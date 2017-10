À huit mois de la mise en application du Règlement Général européen sur la Protection des données (GDPR), 20% des entreprises françaises ne savent toujours pas dans quelle mesure elles sont, ou non, en conformité avec le texte.

Face à cet important défi législatif, les disparités entre petites et grandes entreprises sont importantes. 21% des entreprises de 250 à 500 salariés sont certaines que les procédures qu’elles appliquent actuellement sont non conformes et devront être modifiées, contre moins de 15% pour les entreprises de plus de 500 et 100 salariés.

C’est ce que révèle une étude mandatée par Citrix et réalisée par OnePoll. Dédiée au GDPR et à la gouvernance des données, elle a été menée auprès de 500 décisionnaires informatiques en France travaillant dans des entreprises de plus de 250 salariés.

Les grandes entreprises, des mauvaises élèves qui s’ignorent ?

Malgré l’avance prise par les grandes entreprises pour se mettre en conformité avec le GDPR, la taille est loin d’être un avantage en matière de gouvernance des données. 15% des répondants travaillant dans des entreprises de plus de 1 000 salariés ne savent pas combien leur entreprise récolte de données personnelles chaque jour, contre 3% seulement dans les entreprises de 501 à 999 employés et 6% dans les entreprises de moins de 500 employés. D’autre part, près de 10% des grandes entreprises ne savent ni combien de temps (8%) ni sur combien de systèmes (9%) sont conservées les données personnelles qu’elles collectent, contre respectivement 3% et 1% pour les entreprises de 501 à 999 employés.

Ces chiffres sont inquiétants, alors que les grandes entreprises sont les championnes de la collecte des données personnelles. Elles en récoltent en moyenne 120% de plus que les entreprises de moins de 500 salariés et 56% de plus que les entreprises de 501 à 999 employés.

De façon générale, les entreprises doivent faire face à 3 défis majeurs : la dispersion des données (où sont-elles stockées ?), le volume (combien de données sont collectées et partagées ?) et la propriété (à qui appartiennent les données et qui en est responsable ?).

Dispersion des données

Les entreprises françaises qui souhaitent se mettre en conformité avec le GDPR doivent pouvoir contrôler les importants volumes de données personnelles répartis de manière disparate à travers leur système d’informations. Si les décideurs informatiques interrogés révèlent utiliser en moyenne 22 systèmes pour gérer et stocker ces données, 18% en utilisent plus de 40.

D’autre part, plus de la moitié (54%) des répondants partagent les données personnelles de leurs clients avec des entreprises tierces – ce qui contribue à éparpiller encore davantage les informations dont ils ont la responsabilité. En moyenne, les données sont partagées avec 40 autres entreprises mais ce nombre monte à 76 et plus dans 18% des cas. Si une grande majorité des décisionnaires informatiques pense garder la main sur les données partagées, 15% reconnaissent perdre au moins une partie du contrôle.

Indigestion de données

En moyenne, les entreprises françaises collectent les données personnelles de 545 individus chaque jour. Pour 38% des grandes entreprises, ce sont plus de 1 001 individus qui sont concernés chaque jour, entrainant d’importants flux de données à traiter toutes les 24h. Seules 7% des entreprises de 250 à 500 employés atteignent de tels volumes.

Plus de la moitié des entreprises (51%) admet stocker les données personnelles pendant 3 ans ou plus et 17% pendant plus de 10 ans. Malgré les investissements nécessaires au stockage et à la protection de ces données sur de longues périodes, 27% des répondants reconnaissent ne pas les utiliser dans leur totalité. Ils sont 5% à admettre ne jamais utiliser les données qu’ils stockent.

La question des responsabilités

Près de deux tiers (64%) des entreprises interrogées stockent et gèrent des données personnelles en fonction d’informations fournies par des analyses prédictives (par exemple, les habitudes d’achat des clients et leurs préférences). Malgré cela, elles semblent rencontrer des difficultés à désigner avec certitude qui détient ces données. Seules 18% d’entre elles pensent que le client en est propriétaire, alors que 57% nomment l’entreprise. 12% accordent la propriété de ces données aux fournisseurs de solutions d’analyse prédictive. 13% indiquent ne pas savoir ou ne pas accorder la responsabilité à l’un de ces trois acteurs (entreprise / client / fournisseur).

Comprendre qui détient et qui est responsable des données est l’une des premières étapes indispensables vers la conformité avec le GDPR. Pour cela, il est important que les entreprises établissent des règles claires, et que ces règles soient partagées avec l’ensemble des employés, et non seulement le service informatique. En effet, l’étude révèle que 35% des entreprises décident des stratégies de stockage et de partage des données personnelles département par département, faisant peser une importante responsabilité sur les utilisateurs métiers.

Infographie