GDPR après 100 jours : quel impact réel sur les entreprises ?

100 jours ont passé. Et ? Pas grand chose… Le GDPR n’a pas encore fait de victimes. En revanche, nos entreprises n’ont pas encore comblé leur retard, s’inquiète ESET.

Tous ceux qui s’attendaient à des pénalités immédiates pour faire la une des journaux doivent être déçus. Bien que la Commission européenne ait reçu des plaintes concernant des entreprises telles que Facebook, Google, Instagram et WhatsApp dans les heures qui ont suivi l’entrée en vigueur de la nouvelle loi sur la protection des données, aucun geste majeur n’a été observé à ce jour. Comme la nouvelle directive augmente les amendes maximales jusqu’à 20 millions EUR ou 4 % du chiffre d’affaires annuel global, alors que le maximal était fixé à 551 000 EUR dans la version «originale» de la législation, l’intérêt des médias ne s’estompera probablement pas de sitôt.

Bien avant l’entrée en vigueur des directives strictes de GDPR, les experts d’ESET avaient évalué l’état des préparatifs à ce changement majeur en matière de protection des données. Cette évaluation a été réalisée au moyen du formulaire de contrôle de conformité de l’entreprise. Au cours du semestre allant de novembre 2017 à mai 2018, plus de 27 000 participants -provenant principalement des pays de l’Union européenne, où cet outil d’évaluation en ligne gratuit était activement promu- ont complété ce questionnaire.

Cette évaluation de la conformité a permis de mettre au jour divers faits intéressants concernant les entreprises de l’Union européenne. Par exemple, il apparait maintenant clair que la plupart des entreprises détiennent des données personnelles (ou PII, pour personally identifiable information) sur leurs clients (82,6 %) et leurs employés (70,2 %). En outre, un peu plus d’un cinquième des participants ont révélé détenir des PII supplémentaires telles que des données biométriques ou relatives à la santé.

La moitié des entreprises ont admis ne pas avoir effectué d’audit

«Une vérification de la collecte et du traitement des données pourrait être l’action la plus utile qu’une entreprise puisse faire par rapport au GDPR. Même aujourd’hui, quelques mois seulement après l’entrée en vigueur de cette directive, c’est le moyen le plus simple de s’assurer que vous n’omettrez rien lorsque finaliserez de vous conformer au règlement, explique Tomáš Mičo, avocat principal chargé de la protection des données et des licences chez ESET. Quel que soit le résultat, il donnera à l’entreprise des perspectives équitables pour l’avenir et une vue d’ensemble des investissements nécessaires. Avec la haute saison budgétaire, c’est peut-être le meilleur moment de l’année -si vous ne l’avez pas déjà fait.»

Dans le même temps, plus de la moitié (56 %) des entreprises ont admis ne pas avoir effectué d’audit pour s’assurer de respecter les nouvelles règles, tant quant à la manière dont leur entreprise collecte les données personnelles, qu’à leurs sources et les personnes avec lesquelles elles les partagent. Un peu plus de la moitié de ces organisations (51,4 %) n’avaient pas documenté les mesures de sécurité techniques et organisationnelles qui s’appliquent à la façon dont ces documents sont traités. Et à peine six mois avant l’échéance du GDPR, seulement 47 % des personnes-clés au sein de ces entreprises étaient pleinement conscientes de tous les changements aux règles entraînés par le GDPR.

La sécurité en cette nouvelle ère de protection des données

Le contrôle de conformité d’ESET est allé encore plus loin et s’est enquis des mesures techniques appliquées par les entreprises pour empêcher l’accès non autorisé et l’utilisation des données personnelles par les cybercriminels.

Selon ces données, le type de protection en matière de cybersécurité le plus utilisé est le logiciel de détection et de protection contre les logiciels malveillants (90,6 %). Les entreprises utilisent également des logiciels de protection des navigateurs (87,8 %), des pare-feu (83,6 %), des logiciels de restriction d’accès (83,7 %) et des réseaux Wi-Fi protégés par mot de passe (81,9 %).

Interrogées sur les logiciels de chiffrement -la méthode clé de protection des données personnelles prescrite par le GDPR- avant l’entrée en vigueur de la directive, seulement un tiers des entreprises interrogées avaient mis en œuvre une partie de cette méthode de protection. Parmi les entreprises sondées, le chiffrement le plus couramment mis en œuvre l’était via courriel (32,5 %), suivi du chiffrement des fichiers locaux (31 %) et du chiffrement du réseau/du cloud (30,5 %).

«En regardant les données recueillies, on constate avec surprise que seulement un quart des participants aient en place un logiciel qui chiffre le contenu des disques et des clés USB. La perte ou le vol de tout appareil contenant des données sensibles et personnelles non protégées représente un danger indéniable pour les entreprises concernée, explique David Tomlinson, responsable d’ESET Endpoint Encryption. Depuis l’entrée en vigueur du GDPR, le nombre de ceux qui adoptent des logiciels de chiffrement n’a cessé d’augmenter, de sorte que l’on peut s’attendre à ce qu’il soit plus élevé aujourd’hui qu’il y a quelques mois, bien que nous ne disposions pas encore de données pour appuyer cette opinion.»

Le GDPR est bel et bien là. Bien que les régulateurs en matière de protection des données aient été magnanimes en ce qui concerne le paiement des amendes au cours des premiers mois qui ont suivi la création du règlement, et que la Commission européenne ait évité quelques millions de pénalités ici et là, le temps des amendes massives viendra tôt ou tard. Donc, si votre entreprise n’est toujours pas conforme à la nouvelle législation, n’attendez plus.