’utilisation d’outils de cryptage des données, la sécurisation des systèmes de l’entreprise, le nivellement des accès selon le poste occupé… En clair, la CNIL pourra pénaliser une entreprise pour son manque d’investissement dans la mise en place de solutions de protection des données, au cas par cas, qu’un piratage ait effectivement eu lieu ou non. L’amende encourue grimpe jusqu’à 4 % du chiffre d’affaires annuel et 20 millions d’euros.
Par ailleurs, à compter du 25 mai 2018, l’entreprise victime d’une intrusion informatique doit en informer la CNIL sous 48 heures. Si l’enquête révèle un manquement en matière de protection des données, en plus de sanctions financières, l’entreprise doit prévenir ses clients et médiatiser l’événement auprès des consommateurs.