Seul un tiers des entreprises françaises sont conscientes que les amendes financières éventuelles pour non-conformité  sont très sévères.

Un nombre important d’entreprises françaises se dirigent sans le savoir vers des sanctions massives en raison d’une méconnaissance de l’ampleur du défi posé par la collecte de données en vertu du Règlement général sur la protection des données personnelles (RGPD). Telle est une des conclusions principales d’un important rapport réalisé par Senzing, la société de technologie logicielle basée en Californie.

Sources : GlobalSecurityMag | Février 2018

L’étude (qui consiste à trouver le maillon manquant dans la conformité au RGPD), est basée sur les avis de plus de 1 000 cadres supérieurs d’entreprises au Royaume-Uni, en France, en Allemagne, en Espagne et en Italie.
Elle révèle que les entreprises françaises sont particulièrement préoccupées par le fait qu’elles ne savent pas où sont hébergées toutes leurs données, plus d’un quart (27 %) se déclarant « préoccupées » et seulement 26 % étant très confiantes quant au sort de toutes leurs données.
De plus, les entreprises françaises sont surtout préoccupées par leur capacité à rendre des comptes concernant l’ensemble de leurs bases de données. Trente pour cent d’entre elles disent ne pas être certaines de pouvoir le faire, et moins d’un cinquième (19 %) sont « très confiantes ».

Ces conclusions sont communiquées seulement quelques mois avant que le RGPD n’entre en vigueur (le 25 mai) et illustrent l’ampleur du défi auquel sont confrontées les entreprises françaises pour être « prêtes pour le RGPD ».

Les recherches de Senzing montrent que, en moyenne, une entreprise recevra 89 demandes liées au RGPD par mois, pour lesquelles elle devra rechercher en moyenne dans 23 bases de données différentes, chacune d’entre elles prenant environ 5 minutes.
Le temps total consacré uniquement à la recherche de données totalisera plus de 10 300 minutes (172 heures) par mois, soit l’équivalent de plus de 8 heures de recherche par jour ouvrable, ou 1 employé dédié uniquement aux demandes liées au RGPD.

Le problème est encore plus important pour les grandes entreprises.
Celles-ci s’attendent à recevoir en moyenne 246 demandes par mois liées au RGPD, pour lesquelles elles devront rechercher en moyenne 43 bases de données différentes, chacune d’entre elles prenant plus de 7 minutes.
Elles y consacreront plus de 75 500 minutes par mois (1 259 heures), soit l’équivalent de près de 60 heures de recherche par jour de travail, ou 7,5 employés dédiés tous les jours uniquement aux demandes liées au RGPD.

Jeff Jonas, fondateur et PDG de Senzing, indique : « Ces conclusions révèlent la véritable ampleur du défi de la conformité au RGPD. Les entreprises françaises seront confrontées à une montagne de données à fouiller ; le résultat final sera un coût significatif en matière de temps et de personnel, et il faudra compter sur un risque important d’archives manquantes ou pire, notamment d’archives incorrectes. Bien que cette exigence en matière de temps soit plus coûteuse pour les grandes entreprises, celles-ci disposent de plus grandes ressources. Comparativement, les PME font face à une tâche tout autant gargantuesque. »

Une forte préoccupation au niveau de la conformité, mais le problème est encore sous-estimé par de nombreuses entreprises

Un tiers (31 %) des entreprises françaises se disent « préoccupées » par leur capacité à se conformer au RGPD, et de nombreuses entreprises démontrent une méconnaissance préjudiciable du RGPD et une trop grande confiance dans le fait qu’elles ne seront pas affectées.
Seul un tiers des entreprises françaises (34 %) sont conscientes que les amendes financières éventuelles pour non-conformité, (qui dans le pire des cas peuvent atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel global), sont très sévères.
Fait inquiétant, 24 % disent que les sanctions financières n’auront aucun impact ;
et 19 % indiquent qu’elles « ne savent pas » quel sera l’impact des amendes financières.

En ce qui concerne leur planification en vue du RGPD, les entreprises françaises ne semblent pas pressées d’effectuer de changements importants, malgré le manque de préparation.
La majorité des entreprises françaises (52 %) ne savent pas quelles mesures va prendre leur organisation, ou disent que leur configuration actuelle est déjà optimale (respectivement 18 % et 34 %). Cependant, 34 % prévoient de réorganiser leurs systèmes de données informatiques/clients, et 16 % envisagent d’externaliser leurs données à un tiers.
À travers l’UE, les grandes entreprises sont plus proactives.
Deux tiers d’entre elles (64 %) vont restructurer leur système informatique, et un tiers (33 %) embaucheront des analystes.

Jonas commente : « De nombreuses entreprises françaises semblent se diriger aveuglément vers un gouffre en ce qui concerne le RGPD. Les amendes qui peuvent être imposées pour non-conformité seront potentiellement fatales à certaines organisations, et même les plus grandes entreprises (et bien entendu leurs actionnaires) ressentiront un impact significatif. Un grand nombre de sociétés françaises ne comprennent tout simplement pas les dangers de la non-conformité ; et les petites entreprises paraissent particulièrement inconscientes. »

60 % des entreprises de l’UE sont « à risque » ou « en difficulté » par rapport au RGPD

Sur la base des réponses, Senzing estime
– 1/4 (24 %) des entreprises de l’UE sont « à risque » en termes de conformité au RGPD.
– En outre, 36 % sont jugées comme étant « en difficulté » par rapport au règlement,
– et seulement 40 % sont considérées comme étant « prêtes ».
Au regard de toutes les entreprises opérant dans l’UE, cela pourrait se traduire par des dizaines de milliards, voire des centaines de milliards, d’amendes en euros.

Jonas ajoute : « Trouver qui est qui et où se trouvent leurs données doit être le premier principe de la conformité au RGPD. Ces conclusions pointent vers le fait que le maillon manquant dans la conformité au RGPD est la recherche unique d’un sujet. Les entreprises négligent le besoin urgent de pouvoir effectuer une recherche intelligente unique par sujet pour savoir qui est qui dans leurs données. Sans cela, le principal levier de la préparation au RGPD, de nombreuses entreprises seront incapables de répondre aux exigences du RGPD. »

Pour combler cette lacune en matière de recherche unique d’un sujet, Senzing lance G2 for GDPR.
Ce logiciel a été développé pour permettre aux organisations de déterminer, rapidement et à moindre coût, qui est qui dans leurs données, en tenant compte des multiples bases de données, des entrées erronées, des fautes d’orthographe, des duplications et des noms différents, et d’agréger tout ce qui est pertinent concernant un sujet unique.
Il est conçu pour faciliter la conformité au RGPD.