Deux ans après, les entreprises pas toujours conformes au RGPD

Spread the love
Deux ans après, les entreprises pas toujours conformes au RGPD

Toutes les entreprises n’ont pas encore achevé leur mise en conformité avec le règlement européen sur les données privées, même si beaucoup ont réalisé d’importants efforts au sein de leur organisation, en s’entourant dans certains cas de compétences mêlant IT et juridique. Alors que les entreprises dépensent des dizaines de millions pour se conformer à la réglementation, plus de 90 % d’entre elles présentent des faiblesses informatiques fondamentales qui les rendent vulnérables et potentiellement non conformes, selon un récente étude de Tanium menée auprès des décideurs informatiques.

Ces sommes capitales peuvent monter jusqu’à près de 70 millions de dollars de dépenses en moyenne pour les multinationales durant les 12 derniers mois pour assurer leur mise en conformité avec les différentes règlementation sur la protection des données. De plus, une majorité d’entreprises ont embauché de nouveaux talents (81%), investi dans la formation (85%) et introduit de nouveaux logiciels ou services (82%) pour assurer une conformité continue, observe le rapport.

Malgré ces investissements massifs, beaucoup d’entreprises se sentent encore mal préparées pour faire face à l’évolution du paysage réglementaire. Plus d’un tiers des acteurs interrogés (37%) affirment notamment que le manque de visibilité et de contrôle sur les postes de travail et serveurs représente le principal obstacle.

publicité

Vulnérabilité aux cyberattaques

Ce manque de visibilité laisse de ce fait les entreprises « vulnérables aux cyberattaques et s’exposant alors à des fuites de données » continue Tanium. En outre, les principales raisons évoquées pour justifier de cette absence de visibilité concernent le manque de collaboration entre les équipes de sécurité et de production (35%), le manque de moyen pour gérer le parc informatique (33%) ou encore l’utilisation d’un trop grand nombre de solutions dans l’entreprise (32%).

Il arrive aussi que ce manque de maîtrise du parc informatique soit exacerbé par l’éclatement de l’organisation du travail à domicile et le recours aux appareils personnels. Hervé Szafir, directeur de la cybersécurité chez OpenText, considère à ce titre que « dans de nombreux cas, le télétravail a été mis en place à la hâte et sans planification adéquate, sans que les bons outils de sécurité des systèmes et des réseaux soient en place ». Dans ce contexte, « les politiques de travail à distance n’étaient pas clairement définies ou mises à jour, y compris les procédures pour signaler une éventuelle violation ou perte de données » affirme-t-il.

Aussi, « les entreprises doivent s’adapter à ces nouvelles circonstances pour assurer un niveau de sécurité tenant compte des nouveaux risques présentés par les activités de traitement des données afin de pouvoir, malgré la crise, faire face sereinement à la troisième année de conformité de RGPD » indique Hervé Szafir.

Prise de conscience

Mais à en croire une enquête menée par Data Legal Drive, la crise du Covid-19 a aussi servi, dans une certaine mesure, de catalyseur aux entreprises dans leur travaux de mise en conformité RGPD. Près de 40% des DPO et juristes interrogés disent avoir mis à profit le confinement pour « traiter les sujets de fond de la mise en conformité RGPD de leur entreprise, et en particulier, pour près de la moitié des répondants, la mise à jours du fameux registre des traitements » évoque l’étude.

« Aux premiers jours de la crise sanitaire, certains ont pu croire que la mise en conformité RGPD serait reléguée aux calendes grecques. En réalité, c’est bien entendu tout le contraire qui s’est passé. La mise ne place du confinement a massivement permis aux entreprises de prendre pleinement conscience du chemin à parcourir : le télétravail massif suppose une (ré)organisation RH poussée, avec des questions de droit social et de vie privée, et une (re)mise à niveau des process de sécurisation des données » a déclaré Sylvain Staub, CEO de Data Legal Drive.

Un tiers des répondants s’accordent à dire que le télétravail a contribué à renforcer la sécurisation des entreprises. Néanmoins, si un tiers des répondants déclare ne pas avoir eu besoin de modifier les process de sécurité déjà à niveau, le dernier tiers n’a strictement pas agi, alors qu’il y aurait peut-être nécessité de mener une revue de sécurisation, souligne l’étude.

Par ailleurs, 30% des entreprises interrogées disent avoir proposé des formations RGPD à leurs collaborateurs pendant le confinement. Un tiers n’en ont cependant pas profité estimant que ce n’était ps la priorité du moment, tandis que près de 40% pensent néanmoins avoir les moyens de mener des formations dans les prochaines semaines.

Enfin, alors que seulement un site web sur trois serait à 100% conforme avec le RGPD, certaines entreprises ont profité du confinement pour avancer sur la mise en conformité des sites web. En définitive, « le confinement aurait – salutairement – permis à plus de la moitié des DPO répondants et responsables de ce traitement de se concentrer à nouveau sur ce chantier essentiel qui est une vitrine de toute entreprise » résume l’enquête.

Leave a Reply