Rédigé par Olivier NICOLAS, Directeur Business Unit SOFTEAM Software.
Quel est l’état des lieux du RGPD ?
McKinsey[1] fait un état des lieux de la prise en compte du RGPD en entreprise depuis la mise en vigueur de la réglementation en mai 2018.
Tout d’abord, les analystes constatent que peu d’entreprises sont aujourd’hui 100% conformes. La moitié des sociétés se considèrent mal préparées. Elles assurent leur conformité manuellement. Les défis organisationnels persistent également, en particulier pour respecter les droits des personnes concernées mais aussi la gestion des fuites de données personnelles quand elles sont détectées. Les entreprises ont le plus grand mal à mettre en place des solutions durables.
“50% des entreprises se considèrent mal préparées au RGPD”
McKinsey précise que cette immaturité des entreprises ne concerne pas seulement les entreprises européennes mais elle est un problème mondial puisque toute entreprise manipulant des données personnelles (clients, employés) de résidents européens doivent se conformer au RGPD. De plus, d’autres pays ont introduit des règlementations inspirées du RGPD : les entreprises doivent aussi protéger des données personnelles des Australiens, Brésiliens, Californiens, Japonais et Coréens du Sud.
Quels risques pour les entreprises ?
Les risques pour les entreprises sont connus : une réputation écornée (pour le moins) et un portefeuille allégé. Le Ponemon Institute avec IBM a mené une enquête auprès de 507 organisations à travers le monde entre juillet 2018 et avril 2019. Ces organisations représentaient toutes les filières : santé, finance, énergie, pharmaceutique, industrie, technologie, éducation, services, spectacle, transports, communication, biens de consommation, média, hôtellerie, distribution, recherche, secteur public.
En moyenne, une fuite de donnés coûte 3,92 millions de dollars (M$) à une entreprise dont 1,42 M$ en perte de chiffre d’affaires.
“En moyenne une fuite de données coute 3,92 M$ à une entreprise, dont 1,42 M$ en perte de CA”
Les pays les plus touchés sont les États-Unis (un coût moyen par entreprise de 8,19 M$), le Moyen Orient (5,97 M$), l’Allemagne (4,78 M$), le Canada (4,44 M$), la France (4,33 M$) et le Royaume-Uni (3,88 M$).
Pour une fuite massive (plus d’un million de dossiers), le coût est estimé en 2019 à 42 M$ et pour une fuite super-massive (plus de 50 millions de dossiers) il est de 388 M$.
McKinsey précise que les cinq facteurs principaux qui contribuent le plus à ces fuites sont :
- La sous-traitance
- Le défaut de conformité
- La migration dans le Cloud
- La complexité du système d’information
- La gestion opérationnelle du système d’information
Enfin la probabilité pour une entreprise de subir une fuite de données dans les deux ans augmente : elle était de 22,6% en 2014, elle est de 29,6% en 2019. Presque une entreprise sur trois sera touchée par une fuite de données.
“1 entreprise sur 3 sera touchée par une fuite de données”
Une gestion du RGPD sur le long terme
Il convient donc de mettre en place des mesures de sécurité adaptées. En plus des mesures conventionnelles comme la gestion des habilitations, la traçabilité ou la sécurisation des équipements, des mesures préconisées par la règlementation RGPD peuvent être mises en œuvre comme la pseudonymisation, le chiffrement ou l’anonymisation. Pour cela, il faut inventorier les traitements, les données personnelles manipulées et les mesures de sécurité prises ou à prendre et constituer ainsi le plan d’actions de la conformité.
Il convient aussi de revoir les processus internes de l’organisation, de formaliser des procédures et de les automatiser là où aujourd’hui elles sont majoritairement manuelles et parfois ne constituent que des solutions de contournement.
En particulier, rappelons que les résidents européens peuvent exprimer leurs droits (accès, modification, oubli etc.) auprès des entreprises et des administrations. Ces demandes, si elles sont traitées manuellement par les entreprises, peuvent constituer une charge de travail importante pour les organisations. D’autant que les citoyens seront de plus en plus conscients de leurs droits et donc de plus en plus concernés par l’utilisation qui peut être faite de leurs données. Mais les entreprises devront aussi compter sur les requêtes des autorités de contrôle comme des groupes d’intérêt, des réseaux sociaux et des médias. Un client qui considère ne pas avoir été traité équitablement pourra causer des dommages à la réputation de l’entreprise. Nous ne saurions que trop recommander de mettre en place un Guichet Numérique d’expression des droits qui indique clairement au client que l’entreprise se soucie de la protection de ses données et automatise les workflows de traitement par l’entreprise des demandes des personnes concernées.
“Automatiser l’expression des droits des personnes concernées”
Une autre procédure essentielle concerne la déclaration à l’autorité de contrôle (la CNIL en France) de toute fuite de données. Et le délai est réduit : 72 heures. Ce qui est court pour une organisation en état de stress, surtout si elle est grande et décentralisée. Seulement 25% des entreprises interrogées par McKinsey affirment qu’elles peuvent tenir ce délai alors que les estimations indiquent que ces déclarations vont être 100 fois plus nombreuses dans les années à venir. Là aussi, une automatisation de la relation avec l’autorité est un facteur clé de succès.
“Automatiser la déclaration de fuite avant 72 heures”
McKinsey considère le RGPD et la protection des données comme « des actifs stratégiques au service d’une croissance durable des entreprises ».
Conclusion
Le RGPD favorise la prise de conscience chez les clients de l’inversion du pouvoir sur leurs données personnelles. Il les rend maitre de celles-ci, mettant ainsi les entreprises de plus en plus sous pression. Au risque de se faire submerger par la tâche de mise en conformité et ses obligations, de perdre des revenus lors de fuites de données et finalement de perdre la confiance de leur marché (globalisé) et de leurs employés, les entreprises se doivent de :
- prévoir dès la conception de leur Système d’Information la protection des données (Privacy-by-design)
- automatiser et rationaliser leur approche en formalisant les procédures
McKinsey conclut en affirmant que ce n’est qu’en automatisant que les entreprises relèveront le défi du maintien de la conformité RGPD à long terme.
[1] Daniel Mikkelsen, Henning Soller, Malin Strandell-Jansson, Marie Wahlers « GDPR compliance since May 2018: A continuing Challenge », McKinsey, juillet 2019