RGPD : l'analyse d'impact data progresse dans les entreprises

Six mois après l'entrée en vigueur du Règlement général sur la protection des données (RGPD), les inventaires et les analyses d'impact relatives à la protection des données (data protection impact assessment - DPIA) sont couramment pratiquées par les entreprises. Mais ces opérations sont encore souvent réalisées de manière informelle. C'est l'un des enseignements d'une étude internationale promue par l'IAPP et TrustArc (ex-Truste), fournisseur de solutions et services dédiés à la conformité et à la gestion des risques.

496 professionnels* de grands groupes (61%) et d'entreprises de taille moyenne membres de l'IAPP (International Association of Privacy Professionals) ont répondu à l'enquête. Parmi eux, 83% travaillent pour une entreprise concernée par le RGPD.

Les répondants sont basés en Europe, en Amérique du Nord et en Asie.

Comme l'a rappelé Chris Bale, CEO de TrustArc, « le RGPD, le CCPA (California Consumer Privacy Act) et d'autres réglementations internationales ont obligé les entreprises à rendre compte de la manière dont elles gèrent les données ».

Aussi, 75% des 410 répondants soumis aux obligations du RGPD déclarent avoir effectué une ou plusieurs analyses d'impact. Un préalable à tout traitement de données susceptible d'engendrer un risque élevé pour les droits et les libertés des individus.

Pour ce faire, 47% optent encore pour un processus manuel. Mais ils sont presque aussi nombreux (46%) à utiliser des solutions de gestion, dont 20% de technologies spécialisées.

Demandes d'accès aux données

Autre enseignement du sondage : 83% disent avoir créé des inventaires de leurs activités de traitement de données. Un taux en hausse de 40 points par rapport à 2016.

Malgré tout, ces opérations d'inventaire ou de cartographie data sont encore le plus souvent réalisées de manière informelle. Et ce à l'aide d'outils tels qu'une messagerie électronique ou un tableur (45% des réponses en 2018, contre 62% en 2016).

Les logiciels dédiés de fournisseurs tiers (20% en 2018, contre 10% en 2016) et les solutions développées en interne (18% en 2018, contre 36% en 2016) suivent.

Dans ce contexte, 72% des répondants disent avoir reçu une ou plusieurs demandes d'accès aux données personnelles (data subject access request - DSAR). Et ce depuis l'entrée en vigueur du RGPD le 25 mai 2018.

En outre, 47% ont reçu jusqu'à 10 requêtes par mois.

Pour répondre à ces demandes liées aux droits individuels et aux droits d'accès aux données, 57% utilisent aussi des méthodes manuelles. 30% ont partiellement automatisé le processus. En revanche, seules 3% des organisations l'ont entièrement automatisé.

Enfin, 27% des répondants dans les grandes entreprises ont reporté au moins une faille de sécurité aux autorités compétentes, contre 16% dans les entreprises de taille moyenne.

*consultants, juristes, responsables data et IT.

(crédit photo © shutterstock)