RGPD: les entreprises françaises face à la dispersion des données persos

citrix-rgpd-donnees-personnelles-dispersion

A quelques mois de l’application du RGPD, près d’une entreprise française sur 10 ignore où sont stockées les données personnelles exploitées.

La course contre la montre a commencé pour se mettre en conformité avec le Règlement général sur la protection des données (RGPD en français ou GDPR en anglais).

Le 25 mai 2018, les entreprises, qui exercent une activité en Europe devront être en mesure de protéger les données personnelles des utilisateurs selon des normes imposées.

Elles devront particulièrement pouvoir justifier l’ensemble des traitements des données qu’elles effectuent sur les informations laissées par les utilisateurs, de la création d’un compte à sa suppression.

Une organisation tentée de se soustraire à ces obligations s’expose à des sanctions financières (jusqu’à 4% du chiffre d’affaires mondial).

La gouvernance des données doit donc s’inscrire au centre des préoccupations des entreprises. Or, à 8 mois de l’application du texte européen, près de 10% des grandes entreprises françaises ne savent ni sur combien de systèmes (9%) ni combien de temps (8%) sont conservées les données personnelles qu’elles collectent, rapporte une étude réalisée par OnePoll pour le compte de Citrix*.

22 systèmes de stockage en moyenne

En moyenne, les données sont dispersées sur 22 systèmes internes et plus de 40 pour 18% des organisations sondées.

Mais plus de la moitié des répondants (54%) reconnaissent partager ces informations à caractère personnel (nom, adresse postale, e-mail, photo, coordonnées bancaires, publications sur les réseaux sociaux, adresse IP…) de leurs clients avec des parties tierces (fournisseurs ou partenaires).

 En moyenne, les données sont partagées avec 40 autres entreprises. Mais cette proportion monte à 76 entreprises (voire plus)  dans 18% des cas.

Tant que ces données ainsi éparpillées restent sous le contrôle du décisionnaire, tout va bien. Mais 15% d’entre eux reconnaissent perdre pour partie la main sur ces données.

Qui détient les données ? 64% des sondés déclarent stocker et gérer les données en fonction d’informations fournies par des analyses prédictives (préférence d’achat des clients, par exemple).

Seule une proportion de 18% des entreprises pense que le client est propriétaire de leurs données. Mais 57% estiment qu’elles appartiennent à l’entreprise et 12% au fournisseur de la solution prédictive.

Plus inquiétant dans la gouvernance de la data : 13% avouent n’en avoir aucune idée.

545 informations individuelles enregistrées par jour

Autre enseignement de l’étude : 15% des organisations de plus de 1000 salariés déclarent ne pas savoir combien de données personnelles sont récoltées chaque jour.

En moyenne, les données de 545 individus sont enregistrées quotidiennement par entreprise. On se hisse à plus de 1001 personnes pour 38% des grandes entreprises.

Quant à la durée de conservation, une petite majorité (51%) des sociétés déclare stocker les données pendant 3 ans ou plus et 17% pendant plus de 10 ans.

Alors que ces informations ne sont pas utilisées dans leur totalité par 27% des sondées voire jamais exploitées par 5% du panel.

Au final, et malgré la grande disparité des cas, seule 1 entreprise françaises sur 5 déclare ignorer si elle est en conformité, ou pas, avec le RGPD.

« Bien que beaucoup d’entreprises françaises aient commencé leurs efforts de mise en conformité, notre recherche montre clairement que les obstacles restent nombreux, et que la technologie ne pourra résoudre qu’une infime partie d’entre eux », commente Emmanuel Schupp, Directeur général de Citrix France. « Car la gouvernance des données est avant tout affaire de stratégie, de méthodologie et de volonté d’entreprise. »

Au-delà de renforcer la réglementation sur la protection des données, le texte européen présentera l’avantage d’imposer un standard commun en matière de responsabilité. Avec, pour résultat, une gouvernance plus efficace de la donnée. Du moins, peut-on l’espérer.

*enquête réalisé auprès de 500 décisionnaires informatiques d’entreprises de plus de 250 salariés en France.


Lire également
Traçabilité et cartographie de la donnée au cœur de l’application du RGPD
Avant le GDPR, les salaires des RSSI flambent
La facture salée que le GDPR prépare aux entreprises