ÉTUDE RÉALISÉE PAR SOPHOS SUR LE RGPD: « LES ENTREPRISES FRANÇAISES MIEUX PRÉPARÉES À LA MISE EN PLACE DU RGPD QUE LES ORGANISATIONS BRITANNIQUES »
Sophos dévoile les résultats d’une étude sur l’impact du RGPD sur les entreprises en France, au Benelux et au Royaume-Uni. L’étude, menée par Vanson Bourne, a impliqué 625 décideurs informatiques, dans quatre pays et a constaté que le Royaume-Uni était loin derrière la France, la Belgique et le Luxembourg, en ce qui concerne la préparation au RGPD.
Le chiffre le plus préoccupant révélé par l’étude indique que 54 % des entreprises n’ont pas pleinement conscience des amendes associées au RGPD. Les organisations qui ne se seront pas en conformité avec le RGPD seront exposées à de lourdes peines, pouvant aller jusqu’à 20 millions d’euros ou encore 4 % de leur chiffre d’affaires global. Près de 1 entreprise sur 5 (17 %) interrogées admettent que, si elles étaient condamnées à payer une amende, leur société fermerait. Ce nombre passe à 54 % pour les petites entreprises comptant moins de 50 personnes. En plus d’une fermeture, 39 % des décideurs informatiques interrogés révèlent que les amendes entraîneraient également des licenciements au sein de leurs organisations.
Malgré ce risque, seulement 6 % des entreprises britanniques voient le RGPD comme une priorité, par opposition à la France (30 %) et au Benelux (25 %). Plus inquiétant encore, 20 % des sociétés britanniques considèrent le RGPD comme une priorité faible, un nombre beaucoup plus élevé par rapport à la France avec 8 %, et le Benelux, 11 %.
L’Europe est-elle prête pour le RGPD ?
Près d’une entreprise sur cinq prétend déjà être en conformité en France (19 %) et au Benelux (18 %), mais encore une fois, le Royaume-Uni occupe la dernière place avec seulement 8 % déclarant actuellement être conformes.
« Se préparer pour le RGPD est un long processus et si les régulateurs montrent qu’ils sont prêts à infliger le maximum d’amendes à partir de mai 2018, les entreprises regretteront sérieusement de ne pas être conformes », déclare John Shaw, vice-président, Product Management Enduser Group, Sophos. « 55 % des organisations ne sont pas totalement convaincues qu’elles pourront être prêtes à la date butoir. Avec seulement un an pour réagir, les priorités en matière de sécurité informatique pour les entreprises devraient porter sur les principales causes de pertes des données et les mesures essentielles à prendre : s’assurer que les systèmes d’exploitation et les applications soient bien mis à jour, faire en sorte que les données sensibles soient chiffrées et éduquer tous les employés sur les risques de phishing et autres attaques d’ingénierie sociale. »
Toutes les entreprises européennes se préparent lentement au RGPD, et déjà 42 % pensent qu’elles seront définitivement prêtes d’ici mai prochain, mais il reste encore beaucoup d’actions à mener :
Seules 42 % ont recruté un délégué à la protection des données, un nombre beaucoup plus faible que prévu.
Actuellement, seule la moitié des entreprises ont mis en place des mesures pour s’assurer que les personnes dont les données ont été collectées ont effectivement donné leur consentement à cette collecte.
44 % ont mis en place des procédures pour supprimer des données personnelles dans le cas d’une demande d’application du « droit à l’oubli », ou si un individu s’oppose au traitement de ses données.
Moins de la moitié (45 %) sont en mesure de signaler une violation de données à caractère personnel dans les 72 heures suivant sa découverte.
Qui est en responsable ?
Pour 70 % des entreprises, c’est le service informatique ou l’équipe de sécurité informatique qui prend la responsabilité de la conformité au RGPD. Il est intéressant de souligner que seulement 4 % des équipes juridiques et 13 % des membres du comité de direction sont responsables de la mise en œuvre. Ainsi, une grande pression est mise sur les équipes informatiques, avec de nombreux décideurs qui précisent que le manque de sensibilisation des décideurs clés explique partiellement que certains protocoles ne sont pas encore en place, comme celui permettant de signaler une violation de données à caractère personnel dans les 72 heures qui suivent sa découverte, un aspect essentiel de la conformité au RGPD.
La bonne nouvelle est que 65 % des organisations ont une politique de sécurité des données en place, et 98 % l’ont ou sont actuellement en train de mettre en place un plan officiel pour les employés, décrivant quelle est la politique de sécurité des données et ce qui est attendu des employés lorsqu’ils traitent des données personnelles. Cela montre que les entreprises font des progrès dans la sensibilisation à la sécurité des données sur le lieu de travail, et encouragent les employés à prendre cette question au sérieux.
Confusion dans le contexte du Brexit
Malgré le Brexit, le Royaume-Uni devra quand même se mettre en conformité avec le RGPD. Cependant, l’étude a mis en évidence que de nombreuses entreprises britanniques pensent qu’elles en sont exemptes compte tenu du Brexit. 26 % des organisations britanniques reconnaissent que depuis l’annonce du Brexit, elles n’ont pas une bonne compréhension de ce qu’il faut faire pour se mettre en conformité, ou pensent que ce n’est plus nécessaire. Cette fausse théorie risque de faire rater la date butoir à de nombreuses organisations et les exposer à de lourdes amendes.
L’impact du Brexit ne s’arrête pas au Royaume-Uni. 66 % des entreprises en France et au Benelux admettent être très ou assez préoccupées par la sécurité des données suite au Brexit. Il est clair que le Brexit génère de l’incertitude et de la confusion des deux côtés de la Manche, mais le Brexit ne change en rien la nécessité pour les organisations de se mettre en conformité avec le RGPD avant la date limite de mai 2018.