Mercredi 22 Novembre 2017

Le RGPD impose 3 défis majeurs aux grandes entreprises

Dimanche 15 Octobre 2017
À 8 mois de la mise en application du Règlement Général européen sur la Protection des données (RGPD), 20% des entreprises françaises ne savent toujours pas dans quelle mesure elles sont, ou non, en conformité avec le texte. Et les disparités entre petites et grandes entreprises sont importantes. Une étude Citrix (réalisée par OnePoll) révèle que 21% des entreprises de 250 à 500 salariés sont certaines que les procédures qu’elles appliquent actuellement sont non conformes et devront être modifiées, contre moins de 15% pour les entreprises de plus de 500 et 100 salariés.

Malgré l’avance prise par les grandes entreprises pour se mettre en conformité avec ce nouveau règlement européen, la taille est loin d’être un avantage en matière de gouvernance des données. Ainsi, 15% des répondants travaillant dans des entreprises de plus de 1 000 salariés ne savent pas combien leur entreprise récolte de données personnelles chaque jour, contre 3% seulement dans les entreprises de 501 à 999 employés et 6% dans les entreprises de moins de 500 employés. D’autre part, près de 10% des grandes entreprises ne savent ni combien de temps (8%) ni sur combien de systèmes (9%) sont conservées les données personnelles qu’elles collectent, contre respectivement 3% et 1% pour les entreprises de 501 à 999 employés. Ces chiffres sont inquiétants, alors que les grandes entreprises sont les championnes de la collecte des données personnelles. Elles en récoltent en moyenne 120% de plus que les entreprises de moins de 500 salariés et 56% de plus que les entreprises de 501 à 999 employés.

De façon générale, les entreprises doivent faire face à 3 défis majeurs :
  • la dispersion des données (où sont-elles stockées ?),
  • le volume (combien de données sont collectées et partagées ?),
  • la propriété (à qui appartiennent les données et qui en est responsable ?).
Les entreprises françaises qui souhaitent se mettre en conformité avec le RGPD doivent pouvoir contrôler les importants volumes de données personnelles répartis de manière disparate à travers leur système d’informations. Si les décideurs informatiques interrogés révèlent utiliser en moyenne 22 systèmes pour gérer et stocker ces données, 18% en utilisent plus de 40. Sans compter que 54% des répondants partagent les données personnelles de leurs clients avec des entreprises tierces, ce qui contribue à éparpiller encore davantage les informations dont ils ont la responsabilité. En moyenne, les données sont partagées avec 40 autres entreprises mais ce nombre monte à 76 et plus dans 18% des cas. Si une grande majorité des décisionnaires informatiques pense garder la main sur les données partagées, 15% reconnaissent perdre au moins une partie du contrôle.

Une moisson de données
En termes de collecte des données personnelles, les entreprises françaises en collectent en moyenne auprès de 545 individus chaque jour. Pour 38% des grandes entreprises, ce sont plus de 1 001 individus qui sont concernés chaque jour, entrainant d’importants flux de données à traiter toutes les 24h. Seules 7% des entreprises de 250 à 500 employés atteignent de tels volumes.

51% des entreprises sondées admettent stocker les données personnelles pendant 3 ans ou plus et 17% pendant plus de 10 ans. Malgré les investissements nécessaires au stockage et à la protection de ces données sur de longues périodes, 27% des répondants reconnaissent ne pas les utiliser dans leur totalité. Ils sont 5% à admettre ne jamais utiliser les données qu’ils stockent.

Attribuer la propriété des données
Près de deux tiers (64%) des entreprises interrogées stockent et gèrent des données personnelles en fonction d’informations fournies par des analyses prédictives (par exemple, les habitudes d’achat des clients et leurs préférences). Malgré cela, elles semblent rencontrer des difficultés à désigner avec certitude qui détient ces données. Seules 18% d’entre elles pensent que le client en est propriétaire, alors que 57% nomment l’entreprise. 12% accordent la propriété de ces données aux fournisseurs de solutions d’analyse prédictive. 13% indiquent ne pas savoir ou ne pas accorder la responsabilité à l’un de ces trois acteurs (entreprise / client / fournisseur).

Attribuer la responsabilité des données
Comprendre qui détient et qui est responsable des données est l’une des premières étapes indispensables vers la conformité avec le RGPD. Pour cela, il est important que les entreprises établissent des règles claires, et que ces règles soient partagées avec l’ensemble des employés, et non seulement le service informatique. En effet, l’étude révèle que 35% des entreprises décident des stratégies de stockage et de partage des données personnelles département par département, faisant peser une importante responsabilité sur les utilisateurs métiers.

"Bien que beaucoup d’entreprises françaises aient commencé leurs efforts de mise en conformité, notre recherche montre clairement que les obstacles restent nombreux, et que la technologie ne pourra résoudre qu’une infime partie d’entre eux, explique Emmanuel Schupp, directeur général de Citrix France. Car la gouvernance des données est avant tout affaire de stratégie, de méthodologie et de volonté d’entreprise".



Les 10 derniers articles
Services
  • EST
  • Proposer un communiqué de presse
Communiqués de presse