À moins que vous n’ayez vécu en totale autarcie ces deux dernières années, vous êtes certainement au courant de l’entrée en vigueur du nouveau règlement général sur la protection des données (RGPD ou GDPR) en mai prochain.
Une enquête révélait qu’il existe bel et bien un décalage important entre les dirigeants des entreprises et leurs départements IT à propos de cette nouvelle directive. Si les premiers pensent qu’il y a un “changement magique” à opérer, les seconds pensent plutôt qu’il s’agit d’une problématique Business.
Selon une récente enquête de Commvault, les changements induits par GDPR sont largement connus. Pour autant, la majorité des entreprises IT dans le monde ne parviennent pas à en préparer l’application. Pouvoir identifier clairement quelles sont les données à caractère personnel qui sont stockées, consultées et utilisées est un préalable essentiel à la mise en conformité. Pourtant aujourd’hui, seulement 11% comprennent ce que sont les données personnelles au sein de leur organisation.
Ainsi, il n’est pas surprenant que seulement 12 % se sentent prêtes pour l’application de la législation. Dans ce contexte, il est essentiel que les entreprises réalisent leur position actuelle afin que les efforts puissent être concentrés sur la correction de leurs lacunes les plus pressantes.
Le droit à l’oubli
L’un des principaux points de discussion de GDPR figure en son article 17 : « Le droit à l’oubli ». Les citoyens auront désormais la possibilité de contacter toute entreprise ou organisation au sein de l’UE et de demander la suppression de leurs données. Cependant, du point de vue de l’organisation qui reçoit ce type de demande, qu’elle que soit sa taille, se pose la question de la facilité d’exécution de cette demande.
Par ailleurs, seulement 16% des organisations interrogées déclaraient leur confiance à pouvoir trouver immédiatement les données relatives à un individu spécifique ; 36% misaient sur plusieurs heures pour collecter ces données ; 25% comptaient en jours et 18% en semaines. Enfin, 5% admettaient n’avoir aucun moyen de retrouver ces données, rendant ainsi la conformité au GDPR et le « droit à l’oubli » inatteignables.
L’enquête a également révélé qu’en ce qui concerne la gestion spécifique des informations personnelles, seulement 18% des organisations avaient la possibilité de supprimer des données sur demande de l’ensemble de leurs bases de données. Néanmoins, ce processus pourrait être immédiatement exigé de toute organisation opérant dans les marchés de l’UE à partir du 26 mai.
Par ailleurs, seulement 9 % des entreprises sondées croyaient en leur capacité d’anonymiser efficacement leurs données lorsque cela était nécessaire, et moins encore (8 %) pensaient qu’elles seraient en mesure de collecter et d’exporter les données de leur organisation vers un tiers à la suite de la demande d’un individu.
Problème de mise en conformité : Vous ne pouvez pas ou ne savez pas comment faire ?
Il est facile de comprendre que les entreprises peuvent avoir du mal à modifier des processus profondément enracinés dans l’organisation, tels que la collecte et le stockage de données. Cependant, l’étude a également révélé un manque général de compréhension, chez les professionnels de l’IT, de ce dont ils ont exactement besoin pour modifier leurs processus quotidiens afin d’atteindre la conformité réglementaire.
Compte tenu de ces défis, 89% des organisations et du personnel informatique admettent être encore confus par les éléments clés du règlement, révélant des écarts considérables entre les connaissances actuelles et les implémentations fondamentales requises pour établir une stratégie de gestion des données permettant la conformité à GDPR. D’autres constatations clés ont été faites :
- Seulement 21% des organisations estiment avoir une bonne compréhension de ce que signifie GDPR dans la pratique.
- Seules 18 % des organisations déclarent savoir ce que sont les données dont dispose leur entreprise et l’endroit où elles se trouvent.
- Seules 17% des organisations comprennent l’impact potentiel de GDPR sur l’activité globale.
- Seulement 12% des organisations comprennent comment le GDPR affecterait les services cloud
Compte tenu de ces résultats, il est fort probable qu’un certain nombre d’organisations de premier plan feront la une des journaux pour avoir enfreint le GDPR suite son entrée en vigueur en mai prochain. La raison principale sera le manque de compréhension des données qu’elles détiennent et de leur relation avec cette réglementation.
Bien que le GDPR puisse représenter un défi, la réorientation des processus informatiques autour des données personnelles peut contribuer à la transformation numérique et à la modernisation de processus figés et devenus obsolètes. En fin de compte, l’alignement des programmes du GDPR sur la modernisation des technologies de l’information peut être une source de réductions des coûts, d’avantages opérationnels et pourrait stimuler la productivité au-delà de l’objectif de réduction des risques qui pourraient en découler de la non-conformité au règlement.
Les organisations devraient considérer le GDPR comme une opportunité d’effectuer une transformation positive de leur infrastructure informatique, plutôt que comme un héraut de l’apocalypse. Malgré la pression de l’opinion, relayée par les médias, attendons positivement le 25 mai prochain !
(L’enquête a été menée en octobre 2017 par Commvault auprès de 177 membres du personnel mondial IT.)