Seules 2% des entreprises sont véritablement prêtes pour le RGPD

À moins d’un an de l’entrée en vigueur du Règlement Général relatif à la Protection des Données (RGPD), 31% des entreprises se disent prêtes pour les nouvelles obligations définies par le texte. Pourtant, seulement 2% d’entre elles le sont réellement.

En cause notamment leur incapacité à répondre aux obligations du RGPD en cas de faille dans la protection des données. Si le règlement prévoit en effet une obligation d’informer les autorités compétentes dans les 72h, 61% des entreprises interrogées reconnaissent ne pas être en mesure d’identifier une faille dans ce laps de temps, de prendre les mesures nécessaires pour résoudre le problème et de protéger efficacement les données personnelles en leur possession. D’ailleurs 55% des grandes entreprises ignorent où sont stockées leurs données.

50% des entreprises qui se déclarent conformes ont par ailleurs reconnu que leurs anciens employés pouvaient toujours accéder aux bases de données, mettant en péril la sécurité et l’intégrité de celles-ci. Ce chiffre signifie également que les données peuvent être utilisées pour une finalité différente de celle pour laquelle elles ont été recueillies, ce qui va à l’encontre des principes définis par le RGPD.

Le second point de difficulté pour les entreprises concerne le “Droit à l’oubli” garanti par le règlement. En effet, selon celui-ci, les utilisateurs peuvent demander à n’importe quel moment, et sans avoir à se justifier, que leurs données personnelles soient effacées de la base dans leur intégralité. Pourtant 20% des entreprises se déclarant conformes au RGPD admettent ne pas être en mesure de modifier ou d’effacer les données de leur système. Cette faille dans la capacité à protéger les droits des utilisateurs est d’autant plus importante que dans le cas où le responsable du traitement aurait rendu publiques ces données, il est dans l’obligation de prendre les mesures raisonnables pour informer les autres entreprises en possession de ces données de la demande de l’utilisateur de les voir effacées.

Enfin, les cas d’utilisation du Cloud comme espace de stockage, très nombreux en entreprise, sont encore très flous concernant les responsabilités et les obligations à respecter, rendant le problème encore plus complexe à appréhender pour les entreprises.

Considérant qu’une violation du RGPD peut conduire à une amende allant jusqu’à 4% du chiffre d’affaire annuel global, il est nécessaire pour les entreprises de se faire accompagner. Un DPO (Data Protection Officer, ou Responsable de la Protection des Données) pourra les guider dans leur mise en conformité, dans la mise en place des process nécessaires au respect du règlement et au suivi des actions de mise en oeuvre. Des sous-traitants fiables et conformes, labellisées par des organismes tels que la CNIL et ayant fait du traitement de données leur cœur de métier, seront également en mesure de garantir aux entreprises le respect des normes européennes de protection.