Plus de 2/3 des entreprises sont potentiellement en infraction avec les nouvelles lois européennes sur la protection des données personnelles
43 % des entreprises mettent à risque la protection des données personnelles de leurs clients
- Le règlement européen sur la protection des données personnelles confortant notamment le « droit à l'oubli », vient d'être approuvé de manière définitive. Cependant, 68 % des entreprises n'ont pas encore mis en place de plan complet et détaillé pour faire face aux conséquences
- 52 % seulement des entreprises seraient en mesure de remplir leurs obligations concernant le « droit à l'oubli ».
- La complexité informatique croissante, la prolifération des applications faisant appel aux pratiques Agile et DevOps, la collecte permanente de données toujours plus nombreuses et l'appel à la sous-traitance rendent cette nouvelle règlementation plus difficile à respecter.
- Pour être préparées à respecter le « droit à l'oubli », les entreprises doivent améliorer leurs capacités en matière de gouvernance et de gestion des tests de données sur les différentes plateformes—y compris sur les mainframes où réside la majorité des données clients.
Paris – le 14 septembre, 2016 – Compuware Corporation, leader des logiciels pour mainframe, publie aujourd'hui une nouvelle étude qui révèle que beaucoup d'entreprises, tant en Europe qu'aux États-Unis, sont mal préparées à appliquer la règlementation européenne sur la protection des données qui vient d'être approuvée. En effet, elles risquent d'enfreindre les règles régissant l'utilisation et le contrôle des données personnelles.
Voici quelques-unes des principales conclusions de l'étude :
- Plus de la moitié (55 %) des entreprises européennes sont bien informées sur cette nouvelle règlementation et sur la façon dont les données clients doivent être traitées.
- Malgré les risques liés au non-respect de leurs obligations, 68 % des entreprises n'ont pas encore mis en place de plan complet détaillant ce qu'elles mettront en œuvre vis-à-vis de cette loi, avec en 1ere position le Royaume-Uni (82 %) suivi de la France (71 %) et de l'Italie (64 %).
- Plus de la moitié (52 %) des entreprises aux États-Unis conservent des données sur des clients européens, et devront donc elles aussi se conformer au règlement européen. Cependant, elles ne sont que 43 % à se dire bien informées sur le règlement et son impact.
Parmi les facteurs compliquant le respect de ce nouveau règlement européen figurent :
- une complexité informatique croissante,
- la prolifération des nouvelles applications faisant appel aux pratiques Agile et DevOps,
- la collecte permanente de données toujours plus nombreuses,
- la sous-traitance informatique.
La grande majorité des répondants (63 %) admet que la complexité des données est l'un des principaux obstacles au respect du règlement, et pour 53 % des répondants, obtenir et gérer le consentement des clients pour utiliser leurs données serait un autre obstacle majeur.
Droit à l'oubli : un niveau de contrôle insuffisant
L'étude souligne que les entreprises peinent à contrôler leurs données, ce qui compliquera le respect du « droit à l'oubli ». Voici quelques-unes des principales conclusions :
- 68 % des répondants considèrent que la complexité des services informatiques modernes ne leur permet pas toujours de savoir où les données des clients sont conservées.
- Plus de la moitié des répondants (53 %) indiquent qu'il leur est particulièrement difficile de localiser leurs données de test.
- Un peu plus de la moitié (51 %) des DSI peuvent localiser rapidement la totalité des données personnelles d'un individu, et près d'un tiers (30 %) admettent ne pas pouvoir le garantir.
- Les répondants déclarent également que le recours à la sous-traitance informatique (81 %) ainsi que les technologies mobiles (63 %) compliquent davantage la localisation des données clients.
- Pour près de la moitié (45 %) des répondants, accéder à la demande d'un individu qui souhaiterait avoir connaissance de la totalité des données le concernant qui résident sur les systèmes d'une entreprise mobiliserait beaucoup de temps et de ressources.
- Un peu plus de la moitié (52 %) des répondants seraient capables d'effacer toutes ces données efficacement si l'individu voulait exercer son « droit à l'oubli ».
« Pour respecter le règlement général sur la protection des données, les entreprises doivent exercer un contrôle plus strict de l'emplacement des données client », explique le docteur Elizabeth Maxwell, spécialiste certifiée de la protection des données et directrice technique EMEA de Compuware. « Faute de pouvoir localiser chaque copie des données client sur chacun de leurs systèmes, elles risquent de perdre un temps considérable à lancer des recherches manuelles pour retrouver les données des personnes qui exercent leur droit à l'oubli. Et même dans ce cas, elles ne parviendraient pas forcément à identifier l'ensemble des copies et risqueraient donc de ne pas respecter le règlement. »
Tester les limites du consentement
L'étude établit que 86 % des entreprises utilisent des données client réelles pour tester des applications dans le cadre du développement de logiciels. Toutefois, une entreprise sondée sur cinq seulement demande son consentement explicite au client avant d'utiliser ses données : la majorité ne respecte donc pas le règlement. Plus alarmant : 43 % des répondants qui testent des applications avec des données réelles exposent la vie privée des clients à un risque accru car ils ne peuvent garantir que ces données soient dépersonnalisées avant d'être utilisées !
« Utiliser des données client pour tester des applications est une pratique assez répandue mais rien n'excuse ni ne justifie que ces données ne soient pas dépersonnalisées au préalable » ajoute Elizabeth Maxwell. « Les entreprises qui ne masquent pas les données avant de les utiliser pour tester des applications pourraient bientôt se voir infliger des amendes conséquentes par les régulateurs de l'UE. En plus d'assurer une meilleure protection de la vie privée des clients, l'anonymisation des données évite de devoir obtenir le consentement explicite des clients pour utiliser leurs données en vue de tester des applications, une démarche perçue par une bonne moitié des DSI (53 %) comme l'un des principaux obstacles au respect du règlement général sur la protection des données. »
L'application de la loi en France …
- 71 % des entreprises n'ont pas encore mis en place un plan complet et détaillé relatif à cette règlementation.
- 53 % seraient en mesure de remplir leurs obligations.
- 59 % mettent en cause la complexité des services informatiques modernes qui ne leur permet pas toujours de localiser les données des clients, d'autant plus avec le recours régulier à la sous-traitance (86 %) et les technologies mobiles (61 %).
- Pour plus de la moitié (55 %), accéder à la demande d'un individu qui souhaiterait avoir connaissance de la totalité des données acquises le concernant mobiliserait beaucoup de temps et de ressources.
- 87 % des entreprises utilisent des données client réelles pour tester des applications dans le cadre de développement de logiciels, et 44 % le font sans systématiquement les rendre anonymes au préalable.
Méthodologie
Commandée par Compuware, l'étude a été menée par la société d'études indépendante Vanson Bourne qui a interrogé 400 DSI de grandes entreprises représentatives des marchés verticaux en France, en Allemagne, en Italie, en Espagne, au Royaume-Uni et aux États-Unis. Les résultats de l'étude sont analysés de manière plus détaillée dans le livre blanc Êtes-vous préparés au règlement européen sur la protection des données personnelles ? Une étude Compuware sur le niveau de préparation des entreprises aux nouvelles obligations instaurées par l'UE en matière de protection des informations personnelles identifiables.
A propos de Compuware Corporation
Compuware permet aux plus grandes entreprises mondiales de développer leur activité grâce à l'économie digitale en tirant pleinement profit du capital intellectuel de leur Mainframe. Grâce à des solutions innovantes pour le développement d'applications et l'optimisation des performances Mainframe, Compuware donne les moyens aux DSI de mieux piloter leur entreprise. Pour plus d'informations, consultez le site compuware.com.