Le Règlement Général sur la Protection des Données de l’UE est mal compris en France et en Europe, selon une étude de Delphix


Rédigé par Communiqué de Delphix le 12 Juillet 2016

Une enquête européenne démontre une incompréhension de fond du RGPD et révèle une opportunité d’accélérer les projets informatiques pour améliorer l’accès aux données sécurisées



Delphix, leader du marché des logiciels de virtualisation des données, dévoile que seulement 38% des entreprises françaises affirment maîtriser totalement les exigences de la pseudonymisation des données imposées par le Règlement Général sur la Protection des Données (RGPD) qui entrera bientôt en vigueur dans l’Union Européenne. Par ailleurs, 34% des personnes interrogées en France se sont renseignées sur les exigences de pseudonymisation de la RGPD mais ont déclaré avoir des problèmes à les comprendre. Enfin, 28% des entreprises françaises affirment ne pas avoir de connaissances sur le sujet de la pseudonymisation des données.

« D’après la définition donnée dans le RGPD, la pseudonymisation consiste à s’assurer que les données sont conservées sous une forme ne permettant pas l’identification directe d’un individu sans l’aide d’informations supplémentaires » explique Iain Chidgey, vice-président International chez Delphix. « Pour relever les défis de l’ère numérique et réduire les risques de fuite des données individuelles, le RGPD encourage les organisations à pseudonymiser leurs données à différents points. »

La France présente actuellement le meilleur taux de compréhension du RGPD dans les trois principaux marchés en Europe, puisque seulement 17% des personnes interrogées au Royaume-Uni affirment maîtriser totalement les exigences de pseudonymisation, contre 21 % en Allemagne. De plus, la confusion règne en Allemagne, où 40% des personnes interrogées déclarent avoir pris connaissance des exigences en matière de pseudonymisation dans le RGPD sans avoir réussi à les appréhender complètement.

« Dans le domaine de la protection des informations individuelles, le masquage de données et le hachage sont désormais la norme en matière de méthodes de pseudonymisation » poursuit Iain Chidgey. « Prenons l’exemple des informations personnelles non protégées souvent disponibles dans les environnements hors production utilisés pour le développement et le test de logiciels, ainsi que pour les formations, le reporting et l’analyse de données. En remplaçant ces données sensibles par des données fictives (mais réalistes), les entreprises peuvent neutraliser les risques associés aux données tout en protégeant leurs valeurs. Le masquage transforme les données sensibles de façon irréversible afin d’éliminer les risques. Il permet aux entreprises de démontrer leur conformité aux exigences du RGPD en termes de pseudonymisation. »

Actuellement, un tiers des données sont masquées en France contre seulement un quart au Royaume-Uni et en Allemagne. Les personnes interrogées en France affirment que les principales difficultés rencontrées avec le masquage de données tiennent d’une part à la distribution de ces données à travers l’entreprise sans véritable contrôle centralisé (43%) et d’autre part au fait qu’il demande trop de temps et occasionne des retards dans les projets (26%). En outre, 26% des personnes interrogées en France et en Allemagne affirment également que les coûts des outils de masquage sont prohibitifs. Du fait de la nouvelle règlementation, 60% des données en France seront masquées à l’horizon 2018, contre 48% pour le Royaume-Uni et 47% pour l’Allemagne.

Sur une échelle de 1 à 5, 1 signifiant « Très important » et 5 signifiant « Peu important », 57% des entreprises sollicitées en France (56% au Royaume-Uni et 48% en Allemagne) classent l’accélération des processus informatiques et commerciaux dépendant d’un accès à des données sécurisées comme l’un des principaux avantages de la pseudonymisation. Plus les entreprises sécurisent leurs données à l’aide de méthodes de pseudonymisation, plus cela génère d’opportunités d’activité, du fait d’une accessibilité accrue des données sécurisées disponibles pour accélérer les initiatives informatiques et favoriser l’innovation.

Par ailleurs, 57% des entreprises françaises affirment que la pseudonymisation diminuera le risque encouru par leur marque en cas de fuite de données, avec 54% qui pensent qu’elle permettra aux équipes d’identifier, de contrôler et de rendre compte des données. Au Royaume-Uni, 67 % des entreprises sollicitées classent la réduction de la probabilité d’amendes pour non-conformité comme l’un des principaux avantages de la pseudonymisation. En outre, 55 % des personnes interrogées en France et 44 % en Allemagne déclarent également que cela devrait réduire la quantité de temps et d’argent investis dans les initiatives liées à la protection de données.

« Dans bien des cas, le RGPD représentera mieux qu’une obligation à garantir la conformité et à réduire le risque d’une fuite des données : il favorisera l’avènement d’une nouvelle vague d’innovations en matière de technologies de l’information » déclare Iain Chidgey. Contraintes de se pencher sur leurs méthodes de stockage, de gestion et de sécurisation des données, les entreprises peuvent aussi réfléchir à des solutions pour optimiser l’utilisation de leurs données. L’adoption de nouvelles technologies, comme celles qui associent virtualisation et masquage des données, signifie que les entreprises auront l’assurance de pouvoir pseudonymiser leurs données en une fois, en sachant que toutes les copies résultantes bénéficieront des mêmes critères de protection. Ceci les mettra à l’abri de fuites de données coûteuses, et leur garantira d’être conformes tout en accroissant leur agilité et en réduisant leurs délais de commercialisation.

L’enquête a également révélé que la responsabilité de la protection des données sera confiée à la direction de l’entreprise, or peu nombreuses sont celles qui ont nommé un responsable des données ou de la confidentialité à l’échelle de l’entreprise. Plus d’un tiers (35 %) des personnes interrogées en France déclarent que la responsabilité de la protection des données incombe au responsable général de la protection des données, 25 % citent le RSSI et le responsable de la sécurité informatique et 23 % le PDG ou le DSI. Au Royaume-Uni, 52 % des personnes interrogées ont attribué cette responsabilité au RSSI ou au responsable de la sécurité informatique. 18 % d’entre elles ont désigné le responsable des données ou le responsable de la protection des données, et 17 % le PDG ou le DSI. En Allemagne, près de la moitié (44 %) des personnes interrogées déclarent que la responsabilité de la protection des données revient au RSSI ou au responsable de la sécurité informatique. Ils sont suivis du PDG ou du DSI (30 %) et du responsable des données ou du responsable de la protection des données (18 %). L’hétérogénéité des réponses concernant le responsable des données doit inciter les entreprises se préparant à l’entrée en vigueur du RGPD à prendre les mesures qui s’imposent et à reprendre le contrôle de la gouvernance des données en adoptant des outils conçus pour intégrer la normalisation et le respect de la vie privée dans les processus.

Méthodologie :
Etude menée par Vanson Bourne auprès de 300 entreprises en Europe : 100 en France, 100 au Royaume-Uni et 100 en Allemagne.



Dans la même rubrique :