Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Compuware Corporation : Plus de 2/3 des entreprises sont potentiellement en infraction avec les nouvelles lois européennes sur la protection des données personnelles

septembre 2016 par Compuware Corporation

Compuware Corporation publie une nouvelle étude qui révèle que beaucoup d’entreprises, tant en Europe qu’aux États-Unis, sont mal préparées à appliquer la règlementation européenne sur la protection des données qui vient d’être approuvée. En effet, elles risquent d’enfreindre les règles régissant l’utilisation et le contrôle des données personnelles.

Voici quelques-unes des principales conclusions de l’étude :

• Plus de la moitié (55 %) des entreprises européennes sont bien informées sur cette nouvelle règlementation et sur la façon dont les données clients doivent être traitées.
• Malgré les risques liés au non-respect de leurs obligations, 68 % des entreprises n’ont pas encore mis en place de plan complet détaillant ce qu’elles mettront en œuvre vis-à-vis de cette loi, avec en 1ere position le Royaume-Uni (82 %) suivi de la France (71 %) et de l’Italie (64 %).
• Plus de la moitié (52 %) des entreprises aux États-Unis conservent des données sur des clients européens, et devront donc elles aussi se conformer au règlement européen. Cependant, elles ne sont que 43 % à se dire bien informées sur le règlement et son impact.

Parmi les facteurs compliquant le respect de ce nouveau règlement européen figurent :
• une complexité informatique croissante,
• la prolifération des nouvelles applications faisant appel aux pratiques Agile et DevOps,
• la collecte permanente de données toujours plus nombreuses,
• la sous-traitance informatique.

La grande majorité des répondants (63 %) admet que la complexité des données est l’un des principaux obstacles au respect du règlement, et pour 53 % des répondants, obtenir et gérer le consentement des clients pour utiliser leurs données serait un autre obstacle majeur.

Droit à l’oubli : un niveau de contrôle insuffisant

L’étude souligne que les entreprises peinent à contrôler leurs données, ce qui compliquera le respect du « droit à l’oubli ». Voici quelques-unes des principales conclusions :
• 68 % des répondants considèrent que la complexité des services informatiques modernes ne leur permet pas toujours de savoir où les données des clients sont conservées.
• Plus de la moitié des répondants (53 %) indiquent qu’il leur est particulièrement difficile de localiser leurs données de test.
• Un peu plus de la moitié (51 %) des DSI peuvent localiser rapidement la totalité des données personnelles d’un individu, et près d’un tiers (30 %) admettent ne pas pouvoir le garantir.
• Les répondants déclarent également que le recours à la sous-traitance informatique (81 %) ainsi que les technologies mobiles (63 %) compliquent davantage la localisation des données clients.
• Pour près de la moitié (45 %) des répondants, accéder à la demande d’un individu qui souhaiterait avoir connaissance de la totalité des données le concernant qui résident sur les systèmes d’une entreprise mobiliserait beaucoup de temps et de ressources.
• Un peu plus de la moitié (52 %) des répondants seraient capables d’effacer toutes ces données efficacement si l’individu voulait exercer son « droit à l’oubli ».

« Pour respecter le règlement général sur la protection des données, les entreprises doivent exercer un contrôle plus strict de l’emplacement des données client », explique le docteur Elizabeth Maxwell, spécialiste certifiée de la protection des données et directrice technique EMEA de Compuware. « Faute de pouvoir localiser chaque copie des données client sur chacun de leurs systèmes, elles risquent de perdre un temps considérable à lancer des recherches manuelles pour retrouver les données des personnes qui exercent leur droit à l’oubli. Et même dans ce cas, elles ne parviendraient pas forcément à identifier l’ensemble des copies et risqueraient donc de ne pas respecter le règlement. »

Tester les limites du consentement

L’étude établit que 86 % des entreprises utilisent des données client réelles pour tester des applications dans le cadre du développement de logiciels. Toutefois, une entreprise sondée sur cinq seulement demande son consentement explicite au client avant d’utiliser ses données : la majorité ne respecte donc pas le règlement. Plus alarmant : 43 % des répondants qui testent des applications avec des données réelles exposent la vie privée des clients à un risque accru car ils ne peuvent garantir que ces données soient dépersonnalisées avant d’être utilisées !

« Utiliser des données client pour tester des applications est une pratique assez répandue mais rien n’excuse ni ne justifie que ces données ne soient pas dépersonnalisées au préalable » ajoute Elizabeth Maxwell. « Les entreprises qui ne masquent pas les données avant de les utiliser pour tester des applications pourraient bientôt se voir infliger des amendes conséquentes par les régulateurs de l’UE. En plus d’assurer une meilleure protection de la vie privée des clients, l’anonymisation des données évite de devoir obtenir le consentement explicite des clients pour utiliser leurs données en vue de tester des applications, une démarche perçue par une bonne moitié des DSI (53 %) comme l’un des principaux obstacles au respect du règlement général sur la protection des données. »


Méthodologie
Commandée par Compuware, l’étude a été menée par la société d’études indépendante Vanson Bourne qui a interrogé 400 DSI de grandes entreprises représentatives des marchés verticaux en France, en Allemagne, en Italie, en Espagne, au Royaume-Uni et aux États-Unis. Les résultats de l’étude sont analysés de manière plus détaillée dans le livre blanc ABC.


Voir les articles précédents

    

Voir les articles suivants