Six mois après l’entrée en vigueur du Règlement général sur la protection des données (RGPD), les inventaires et les analyses d’impact relatives à la protection des données (data protection impact assessment – DPIA) sont couramment pratiquées par les entreprises. Mais ces opérations sont encore souvent réalisées de manière informelle. C’est l’un des enseignements d’une étude internationale promue par l’IAPP et TrustArc (ex-Truste), fournisseur de solutions et services dédiés à la conformité et à la gestion des risques.
496 professionnels* de grands groupes (61%) et d’entreprises de taille moyenne membres de l’IAPP (International Association of Privacy Professionals) ont répondu à l’enquête. Parmi eux, 83% travaillent pour une entreprise concernée par le RGPD.
Les répondants sont basés en Europe, en Amérique du Nord et en Asie.
Comme l’a rappelé Chris Bale, CEO de TrustArc, « le RGPD, le CCPA (California Consumer Privacy Act) et d’autres réglementations internationales ont obligé les entreprises à rendre compte de la manière dont elles gèrent les données ».
Aussi, 75% des 410 répondants soumis aux obligations du RGPD déclarent avoir effectué une ou plusieurs analyses d’impact. Un préalable à tout traitement de données susceptible d’engendrer un risque élevé pour les droits et les libertés des individus.
Pour ce faire, 47% optent encore pour un processus manuel. Mais ils sont presque aussi nombreux (46%) à utiliser des solutions de gestion, dont 20% de technologies spécialisées.
Autre enseignement du sondage : 83% disent avoir créé des inventaires de leurs activités de traitement de données. Un taux en hausse de 40 points par rapport à 2016.
Malgré tout, ces opérations d’inventaire ou de cartographie data sont encore le plus souvent réalisées de manière informelle. Et ce à l’aide d’outils tels qu’une messagerie électronique ou un tableur (45% des réponses en 2018, contre 62% en 2016).
Les logiciels dédiés de fournisseurs tiers (20% en 2018, contre 10% en 2016) et les solutions développées en interne (18% en 2018, contre 36% en 2016) suivent.
Dans ce contexte, 72% des répondants disent avoir reçu une ou plusieurs demandes d’accès aux données personnelles (data subject access request – DSAR). Et ce depuis l’entrée en vigueur du RGPD le 25 mai 2018.
En outre, 47% ont reçu jusqu’à 10 requêtes par mois.
Pour répondre à ces demandes liées aux droits individuels et aux droits d’accès aux données, 57% utilisent aussi des méthodes manuelles. 30% ont partiellement automatisé le processus. En revanche, seules 3% des organisations l’ont entièrement automatisé.
Enfin, 27% des répondants dans les grandes entreprises ont reporté au moins une faille de sécurité aux autorités compétentes, contre 16% dans les entreprises de taille moyenne.
*consultants, juristes, responsables data et IT.
(crédit photo © shutterstock)
Un an et demi après sa publication initiale, le RGESN est mis à jour. Tour…
Le régulateur britannique de la concurrence renonce à une enquête approfondie sur le partenariat de…
À partir de juillet 2024, Microsoft imposera progressivement le MFA pour certains utilisateurs d'Azure. Aperçu…
La pépite française de l'informatique quantique Pasqal va installer un ordinateur quantique de 200 qubits…
Le fonds de pension australien UniSuper a vu son abonnement Google Cloud supprimé - et…
OpenAI orchestre un déploiement très progressif de GPT-4o, y compris de ses capacités multimodales.