Plus de 9 entreprises européennes sur 10 n'ont qu'une compréhension partielle du nouveau règlement européen en matière de protection des données, selon les résultats du rapport européen sur la confidentialité des données, réalisé par Symantec en partenariat avec le cabinet d'études indépendant Vanson Bourne.
Adopté le 14 avril dernier, avec une mise en application prévue dès 2018, le nouveau Règlement Général sur la Protection des Données (RGPD) alignera les mesures de protection des données entre tous les pays de l'Union Européenne. En France, il remplacera la loi «Informatique et Libertés» actuellement en vigueur.
Au coeur de ce nouveau règlement se trouve notamment la question du partage des données en dehors de l'Union Européenne. Ce dernier ne sera possible que si l'entreprise peut garantir à ses utilisateurs que leurs données seront protégées de la même manière en dehors de l'Union Européenne. Pour rappel, le 1er août dernier est déjà entré en vigueur le «Privacy Shield», un dispositif encadrant le transfert de données personnelles entre l'Union Européenne et les Etats-Unis. Il garantit aux entreprises européennes que les données personnelles de leurs clients sont protégées de la même manière Outre-Atlantique, dans la mesure où elles les transfèrent à des entreprises enregistrées auprès de l'administration américaine.
Autre élément-clé du nouveau règlement européen: l'exercice du droit à l'oubli, rendu possible pour tous les clients d'une entreprise dans un délai d'un mois. Cette dernière doit donc être capable d'identifier l'ensemble des données qu'elle possède sur ses clients, de les localiser, et de les supprimer rapidement.
C'est donc une petite révolution qui attend très prochainement les entreprises européennes en matière de protection des données, et à laquelle elles ne se préparent aujourd'hui pas suffisamment.
Le respect de leur vie privée, «pas une priorité pour mes clients»
Premier constat de l'étude, ce sont les entreprises allemandes qui sont le moins bien informées sur la question du RGPD, avec 99% des répondants qui déclarent n'avoir qu'une connaissance partielle du dispositif. Et au-delà d'un manque d'informations, les entreprises européennes doutent de leurs capacités à être en conformité avec la nouvelle règlementation, à 91%.
Un peu plus de la moitié (55%) des répondants ne sont pas certaines de leurs capacités à satisfaire intégralement les attentes de leurs clients en matière de sécurisation des données, et les trois quarts des répondants estiment que le respect de leur vie privée n'est pas une priorité pour leurs clients. Là encore, l'Allemagne se distingue des autres pays européens étudiés, avec «seulement» 68% des répondants qui estiment que leurs clients ne s'inquiètent pas de leur vie privée.
Le droit à l'oubli, grand gagnant de la nouvelle règlementation
C'est pourtant le volet concernant le droit à l'oubli de la nouvelle règlementation qui pourrait avoir l'impact le plus important sur les entreprises, si l'on en croit les résultats de l'étude. En effet, 8 répondants sur 10 s'attendent à ce que leurs clients exercent ce droit à l'oubli, et à peine 40% estiment avoir un système permettant de satisfaire ce type de demandes. En France, ce chiffre frôle les 50%.
En retard sur le sujet par rapport aux autres pays européens, les entreprises françaises sont d'ailleurs celles qui se préoccupent le plus de la question de l'éthique en matière de gestion des données. 56% d'entre elles déclarent en effet que c'est l'une de leurs priorités, contre 47% à l'échelle de l'Europe. Au Royaume-Uni, ce chiffre tombe à 40%.
De lourdes sanctions financières
Enfin, à peine plus du quart des entreprises européennes estiment qu'elles seront prêtes pour la mise en application du RGPD d'ici deux ans (32% pour les entreprises françaises). Elles ne sont d'ailleurs que 22% à déclarer que ce sujet fait partie de leurs priorités pour les deux années à venir. A peine plus du quart des répondants prévoient de revoir intégralement leur approche en matière de sécurité en réponse à cette nouvelle règlementation (35% en France).
En cas de non-respect du RGPD, l'entreprise s'expose pourtant à de lourdes sanctions financières, pouvant aller d'une amende d'un montant équivalent à 2% du chiffre d'affaires mondial de l'enteprise à 20 millions d'euros (ou 4% du chiffre d'affaires mondial, le montant le plus important des deux étant retenu) pour les infractions les plus graves. L'enjeu de conformité est donc de taille pour l'ensemble des entreprises.
Adopté en avril 2016, le RGPD entrera en vigueur en 2018. Il doit permettre aux citoyens européens de reprendre le contrôle sur leurs données personnelles.
- Le règlement s'applique aux entreprises européennes, mais aussi aux entreprises non-européennes qui ont un pan de leur activité en Europe, et qui traitent de fait des données de citoyens européens.
- Les photos, mais aussi les informations partagées sur les réseaux sociaux sont désormais considérées comme des données personnelles.
- Les entreprises souhaitant collecter des données doivent avoir un consentement explicite de leurs utilisateurs.
- Elles devront tenir un registre de traitement des données, permettant de déterminer si les données quittent l'Union Européenne et dans quelles conditions.
- Les données stockées par l'entreprise devront être protégées contre la perte, le vol ou la détérioration.
- L'ensemble des citoyens européens auront le droit d'accéder à leurs données personnelles, et de demander leur suppression.
- Les citoyens pourront exercer leur droit à la portabilité des données.
- En cas de fuite des données, les entreprises sont tenues d'informer l'autorité nationale responsable de la protection des données dans les meilleurs délais.
- 5 outils essentiels pour optimiser votre relation client - 16/01/2025
- La France au CES 2025 : Une délégation d’envergure mondiale portée par l’innovation technologique - 20/12/2024
- Gestion financière, quels sont les nouveaux outils qui s’imposent à tous dirigeants et CFO pour piloter leurs activités? - 04/12/2024