Les conclusions du récent rapport de Netwrix sur les risques et la sécurité des données sont sans appel : la mise en conformité avec le règlement européen est freinée par de mauvaises pratiques et des lacunes en matière de sécurité.
Publiée en janvier dernier, la dernière enquête de DLA Piper sur les violations de données en relation avec le RGPD révèle que les autorités de régulation de la protection des données ont infligé 114 millions d'euros d’amendes.
La France, l'Allemagne et l'Autriche sont en tête du classement, avec respectivement un peu plus de 51 millions d'euros (la presque totalité concernant Google), 24,5 millions d'euros et 18 millions d'euros.
Les Pays-Bas, l'Allemagne et le Royaume-Uni sont en tête du tableau pour le nombre de violations de données notifiées aux régulateurs avec 40 647, 37 636 et 22 181 notifications chacun.
Spécialisée dans la gouvernance de la donnée, la société californienne Netwrix pointe différentes raisons aux mauvais résultats des entreprises.
1Les organisations collectent plus de données sur les clients que le règlement ne le permet…
Selon Netwrix, elles n'optent certainement pas pour le minimalisme afin d’être en conformité avec le règlement européen. L'article 25 précise pourtant que le responsable du traitement doit s'assurer que seules les données personnelles, nécessaires à chaque finalité de traitement, sont collectées et traitées.
Or, l’étude de Netwrix constate qu’une majorité (61 %) des organisations interrogées déclarent qu'elles stockent plus de données personnelles qu'elles ne le devraient.
2Les organisations soumises au RGPD ne classent pas les données personnelles qu'elles recueillent par catégorie
41 % des professionnels ayant répondu à cette enquête ne classent pas les données au moment de leur création. Résultat, ils ne sont pas capables de faire une recherche rapide dans les dossiers. Pire, ils ne savent pas si cette capacité existe dans leur organisation.
L'inventaire des données et la gestion des dossiers ne constituent pas une exigence officielle, mais une cartographie exhaustive s’avère indispensable pour finaliser un registre des traitements.
« Il est impossible d'appliquer des contrôles de sécurité appropriés aux données réglementées si vous ne savez pas réellement où elles se trouvent. De plus, sans capacités de recherche appropriées, il est presque impossible de satisfaire les demandes d'accès des personnes concernées sans mettre les affaires en attente », précise Netwrix.
3Les organisations ne suivent pas la manière dont les données personnelles sont partagées
Les organisations doivent conserver une trace des données personnelles qu'elles détiennent sur les consommateurs et les employés. Or, 33 % des organisations soumises au RGPD ne suivent pas du tout le partage des données.
4Les organisations n'ont pas de politique de conservation des données
Les données personnelles ne peuvent être conservées de façon indéfinie dans les fichiers informatiques : une durée de conservation doit donc être déterminée en fonction de l’objectif ayant conduit à la collecte de ces données.
Pourtant, selon cette étude, 52 % des organisations n'ont toujours pas établi de politique de conservation des données.
C’est d’ailleurs ce qui avait valu, en juin 2019, une sanction de 400 000 euros à SERGIC pour avoir insuffisamment protégé les données des utilisateurs de son site web et mis en œuvre des modalités de conservation des données inappropriées.
Ces quelques statistiques montrent qu'il y a beaucoup à faire pour que les organisations atteignent la maturité en matière de conformité.
Source : Netwrix
