Selon une étude réalisée par Check Point Software, les entreprises ont bien avancé sur la mise en conformité avec le règlement européen. Certains résultats laissent toutefois dubitatifs quand on sait que très peu d’entreprises maîtrisent pleinement leurs données.

En mai 2018, le règlement général sur la protection des données (RGPD) entrait en vigueur et force était de constater que peu d’entreprises avaient préparé le terrain. L’objectif de la directive européenne était clair : permettre à chaque citoyen de l’UE de reprendre le contrôle de ses données. Sa mise œuvre, en revanche, l’était moins: un climat de confusion a longtemps régné dans les entreprises, faute de directives explicites sur les moyens ou encore les méthodes à déployer. Un an plus tard, le fournisseur de solutions de cybersécurité Check Point Software s’est associé au cabinet d’études OnePoll pour faire un nouveau bilan et les résultats sont plutôt étonnants.

Des consommateurs satisfaits

Côté citoyen, le RGPD semble porter ses fruits. Selon l’étude menée auprès de 1 000 directeurs techniques, directeurs informatiques, responsables informatiques et responsables de la sécurité, en France, en Allemagne, en Italie, en Espagne et au Royaume-Uni, 75 % des organisations estiment en effet que le règlement a eu un impact bénéfique sur la confiance des consommateurs. Au passage, elles sont également 73 % à penser qu’il a renforcé la sécurité de leurs données.

Des avancées significatives en entreprise

De leur côté, les entreprises auraient considérablement avancé dans l’application de la directive européenne : interrogées sur l’évaluation de leur performance quant à leur conformité aux exigences du RPGD sur une échelle de 0 à 10 (0 étant « mauvaise » et 10 « excellente »), la note moyenne attribuée était positive à 7,91.
De fait, seulement 4% des entreprises auraient déclaré ne pas encore avoir démarré le processus de mise en conformité contre 60% qui auraient pleinement appliqué toutes les mesures du RGPD. Pour y parvenir, ces dernières auraient majoritairement (53%) mis en place un groupe de travail. Certaines (45%) auraient même alloué un budget spécifique pour couvrir les coûts de mise en œuvre (27 % des personnes interrogées ont investi entre 50 000 et 150 000 euros) et 41% auraient fait appel à des consultants spécialisés.
Parmi les principales mesures informatiques prises par les entreprises pour répondre aux exigences de la directive européenne, l’étude cite notamment l’adoption de mesures de sécurité standard (44 %), la formation collaborateurs pour les aider à mieux comprendre les risques liés à la sécurité des données (41 %) ou encore l’adoption d’un système de contrôle des accès et du chiffrement (41 %). Et c’est précisément là que les résultats de cette étude commencent à sérieusement poser question.

Des résultats qui laissent septiques

De fait, l’étude se concentre sur la robustesse des infrastructures en termes de sécurité. Elle sort même du placard l’épouvantail du cloud : « 7 % environ des entreprises auraient pris la décision radicale de cesser totalement d’utiliser des solutions dans le Cloud, se privant ainsi des nombreux avantages proposés, notamment une sécurité (paradoxalement) renforcée ». Mais à aucun moment, elle ne se penche sur la problématique posée par la multiplication des sources de données et la complexification du paysage applicatif dans lequel la donnée circule (applications métier, écosystèmes décisionnels, app mobiles…), ce qui complique le traçage de son parcours.
Dit autrement, pour bon nombre d’entreprises, la mise en conformité avec la directive européenne supposait une première étape de cartographie des données éparpillées dans le système d’information, sur les ordinateurs portables des collaborateurs ou encore dans le cloud. Difficile de croire qu’elles aient réussi à boucler en un an un aussi gros chantier qui pose des problèmes à la fois organisationnels et techniques. L’étude ne le précise pas, mais est-on réellement certain que parmi les « 60% d’entreprise qui auraient pleinement appliqué toutes les mesures du RGPD », il ne subsiste aucun commercial équipé d’une application sur son ordinateur portable avec une base dotée d’un champ commentaire permettant de stocker toute sorte d’informations sur les clients qui pourraient ne pas être conformes ? De la même façon, ces 60% d’entreprises ont-elles réellement fait le travail nécessaire pour se conformer à la disposition relative à la portabilité des données ? Partant du principe que les données d’un client sont présentes à plusieurs endroits (CRM, ERP, logistique, etc.) avec des attributs différents et que de toute façon peu d’entreprises disposent d’une véritable gouvernance des données garantissant notamment la cohérence, on a vraiment du mal à croire qu’elles aient en 12 mois réalisé ce travail titanesque de cartographie, sans lequel toute conformité est simplement impossible…