GDPR : perception et enjeux pour les entreprises françaises

06 Oct

GDPR : perception et enjeux pour les entreprises françaises

Le 14 septembre dernier, Karim Bahloul présentait l’état d’avancement des entreprises sur le règlement général sur la protection des données (GDPR) qui sera applicable dès le 25 mai 2018. Résumé de son intervention.

Le GDPR est de plus en plus un sujet sensible pour les entreprises. Et pour cause, la date limite pour son application approche à grands pas. C’est en effet le 25 mai 2018 que les entreprises françaises devront faire valoir leur capacité à gérer correctement les données qu’elles collectent et qu’elles utilisent, que ce soit pour des motivations externes (et plus particulièrement marketing) ou même internes. À partir de cette date, les entreprises devront donc pouvoir indiquer, entre autres, qui est le représentant légal de la collecte des données, quel sera leur usage et pourquoi il est nécessaire au développement de l’entreprise ou encore comment les consommateurs pourront accéder à celles-ci pour les modifier ou les supprimer.

Quelle est donc la maturité des entreprises françaises en la matière ? Pour Karim Bahloul, Directeur des Etudes et de la Recherche, qui a dirigé le baromètre du GDPR auprès de 150 entreprises de plus de 500 salariés, « toutes les entreprises ne seront pas prêtes en 2018 ». Tout d’abord, le niveau de maturité des entreprises varie en fonction du secteur. Pour ce qui est de la mise en application à proprement parler du GDPR, 9% des entreprises ou institutions se disent prêtes (avec néanmoins quelques ajustements à régler d’ici à mai 2018), 19% ont entamé une initiative pour être conforme dès 2017 et enfin 30% visent la date butoir de 2018.

Bien entendu, les secteurs d’activités eux-mêmes ne sont pas égaux face à l’acquisition et aux traitements des données. « Le secteur de la banque, de l’assurance et de la santé sont très sensibles à cette problématique car ils sont déjà soumis à des règlementations très importantes, souligne Karim Bahloul. Par ailleurs, il est intéressant de noter que nombre d’entreprises ne voient pas forcément l’arrivée du GDPR comme une mauvaise chose et sont plutôt positives quant à sa mise en oeuvre ». Dans les faits, les bénéfices sont même nombreux : une seule réglementation qui couvre l’ensemble du territoire européen avec une simplification des processus juridiques ; une meilleure maitrise des données dans l’ensemble de l’entreprise ; une meilleure valorisation des données pour le développement de nouveaux services ; ou enfin une plus grande sécurisation et confidentialité de toutes les données. Globalement, cette bonne gestion est même un atout pour la réputation des entreprises qui vont démontrer leur capacité à savoir bien gérer les données… et donc à bien respecter ses clients, ses partenaires ou ses salariés.

Personne ne part de zéro

La mise en oeuvre de ce chantier soulève plusieurs difficultés pour les entreprises, certaines étant un vrai challenge pour les structures les moins matures en matière de GDPR, comme par exemple la notification de violation sous 48h, le chiffrage et l’anonymisation, ou encore la mise en place d’un service de demande d’accès aux données réelles des clients. D’autres points posent également soucis et sont encore mal appréhendés comme le droit à l’oubli, l’effacement des données ou le délicat problème du transfert de données hors Europe.

« Mais dans ce dossier, personne ne part de zéro, estime Karim Bahloul. Il est important de faire un audit de conformité car il existe sans doute un ensemble de dispositions qui existent déjà et qui peuvent s’inscrire dans le cadre du GDPR. Il suffit souvent de les identifier ». Deux sujets sont néanmoins importants dans les contextes du GDPR : l’identification des applications concernées par la mesure et la cartographie des données, avec l’évaluation et la classification des données personnelles.

Le GDPR, mais avec qui ?

Le GDPR impose un travail de proximité entre les directions métier et la DSI. Mais sur quel modèle de gouvernance ? Pour 50% des entreprises contactées il s’agit d’un projet à part entière disposant de ses propres équipes et mode de gouvernance, alors que 34% d’entre elles considèrent que cette initiative doit s’inscrire dans un projet plus large, le plus souvent celui de la sécurité informatique. Seules 16% des entreprises ne savent pas encore comment et avec qui gérer la GDPR. Il est absolument certain que le DPO (Data Protection Officer) va devenir le « monsieur données » incontournable dans les entreprises au cours des prochains mois…

Pour en savoir plus sur l’Observatoire GDPR, cliquez ici

Ecrire un commentaire: