Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

BAROMETRE RGPD DU 2nd TRIMESTRE 2017 : Maturité en hausse, mais la conformité au 25 mai 2018 reste une chimère…

octobre 2017 par Marc Jacob et Emmanuelle Lamandé

Pour cette seconde édition du baromètre* RGPD, 112 entreprises hexagonales, tant du secteur privé que public, ont répondu de façon anonyme au questionnaire élaboré par Global Security Mag, avec le concours de l’AFCDP, du CLUSIF et de l’ADPO et le support de QUALYS. Ce second questionnaire abordait deux éléments principaux de la mise en conformité RGPD : le registre des activités de traitement (article 30) et la mise en place des solutions techniques pour assurer un niveau de sécurité adapté aux risques (article 32). Au final, si la maturité des entreprises par rapport au RGPD semble en hausse, la parfaite conformité au 25 mai 2018 reste pour la plupart d’entre elles une chimère…

Avant d’entrer dans le vif du sujet, il faut noter que l’indice de compréhension personnelle des répondants relative au RGPD est en hausse avec 71 sur une échelle de 100, contre 62 il y a encore 3 mois. Cela montre un progrès notable dans la compréhension des enjeux et donc certainement dans la manière de conduire le projet de mise en conformité.

Le niveau de compréhension et de support de la part de la direction générale a, quant à lui, été évalué à 45 (sur cent), ce qui semble démontrer que le RGPD commence enfin à être pris sérieusement en compte au niveau du COMEX.
Toutefois, avec un indice quasi identique de 33 contre 35 précédemment, les répondants mettent en évidence une compréhension toujours très limitée de la part du reste de l’entreprise (peut-être au niveau des métiers ?).

De son côté, l’indice de confiance relatif à la possible conformité de leur entreprise avec le règlement au 25 mai 2018 s’effondre en passant de 19% au trimestre dernier à 11%. Dans le même temps, une conformité partielle serait envisagée pour 57% des répondants contre 33% il y a 3 mois. Il semble donc qu’une prise de conscience vis-à-vis de l’effort à réaliser ait eu lieu…

Qui porte le projet RGPD au sein des organisations ?

Le CIL (Correspondant Informatique et Libertés) reste l’élément le plus moteur dans la mise en conformité RGPD pour plus de 46% des répondants. Ce dernier est suivi de près par la DSI, en nette augmentation avec 39%, contre à peine 14% pour le baromètre précèdent. Enfin, vient le DPO ou futur DPO avec 32% contre à peine 14% précédemment, à égalité avec le service juridique. En ce qui concerne le DPO, l’évolution est synonyme d’une augmentation rapide des nominations à ce poste.

Quel est le degré d’avancement sur les travaux liés au RGPD ?

Par rapport à la précédente enquête, on note une nette progression quant à la mise en place de groupes de travail dédiés. En effet, une entreprise sur quatre en avait un au 1er trimestre, alors que 43% en ont constitué un aujourd’hui ou sont en train de le faire.
Toutefois, les résultats montrent aussi que le chemin sera long. Au niveau de la sensibilisation des collaborateurs, 7% des entreprises ont d’ores et déjà mené des actions et 61% sont en cours de processus. 25% d’entre elles n’ont cependant toujours pas commencé et 7% ne savent pas de quoi il s’agit…
De son côté, la cartographie des données personnelles au sein du SI reste à effectuer pour 36% des entreprises. Quant à la protection des données by design, plus de 57% d’entre elles n’ont pas encore entrepris cette démarche, ce qui n’augure rien de bon dans un objectif de future conformité…

En outre, 64% des entreprises n’ont pas encore initié leurs travaux en matière d’analyses d’impacts relatives à la protection des données (PIA/AIPD). Cette situation est assez préoccupante en ce qui concerne les PIA dans la mesure où il s’agit de l’une des pierres angulaires du RGPD. Au-delà des 64% n’ayant pas encore initialisé cette démarche, seules 7,4% des entreprises en ont déjà réalisé et 21% environ sont en cours. Il est à noter que 4% précisent qu’elles n’en feront pas et 4% ne savent même pas de quoi il s’agit.

Nous rappelons à cette occasion qu’une AIPD sera en principe obligatoire pour tout traitement susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques (article 35 du RGPD [1]).

Près de 93% des entreprises ont un registre ou sont en train de le créer

Le registre des traitements des données personnelles est déjà constitué pour environ 43% des entreprises et 50% sont en train de le créer. Seulement 3,5% des entreprises interrogées n’ont pas encore franchi le pas.

Selon notre baromètre, dans plus de 10% des cas, ce registre serait exhaustif, et pour 46% des répondants la liste des traitements serait à peu près complète. Par contre, dans encore près de 36% des cas, celle-ci reste incomplète, voire très incomplète.

Concernant la compréhension du périmètre que ce registre doit couvrir, pour près de 47%, la liste devrait englober la totalité des traitements, y compris ceux dispensés de déclaration à la CNIL et ceux soumis à autorisation. Alors que, dans un peu plus de 32% des cas, elle est focalisée sur les seuls traitements qui doivent faire l’objet d’une déclaration auprès de la CNIL (ndlr : un héritage de la Loi Informatique et Libertés probablement, est-ce suffisant ?).

Il faut noter que, dans 86% des entreprises interrogées, l’inventaire recense les données liées aux traitements (données structurées liées aux applications sous-jacentes aux traitements). Pour 74% d’entre elles, cela concerne aussi les données confiées à des tiers (hébergement, outsourcing), ce qui montre bien une préoccupation claire des entreprises face à cette problématique. Quant aux donnés déposées dans le Cloud, près de 63% abordent d’ores et déjà ce sujet.

La feuille Excel : l’outil préféré des entreprises pour gérer le registre des traitements

Par contre, ces listes sont gérées sur la « vieille feuille Excel », qui reste comme à l’habitude l’outil ultime avec un score de plus de 53%. Seulement près de 32% des entreprises utilisent un logiciel payant ou open source installé en interne ou en mode SaaS.
C’est selon nous un sujet de préoccupation pour le maintien à long terme, cependant on voit émerger l’adoption d’outils dédiés beaucoup plus évolués en mode « on-premise » ou SaaS. Ces outils rendent le registre beaucoup efficace, riche et utilisable comme un des points de contrôle de la conformité. Il est également à noter qu’une infime partie des répondants utilise encore le support papier.

Les outils de gestion des accès ont le vent en poupe !

Quant aux outils techniques choisis pour assurer un niveau de sécurité adapté aux risques (article 32), nous aurions pu nous attendre à voir les solutions d’anonymisation, de pseudonymisation et de chiffrement des données personnelles pointer en pole position, mais c’est la gestion des accès et des comptes à privilège (PAM) qui arrive en tête (65%). Toutefois, on constate avec beaucoup de satisfaction qu’un intérêt massif semble émerger à terme sur ces 3 domaines pour une bonne moitié des répondants.
Puis viennent les solutions de gestion, de contrôle et de traçabilité des identités et des accès aux applications et aux données avec près de 54%, une bonne résolution pour se mettre à l’abri des risques de violation de la part des « Insiders ».
Est-ce dû à un bon marketing des éditeurs ou encore grâce au phénomène des « ransomwares » qui démontre chaque jour l’intérêt d’avoir un bon outil de gestion des accès à privilèges et des identités ?...

Avec seulement 15%, la découverte automatisée des données à caractère personnel dans le SI ne fait pas recette aujourd’hui, mais présente un intérêt et donc une piste à suivre dans les mois à venir pour 35% des répondants. Cette mesure semble être une précaution quand il est difficile de cartographier finement les traitements.

Enfin, concernant le SIEM, le DLP et la protection des emails, il est intéressant de voir où les entreprises situent leurs efforts et investissements dans ces domaines, avec respectivement 28%, 23% et 36%.

En conclusion, ce second baromètre montre que plus on s’approche de la date fatidique du 25 mai 2018, plus les entreprises prennent conscience de l’ampleur de la tâche à accomplir… et laisse à penser que la conformité RGPD dans les temps impartis reste à l’heure actuelle une chimère…


Téléchargez la version PDF


[1] https://www.gdpr-expert.eu/article.html?id=35&post_type=post#textesofficiels


* Résultats au 28 juillet de l’étude réalisée du 1er mai au 28 juillet 2017

Présentation de l’échantillon

• 21% de grands groupes (plus de 5 000 employés)
• 25% d’ETI
• Et 54% de PME/PMI de moins de 1 500 salariés

• 50% en provenance du secteur privé
• 43% du secteur public
• 7% d’associations

Les catégories professionnelles les plus représentées :
• 43% de RSSI/CISO
• 32% de CIL et 21% de futurs DPO


Articles connexes:

Voir les articles précédents

    

Voir les articles suivants