RGPD : l'analyse d'impact data progresse dans les entreprises

La création d’inventaires et l’analyse d’impact relative à la protection des données deviennent des pratiques courantes. Mais pas leur automatisation.

Six mois après l’entrée en vigueur du Règlement général sur la protection des données (RGPD), les inventaires et les analyses d’impact relatives à la protection des données (data protection impact assessment – DPIA) sont couramment pratiquées par les entreprises. Mais ces opérations sont encore souvent réalisées de manière informelle. C’est l’un des enseignements d’une étude internationale promue par l’IAPP et TrustArc (ex-Truste), fournisseur de solutions et services dédiés à la conformité et à la gestion des risques.

496 professionnels* de grands groupes (61%) et d’entreprises de taille moyenne membres de l’IAPP (International Association of Privacy Professionals) ont répondu à l’enquête. Parmi eux, 83% travaillent pour une entreprise concernée par le RGPD.

Les répondants sont basés en Europe, en Amérique du Nord et en Asie.

Comme l’a rappelé Chris Bale, CEO de TrustArc, « le RGPD, le CCPA (California Consumer Privacy Act) et d’autres réglementations internationales ont obligé les entreprises à rendre compte de la manière dont elles gèrent les données ».

Aussi, 75% des 410 répondants soumis aux obligations du RGPD déclarent avoir effectué une ou plusieurs analyses d’impact. Un préalable à tout traitement de données susceptible d’engendrer un risque élevé pour les droits et les libertés des individus.

Pour ce faire, 47% optent encore pour un processus manuel. Mais ils sont presque aussi nombreux (46%) à utiliser des solutions de gestion, dont 20% de technologies spécialisées.

Demandes d’accès aux données

Autre enseignement du sondage : 83% disent avoir créé des inventaires de leurs activités de traitement de données. Un taux en hausse de 40 points par rapport à 2016.

Malgré tout, ces opérations d’inventaire ou de cartographie data sont encore le plus souvent réalisées de manière informelle. Et ce à l’aide d’outils tels qu’une messagerie électronique ou un tableur (45% des réponses en 2018, contre 62% en 2016).

Lire aussi : RGPD : la CNIL face aux spécificités des IA

Les logiciels dédiés de fournisseurs tiers (20% en 2018, contre 10% en 2016) et les solutions développées en interne (18% en 2018, contre 36% en 2016) suivent.

Dans ce contexte, 72% des répondants disent avoir reçu une ou plusieurs demandes d’accès aux données personnelles (data subject access request – DSAR). Et ce depuis l’entrée en vigueur du RGPD le 25 mai 2018.

En outre, 47% ont reçu jusqu’à 10 requêtes par mois.

Pour répondre à ces demandes liées aux droits individuels et aux droits d’accès aux données, 57% utilisent aussi des méthodes manuelles. 30% ont partiellement automatisé le processus. En revanche, seules 3% des organisations l’ont entièrement automatisé.

Enfin, 27% des répondants dans les grandes entreprises ont reporté au moins une faille de sécurité aux autorités compétentes, contre 16% dans les entreprises de taille moyenne.

*consultants, juristes, responsables data et IT.

Lire aussi : Microsoft 365 : la « Cnil européenne » épingle la Commission pour une mauvaise protection des données