Plus de deux tiers (68%) des informaticiens déclarent que le respect des nouvelles exigences réglementaires en matière de protection de données -le fameux GDPR (General Data Protection Regulation) adopté par le Parlement européen et devant prendre valeur de loi d’ici la fin de l’année- représente un fardeau financier pour leur entreprise.
Tel est le constat dressé par Ipswitch qui vient de publier les résultats d’une enquête européenne visant à comprendre comment les entreprises se préparent à la réforme du cadre européen de protection des données. Pour rappel, le GDPR touchera toute organisation collectant, stockant, traitant et partageant les données personnelles d’employés, de clients ou de partenaires. Cette réglementation est conçue pour unifier et simplifier la protection des données dans l’ensemble des 28 pays de l’UE; elle inclut plusieurs pénalités de non-conformité allant jusqu’à 2 % du chiffre d’affaires mondial annuel d’une entreprise.
Au niveau européen, la moitié des informaticiens déclarent également avoir affecté des ressources de formation internes pour aider le personnel à comprendre la nouvelle réglementation et à s’y conformer. Les entreprises françaises sont les plus prévoyantes avec 56% ayant affecté des ressources internes. A l’opposé, le Royaume-Uni semble être le moins préparé avec 40% des entreprises n’ayant alloué aucune ressource, par rapport à leurs homologues allemands (33%).
Sur l’ensemble des répondants, 90% des personnes interrogées ont indiqué que leur entreprise stocke des données personnelles, 86% traitent des données personnelles et 40% partagent des données en externe.
Pour David Lacey, l’un des principaux experts internationaux en gestion de la sécurité, « le projet de loi du GDPR est plus strict que toute autre réglementation de protection de données vue auparavant dans le sens où il met beaucoup plus l’accent sur les pénalités financières. Même si les entreprises ne seront peut-être pas tenues à une conformité totale avant 2017, il semble qu’elles réalisent de plus en plus que tout investissement dans des solutions ou services aujourd’hui aura des conséquences directes sur leur degré de préparation au GDPR. Beaucoup des organisations avec lesquelles je m’entretiens préparent déjà une liste de contrôle de leurs tâches de préparation et auditent leurs données existantes pour déterminer si elles respectent les nouvelles normes, et dans le cas contraire, ce qui doit être fait.»
Les conclusions de l’enquête d’Ipswitch démontrent très clairement que les informaticiens réalisent, non seulement, qu’ils devront revoir leurs politiques et leurs processus, mais comprennent également qu’ils auront besoin d’un investissement en termes de ressources, de formation et de finances. Les pratiques de partage de fichiers, les périmètres de défense et les technologies de chiffrement ne sont que quelques-uns des processus et solutions à passer en revue. C’est une démarche chronophage et onéreuse, mais essentielle pour éviter d’être pris au dépourvu.
