Six mois après l’entrée en vigueur du Règlement général sur la protection des données (RGPD), les inventaires et les analyses d’impact relatives à la protection des données (data protection impact assessment – DPIA) sont couramment pratiquées par les entreprises. Mais ces opérations sont encore souvent réalisées de manière informelle. C’est l’un des enseignements d’une étude internationale promue par l’IAPP et TrustArc (ex-Truste), fournisseur de solutions et services dédiés à la conformité et à la gestion des risques.
496 professionnels* de grands groupes (61%) et d’entreprises de taille moyenne membres de l’IAPP (International Association of Privacy Professionals) ont répondu à l’enquête. Parmi eux, 83% travaillent pour une entreprise concernée par le RGPD.
Les répondants sont basés en Europe, en Amérique du Nord et en Asie.
Comme l’a rappelé Chris Bale, CEO de TrustArc, « le RGPD, le CCPA (California Consumer Privacy Act) et d’autres réglementations internationales ont obligé les entreprises à rendre compte de la manière dont elles gèrent les données ».
Aussi, 75% des 410 répondants soumis aux obligations du RGPD déclarent avoir effectué une ou plusieurs analyses d’impact. Un préalable à tout traitement de données susceptible d’engendrer un risque élevé pour les droits et les libertés des individus.
Pour ce faire, 47% optent encore pour un processus manuel. Mais ils sont presque aussi nombreux (46%) à utiliser des solutions de gestion, dont 20% de technologies spécialisées.
Autre enseignement du sondage : 83% disent avoir créé des inventaires de leurs activités de traitement de données. Un taux en hausse de 40 points par rapport à 2016.
Malgré tout, ces opérations d’inventaire ou de cartographie data sont encore le plus souvent réalisées de manière informelle. Et ce à l’aide d’outils tels qu’une messagerie électronique ou un tableur (45% des réponses en 2018, contre 62% en 2016).
Les logiciels dédiés de fournisseurs tiers (20% en 2018, contre 10% en 2016) et les solutions développées en interne (18% en 2018, contre 36% en 2016) suivent.
Dans ce contexte, 72% des répondants disent avoir reçu une ou plusieurs demandes d’accès aux données personnelles (data subject access request – DSAR). Et ce depuis l’entrée en vigueur du RGPD le 25 mai 2018.
En outre, 47% ont reçu jusqu’à 10 requêtes par mois.
Pour répondre à ces demandes liées aux droits individuels et aux droits d’accès aux données, 57% utilisent aussi des méthodes manuelles. 30% ont partiellement automatisé le processus. En revanche, seules 3% des organisations l’ont entièrement automatisé.
Enfin, 27% des répondants dans les grandes entreprises ont reporté au moins une faille de sécurité aux autorités compétentes, contre 16% dans les entreprises de taille moyenne.
*consultants, juristes, responsables data et IT.
(crédit photo © shutterstock)
La Cour des comptes estime que la Dinum doit construire sa légitimité, autant au vu…
La Cour des comptes pointe les « résultats contrastés » de la Dinum sur son…
Au cours du week-end, Crowdstrike a structuré une réponse face à l'incident majeur qu'a causé…
Une mise à jour de l'EDR Crowdstrike Falcon a planté une multitude de serveurs et…
Un modèle GPT-4o mini rejoint le catalogue d'OpenAI. De la conception à l'évaluation, il a…
La Cour des comptes appelle à formaliser et à professionnaliser certains aspects du RIE, tout…