Quelles potentielles répercussions craignez-vous en cas de non-conformité de votre organisation avec GDPR ? » Question posée aux 900 répondants
Une étude menée à l’échelle mondiale par Veritas Technologies, leader mondial de la gestion de l’information, révèle que 86% des entreprises dans le monde sont inquiètes des répercussions qu’un défaut de conformité au règlement général sur la protection des données (GDPR) pourrait entraîner sur leur business. Parmi elles, près de 20%, soit une entreprise interrogée sur cinq, craignent de devoir mettre la clé sous la porte en cas de non-conformité. En effet, les pénalités peuvent atteindre 20 millions d’euros ou représenter 4% du chiffre d’affaires annuel, le montant le plus élevé étant retenu.
Destiné à harmoniser la gouvernance des informations personnelles au sein des pays membres de l’Union européenne, GDPR impose de savoir précisément où et comment les données sensibles sont stockées et transférées et comment leur accès est encadré et contrôlé par les entreprises. Ces données concernent aussi bien les informations personnelles que les cartes de crédit ou encore les coordonnées bancaires et les données de santé. La réglementation, qui entrera en vigueur le 25 mai 2018, ne concerne pas uniquement les entreprises au sein de l’UE, la réglementation s’applique mondialement à toute entreprise proposant des biens et des services aux citoyens de l’UE ou analysant leur comportement en surveillant par exemple leurs habitudes d’achat. L’étude indique que 47% des entreprises interrogées dans le monde redoutent de ne pas être en mesure de répondre aux exigences de la réglementation en temps et en heure.
Les résultats sont issus du rapport Veritas 2017 GDPR Report pour lequel 900 décideurs ont été interrogés en 2017 en Europe, aux Etats-Unis et en Asie Pacifique. Ils mettent également en évidence que 18% des entreprises craignent qu’un défaut de conformité ne les pousse à mettre fin à leurs activités. De plus, 21% se montrent très préoccupées par les amendes potentielles qui pourraient entrainer des réductions de personnel afin de compenser le montant des pénalités infligées en cas de non-conformité à GDPR.
Les entreprises s’inquiètent également des répercussions qu’un défaut de conformité pourrait entrainer sur leur image de marque, plus particulièrement si un incident venait à être rendu publique, la nouvelle réglementation imposant en effet de notifier toute violation de données aux personnes concernées. 19% des personnes interrogées se montrent préoccupées par les éventuelles couvertures négatives dans les media et sur les réseaux sociaux qui pourraient les amener à perdre des clients. De plus, une sur dix (12%) se dit très inquiète de la dévalorisation que pourrait engendrer ces couvertures négatives sur leur marque.
Le manque de technologie appropriée freine la préparation à GDPR
L’étude souligne également que beaucoup d’entreprises peinent à déterminer quelle est la nature des données dont elles disposent, à savoir où elles sont localisées et à évaluer quelle est leur pertinence business. Des critères pourtant essentiels pour assurer les premières étapes de mise en conformité avec GDPR. Selon les résultats de l’étude, elles auraient des difficultés à résoudre ces problématiques car elles ne seraient pas équipées des technologies adéquates pour répondre aux exigences de la réglementation.
Près d’un tiers des répondants (32%) redoutent que les technologies actuellement en place dans leur entreprise ne soient pas capables de gérer leurs informations efficacement ce qui pourrait entraver la recherche, la découverte et la vérification des données, des critères clés pour garantir la conformité avec GDPR.
De plus, 39% des répondants estiment que leur entreprise n’est pas en mesure d’identifier et de localiser correctement les données pertinentes. Pourtant, la réglementation exige que les entreprises transmettent à toute personne qui en ferait la demande une copie des données la concernant ou procèdent à leur suppression sous un délai de 30 jours.
La conservation des données est également une préoccupation majeure. 42% des entreprises admettent qu’aucune démarche n’est mise en place pour déterminer quelles données doivent être sauvegardées et quelles sont celles à supprimer (en fonction de leur valeur). Dans le cadre de GDPR, les entreprises peuvent conserver des données personnelles seulement si celles-ci sont toujours utilisées pour les raisons notifiées auprès des individus au moment de la collecte de leurs données. En revanche, elles doivent être supprimées si leur utilisation n’est plus nécessaire pour les raisons invoquées au moment de la collecte.
Les investissements pour assurer la conformité à GDPR
L’étude de Veritas met en évidence que moins d’un tiers des répondants (31%) pensent que leur entreprise est en conformité avec GDPR. Pour celles travaillant actuellement à la mise en conformité, des investissements à près de 7 chiffres sont envisagés. En moyenne, les entreprises prévoient de dépenser plus de 1,3 millions d’euros.
Les défis rencontrés en fonction des pays interrogés
Le chemin vers la conformité est encore long pour de nombreuses entreprises partout dans le monde.
• Du retard dans la préparation : le rapport souligne d’importantes disparités en fonction des pays en matière de préparation à GDPR. Singapour, le Japon et la République de Corée sont les plus en retard. 56% des répondants à Singapour craignent ne pas pouvoir répondre aux exigences de la réglementation dans les temps. La situation est pire au Japon et en République de Corée où ce pourcentage dépasse les 60%.
• La crainte de mettre la clé sous la porte : c’est aux Etats-Unis et en Australie que les entreprises redoutent le plus la faillite en cas de défaut de conformité. Près de 25% des répondants dans ces deux pays craignent que la non-conformité ne menace la pérennité de leur entreprise.
• La peur des licenciements : de même, c’est aux Etats-Unis et en Australie que la crainte des licenciements pour compenser le montant des amendes appliquées en cas de défaut de conformité est la plus élevée. 26% des répondants aux Etats-Unis s’inquiètent des réductions de personnel et ce pourcentage atteint 30% en Australie. C’est également la principale préoccupation en République de Corée, où 23% des répondants redoutent des licenciements.
• Inquiétudes concernant l’image de marque : en Asie Pacifique, les entreprises se montrent particulièrement soucieuses de l’impact qu’un défaut de conformité pourrait avoir sur la réputation de leur marque. 20% des répondants à Singapour craignent de perdre des clients suite à une couverture médiatique négative ou à une mauvaise publicité sur les réseaux sociaux. Un chiffre qui atteint les 21% au Japon et en République de Corée.
« Il reste à peine plus d’un an avant que GDPR n’entre en vigueur, mais l’attitude qui consiste à se dire « j’ai encore le temps » persiste dans les entreprises du monde entier. Pourtant, que vous soyez localisés au sein de l’Union européenne ou non, importe peu. A partir du moment où votre entreprise a des activités dans la région, la réglementation s’applique à vous » rappelle Mike Palmer, Executive Vice President et Chief Product Officer chez Veritas. « Pour ces entreprises, il est temps qu’elles sollicitent les bons conseils pour déterminer précisément leur niveau de préparation et pour les aider à établir une stratégie précise afin d’assurer leur conformité. Car un défaut de conformité pourrait bien mettre en péril les emplois, l’image de marque et la pérennité des entreprises ».
Méthodologie
Veritas a confié au cabinet d’études indépendant Vanson Bourne la réalisation de cette étude.
Au total, 900 décideurs d'entreprise ont été interrogés en février et mars 2017 aux États- Unis, au Royaume-Uni, en France, en Allemagne, en Australie, à Singapour, au Japon et en République de Corée. Les répondants faisaient partie d'entreprises comptant au moins 1 000 employés et appartenant à tout type de secteur. Pour être admissibles à la recherche, les répondants devaient travailler dans des entreprises ayant des activités au sein de l’UE et détenant ainsi des données personnelles sur les citoyens de la zone.
Destiné à harmoniser la gouvernance des informations personnelles au sein des pays membres de l’Union européenne, GDPR impose de savoir précisément où et comment les données sensibles sont stockées et transférées et comment leur accès est encadré et contrôlé par les entreprises. Ces données concernent aussi bien les informations personnelles que les cartes de crédit ou encore les coordonnées bancaires et les données de santé. La réglementation, qui entrera en vigueur le 25 mai 2018, ne concerne pas uniquement les entreprises au sein de l’UE, la réglementation s’applique mondialement à toute entreprise proposant des biens et des services aux citoyens de l’UE ou analysant leur comportement en surveillant par exemple leurs habitudes d’achat. L’étude indique que 47% des entreprises interrogées dans le monde redoutent de ne pas être en mesure de répondre aux exigences de la réglementation en temps et en heure.
Les résultats sont issus du rapport Veritas 2017 GDPR Report pour lequel 900 décideurs ont été interrogés en 2017 en Europe, aux Etats-Unis et en Asie Pacifique. Ils mettent également en évidence que 18% des entreprises craignent qu’un défaut de conformité ne les pousse à mettre fin à leurs activités. De plus, 21% se montrent très préoccupées par les amendes potentielles qui pourraient entrainer des réductions de personnel afin de compenser le montant des pénalités infligées en cas de non-conformité à GDPR.
Les entreprises s’inquiètent également des répercussions qu’un défaut de conformité pourrait entrainer sur leur image de marque, plus particulièrement si un incident venait à être rendu publique, la nouvelle réglementation imposant en effet de notifier toute violation de données aux personnes concernées. 19% des personnes interrogées se montrent préoccupées par les éventuelles couvertures négatives dans les media et sur les réseaux sociaux qui pourraient les amener à perdre des clients. De plus, une sur dix (12%) se dit très inquiète de la dévalorisation que pourrait engendrer ces couvertures négatives sur leur marque.
Le manque de technologie appropriée freine la préparation à GDPR
L’étude souligne également que beaucoup d’entreprises peinent à déterminer quelle est la nature des données dont elles disposent, à savoir où elles sont localisées et à évaluer quelle est leur pertinence business. Des critères pourtant essentiels pour assurer les premières étapes de mise en conformité avec GDPR. Selon les résultats de l’étude, elles auraient des difficultés à résoudre ces problématiques car elles ne seraient pas équipées des technologies adéquates pour répondre aux exigences de la réglementation.
Près d’un tiers des répondants (32%) redoutent que les technologies actuellement en place dans leur entreprise ne soient pas capables de gérer leurs informations efficacement ce qui pourrait entraver la recherche, la découverte et la vérification des données, des critères clés pour garantir la conformité avec GDPR.
De plus, 39% des répondants estiment que leur entreprise n’est pas en mesure d’identifier et de localiser correctement les données pertinentes. Pourtant, la réglementation exige que les entreprises transmettent à toute personne qui en ferait la demande une copie des données la concernant ou procèdent à leur suppression sous un délai de 30 jours.
La conservation des données est également une préoccupation majeure. 42% des entreprises admettent qu’aucune démarche n’est mise en place pour déterminer quelles données doivent être sauvegardées et quelles sont celles à supprimer (en fonction de leur valeur). Dans le cadre de GDPR, les entreprises peuvent conserver des données personnelles seulement si celles-ci sont toujours utilisées pour les raisons notifiées auprès des individus au moment de la collecte de leurs données. En revanche, elles doivent être supprimées si leur utilisation n’est plus nécessaire pour les raisons invoquées au moment de la collecte.
Les investissements pour assurer la conformité à GDPR
L’étude de Veritas met en évidence que moins d’un tiers des répondants (31%) pensent que leur entreprise est en conformité avec GDPR. Pour celles travaillant actuellement à la mise en conformité, des investissements à près de 7 chiffres sont envisagés. En moyenne, les entreprises prévoient de dépenser plus de 1,3 millions d’euros.
Les défis rencontrés en fonction des pays interrogés
Le chemin vers la conformité est encore long pour de nombreuses entreprises partout dans le monde.
• Du retard dans la préparation : le rapport souligne d’importantes disparités en fonction des pays en matière de préparation à GDPR. Singapour, le Japon et la République de Corée sont les plus en retard. 56% des répondants à Singapour craignent ne pas pouvoir répondre aux exigences de la réglementation dans les temps. La situation est pire au Japon et en République de Corée où ce pourcentage dépasse les 60%.
• La crainte de mettre la clé sous la porte : c’est aux Etats-Unis et en Australie que les entreprises redoutent le plus la faillite en cas de défaut de conformité. Près de 25% des répondants dans ces deux pays craignent que la non-conformité ne menace la pérennité de leur entreprise.
• La peur des licenciements : de même, c’est aux Etats-Unis et en Australie que la crainte des licenciements pour compenser le montant des amendes appliquées en cas de défaut de conformité est la plus élevée. 26% des répondants aux Etats-Unis s’inquiètent des réductions de personnel et ce pourcentage atteint 30% en Australie. C’est également la principale préoccupation en République de Corée, où 23% des répondants redoutent des licenciements.
• Inquiétudes concernant l’image de marque : en Asie Pacifique, les entreprises se montrent particulièrement soucieuses de l’impact qu’un défaut de conformité pourrait avoir sur la réputation de leur marque. 20% des répondants à Singapour craignent de perdre des clients suite à une couverture médiatique négative ou à une mauvaise publicité sur les réseaux sociaux. Un chiffre qui atteint les 21% au Japon et en République de Corée.
« Il reste à peine plus d’un an avant que GDPR n’entre en vigueur, mais l’attitude qui consiste à se dire « j’ai encore le temps » persiste dans les entreprises du monde entier. Pourtant, que vous soyez localisés au sein de l’Union européenne ou non, importe peu. A partir du moment où votre entreprise a des activités dans la région, la réglementation s’applique à vous » rappelle Mike Palmer, Executive Vice President et Chief Product Officer chez Veritas. « Pour ces entreprises, il est temps qu’elles sollicitent les bons conseils pour déterminer précisément leur niveau de préparation et pour les aider à établir une stratégie précise afin d’assurer leur conformité. Car un défaut de conformité pourrait bien mettre en péril les emplois, l’image de marque et la pérennité des entreprises ».
Méthodologie
Veritas a confié au cabinet d’études indépendant Vanson Bourne la réalisation de cette étude.
Au total, 900 décideurs d'entreprise ont été interrogés en février et mars 2017 aux États- Unis, au Royaume-Uni, en France, en Allemagne, en Australie, à Singapour, au Japon et en République de Corée. Les répondants faisaient partie d'entreprises comptant au moins 1 000 employés et appartenant à tout type de secteur. Pour être admissibles à la recherche, les répondants devaient travailler dans des entreprises ayant des activités au sein de l’UE et détenant ainsi des données personnelles sur les citoyens de la zone.
Autres articles
-
Les règles du jeu des partage et réutilisation des données personnelles à l'ère du numérique
-
EQS Group entre en négociations exclusives pour l'acquisition de Data Legal Drive
-
La dernière étude du ministère du Travail réalisée par l’AFPA, avec le soutien de la CNIL et l’AFCDP souligne de nouvelles tendances dans l’exercice du métier de DPO
-
Podcast : Données personnelles, reprenons le contrôle, avec Cécile Petitgand
-
L’AFCDP poursuit son engagement pour accompagner les DPO dans leur quotidien