DE L’ENQUÊTE ABINGTON - abingtonadvisory.comabingtonadvisory.com/PDF/2018 03 13 RGPD.pdf · informations contenues dans le registre. À noter > pour les traitements susceptibles

M

AR

S 2

018

© A

bing

ton

Advis

ory

2018

02

ANALYSE DÉTAILLÉE DES RÉSULTATS

ABINGTON : QUI SOMMES NOUS ?

ENQUÊTE SUR LA PROTECTION DES DONNÉES PERSONNELLES : QUELLE PERCEPTION DU RGPD PAR LES DÉCIDEURS EN ENTREPRISE ?

sommaire

12

3

CONTEXTE DE L’ENQUÊTE ABINGTON

page 03

SYNTHÈSE DES RÉSULTATS

page 05

page 12

4page 18

03


MA

RS 2

018

CONTEXTE DE L’ENQUÊTE ABINGTON

Le Règlement Général européen sur la Protection des Données (n° 2016/679 du Parlement européen - RGPD) est au cœur de l’actualité (presse, publications par les éditeurs de logiciels, échanges sur réseaux sociaux…), notamment concernant les sanctions en cas de non respect.

Pourtant, les décideurs se posent de nombreuses questions sur les impacts de ce Règlement et sur les actions qu’ils doivent mener pour le 25 mai 2018, date d’application du texte.

RGPD : entre buzz médiatique, inquiétudes et flou pour les décideurs

Nous avons questionné un panel d’acteurs pour comprendre leur perception du RGPD. Ce questionnaire nous a permis de répondre au mieux à leurs interrogations en séance. Cette enquête, anonyme, est un baromètre à date du ressenti et de la maturité des acteurs économiques français sur ce sujet.

Des questions pour mieux comprendre la perception

Les éléments contenus dans cette enquête constituent une restitution factuelle des réponses données par les participants aux questions posées ainsi que leur interprétation par notre équipe. Ils ne peuvent en aucun cas avoir une valeur de consultation juridique.

Points d’attention

1

© A

bing

ton

Advis

ory

2018

04

4


L’éclairage d’Abington Advisory via un tour de France

Cette enquête a été réalisée via une série de conférences sur le Règlement Général européen sur la Protection des Données (RGPD) animées auprès d’un échantillon de 300 entreprises (entreprises du CAC 40, ETI, PME de secteurs d’activité variés et SSII) réparties sur toute la France, sur la période d’octobre à décembre 2017.

Nous avons rencontré notamment des dirigeants, des directeurs juridiques, des directeurs des systèmes d’information, des responsables sécurité SI, des correspondants Informatiques & Libertés, des directeurs financiers et des prestataires informatiques qui souhaitaient se préparer au mieux au RGPD et en comprendre les impacts pour leur entreprise.

2Réponses anonymes en ligne des participants aux questions posées

3Extraction des réponses

4Analyse des données et identification des principales tendances

Préparation des questions et saisie dans notre outil Abington

1

4 chiffres

clefs à retenir

CONTEXTE DE L’ENQUÊTE ABINGTON1

05

MA

RS 2

018


SYNTHÈSE DES RÉSULTATS2

Un échantillon de 300 entreprises réparties sur toute la France et de secteurs d’activité variés.

53% des répondants perçoivent le RGPD comme une contrainte réglementaire de mise en conformité et non comme un levier de transformation.

45% des répondants n’ont pas lancé d’actions à date pour se mettre en conformité avec le RGPD.

Seuls 13% des répondants pensent qu’ils seront complétement prêts pour le 25 mai 2018 au regard des exigences du RGPD.

4 chiffres

clefs à retenir

© A

bing

ton

Advis

ory

2018

06


DES DIFFICULTÉS À ÊTRE PRÊT POUR LE 25 MAI…Seule une faible partie des acteurs questionnés affirme pouvoir être prête pour le 25 mai 2018, date d’entrée en application du Règlement.

LA PROTECTION DES DONNÉES : UN SUJET ENCORE PEU APPRÉHENDÉLes acteurs interrogés connaissent assez peu le cadre juridique en place sur la protection des données, et n’ont pas une vue complète des impacts du RGPD pour leur organisation.

UNE PERCEPTION DU RGPD PARTAGÉE ENTRE OPPORTUNITÉ DE TRANSFORMATION ET CONTRAINTE DE CONFORMITÉLes avis sont partagés entre les acteurs interrogés :

• Le texte est perçu pour plus de la moitié d’entre eux comme une contrainte purement règlementaire de mise en conformité,

• Pour l’autre moitié, des opportunités de transformation de leur organisation sont identifiées ou identifiables.

Principaux constats

SYNTHÈSE DES RÉSULTATS2

constats

07

MA

RS 2

018


LE RGPD, UN PROJET D’ENTREPRISELa plupart des participants comprennent que la conformité au RGPD requiert de multiples expertises, dont notamment :• Juridiques, • Organisationnelles,• Technologiques / Systèmes d’information.

Le programme de mise en conformité sous-jacent mobilise en effet tous les acteurs internes et externes de l’entreprise.

ET MAINTENANT, QUE FAIRE AU REGARD DES ÉCHÉANCES DE MAI 2018 ?L’effort à fournir pour les sociétés est bien entendu différent pour les sociétés B2B et B2C et selon le type de données qu’elles manipulent. Nous proposons sur les pages suivantes notre vision des actions organisationnelles, systèmes d’information et juridiques pour se mettre en conformité.

Il n’est pas trop tard !

constats

actions©

Abi

ngto

n Ad

visor

y 20

18

08

Et concrètement, quelles actions lancer en priorité ?

En lien avec la démarche recommandée par la CNIL, nous recommandons les actions ci-dessous :

2 Cartographie et registre des traitements Identifier les processus s’appuyant sur des données à caractère person-nel (DCP) et cartographier les traitements associés afin d’identifier les impacts du RGPD sur l’entreprise. Cette cartographie alimentera le registre des traitements de données à caractère personnel.

Le registre devra notamment contenir les informations suivantes :

• Liste des traitements, détail des catégories de données traitées et des éventuelles données sensibles manipulées,

• Responsables de traitements, finalités poursuivies par ces traitements, durées de conservation des données,

• Sous-traitants impliqués, pays destinataires des données,

• Les mesures de sécurité en place, …

* DPO : Data Protection Officer

ENQUÊTE SUR LA PROTECTION DES DONNÉES PERSONNELLES : QUELLE PERCEPTION DU RGPD PAR LES DÉCIDEURS EN ENTREPRISE ?SYNTHÈSE DES RÉSULTATS2

1 Gouvernance de la Protection des Données Nommer formellement un Délégué à la Protection des Données (DPD ou DPO*) puis, si adaptée, déployer une filière Protection des Données dont le DPD/DPO sera le chef d’orchestre.

SES RÔLES > informer les parties prenantes internes / externes, conseiller sur les choix à prendre en lien avec le Règlement, contrôler la bonne application des mesures identifiées et coopérer avec la CNIL.

À noter > le DPD ne doit pas avoir de fonctions internes créant de conflits d’intérêts.

Formaliser le corpus documentaire « Protection des données » en termes de politiques et processus :

• Politiques à titre d’illustration : politique générale de protection des données, règles de conservation des données, gestion des zones commentaires, …

• Processus dont notamment : gestion des droits des personnes, projets et privacy

by design / by default, violation de données, …

actions 09

MA

RS 2

018

Et concrètement, quelles actions lancer en priorité ?


3 Risques, plan complet et actions prioritaires Pour les traitements identifiés, analyser les écarts avec les exigences RGPD, évaluer et hiérarchiser les risques associés sur les droits et libertés des personnes concernées et construire un plan d’action complet visant à s’aligner avec le RGPD.

Les mesures prioritaires à mettre en œuvre sont notamment - leur définition est à documenter et leur application à justifier via des preuves :

• S’assurer de la licéité des traitements (proportionnalité des finalités, base légale justifiée …),

• Réaliser une première évaluation du niveau de conformité des sous-traitants

avec le Règlement,

• Pour les transferts hors UE, mettre en place les outils juridiques associés

et surveiller leur bonne application,

• Sensibiliser les parties prenantes internes / externes de l’entreprise sur les enjeux

du Règlement et les bonnes pratiques à respecter au quotidien,

• Renforcer la sécurité du SI supportant ces traitements selon les risques associés,

notamment les applications WEB exposées sur Internet. S’assurer qu’une organisation sécurité des SI est en place afin de travailler en étroite collaboration avec le DPD,

• Informer les personnes des traitements en place les concernant sur la base desinformations contenues dans le registre.

À noter > pour les traitements susceptibles de présenter un risque élevé pour les droits et libertés des personnes, réaliser une Etude d’Impact sur la Vie Privée (EIVP).

actions©

Abi

ngto

n Ad

visor

y 20

18

10

* DCP : Données à Caractère Personnel

… et ensuite, que faire dans un second temps ?

Lorsque les bases de la mise en conformité sont mises en place, les actions ci-dessous sont à traiter. A noter que ces actions peuvent être traitées en parallèle des actions 1 à 3 indiquées en pages 8 et 9 :

ENQUÊTE SUR LA PROTECTION DES DONNÉES PERSONNELLES : QUELLE PERCEPTION DU RGPD PAR LES DÉCIDEURS EN ENTREPRISE ?SYNTHÈSE DES RÉSULTATS2

4 Déclinaison du corpus documentaire en procédures pour déploiement

En lien avec le corpus documentaire Protection des données et le plan complet de mise en conformité, décliner les politiques et processus :

• Méthodologie projet : Mettre à jour la méthodologie projet en place afin d’intégrer les exigences RGPD dès les premières étapes et tout du long du projet (« Privacy by design »).

• Droits des personnes concernées : - Permettre aux personnes concernées d’exercer leurs droits sur leurs DCP*

et traitements (accès, modification, effacement / droit à l’oubli, limitation, opposition, portabilité),

- Mettre en place les procédures nécessaires pour traiter les demandes.

TRAITEMENT DE DCP

CARTOGRAPHIE REGISTRE

GOUVERNANCE

DPDCORPUS

DOCUMENTAIRE

1 2

actions 11

MA

RS 2

018


• Pour les traitements reposant sur un contrat, cadre juridique sous-jacent :

- Ajouter des clauses sur la conformité au RGPD et la protection des DCP dans les contrats avec les personnes concernées,

- Pour les salariés, ajouter des clauses RGPD dans les contrats de travail, compléter la charte IT…

• Collecte du consentement : Pour les traitements de DCP reposant sur le consentement des personnes concernées, mettre à jour les modalités de sa collecte.

À noter > Le consentement doit se manifester de façon libre, spécifique, éclairée et univoque. Son retrait doit pouvoir être fait de manière aussi simple.

• Suppression des DCP* : Appliquer des durées maximales de conservation en lien avec les finalités des traitements et tout autre exigence applicable (comptables, légales …).

• Gestion des violations de données : Être en mesure de détecter les violations de DCP (en cas de perte, altération, divulgation, accès non autorisé) afin d’informer l’autorité decontrôle et / ou les personnes concernées.

RISQUES PLAN COMPLET

!

3 DÉPLOIEMENT

ORGANISATION / PROCÉDURE / OUTILLAGESYSTÈME D’INFORMATION / KPI REPORTING

ACTIONS PRIORITAIRES

ACTIONS DANS UN SECOND TEMPS

4

ANALYSE DÉTAILLÉE DES RÉSULTATS3

La protection des données : un sujet encore peu appréhendé

QUESTIONS POSÉES

Quelques verbatim issus de nos échanges

« Je n’avais pas compris que mon fichier

prospects était soumis à la règlementation »

« Avant on ne se posait par de questions sur les données,

le risque était faible »

© A

bing

ton

Advis

ory

2018

12


Quel élément suivant est une DCP ?

Participants ayant donné les trois bonnes réponses

Un numéro de carte bancaire

Le prix d’une license Windows 10

Le numéro de téléphone portable d’un salarié

Le chiffre d’affaire d’une société

La date de naissance d’un client

87%

97%

7%

98%

3%

98%

Quelles organisations doivent respecter le RGPD ?

Les grands groupes

Les organismes publics

Les petites entreprises

85% 91%72%

67%

De quelle année date la 1ère loi sur les DCP* en France ?

1978 1988 1995 2004

42%

19%

30%

9%

* DCP : Données à Caractère Personnel

Participants ayant donné

les trois bonnes réponses

RÉPONSES CORRECTES

RÉSULTATS

58 % des répondants ne connaissent pas la date d’entrée en vigueur de la loi dite « Informatique et libertés » (1978) et très peu son contenu, 87 % des répondants ont su identifier des données à caractère personnel (date de naissance, numéro de téléphone, numéro de carte bleue…) sur la base des définitions données, Seul 36 % des répondants ont connaissance de la sanction la plus lourde infligée par la CNIL en France (150 000e à l’encontre de Facebook en mai 2017, et à l’encontre de Google en 2014).

13


MA

RS 2

018

Seuls 67 % des répondants ont compris que tous les acteurs publics et privés sont concernés par le RGPD, même les PME. Tous les répondants ont connaissance des sanctions financières prévues par le RGPD, largement médiatisées. Mais seuls 31 % d’entre eux ont connaissance des sanctions non financières (dont interruption de traitement, effacement des données, …) et des impacts sur l’image et la valorisation de l’entreprise.

Quelles sont les typologies de sanctions possibles ?

Participants ayant donné les trois bonnes réponses

Une interruption du traitement des donnéesL’effacement

des données traitées

Des sanctions financières

31%

63%

39%

100%

Quelle est la sanction financière la plus lourde infligée par la CNIL à date ?

500 000 e

150 000 e

100 000 e

52%

12%

36%

NOTRE POINT DE VUE La médiatisation du RGPD a contribué à la prise de conscience par les acteurs de la problématique de la protection des données, Toutefois, cette prise de conscience n’est pas assez approfondie et les impacts concrets et opérationnels du RGPD sont mal appréhendés à date.

NOS RECOMMANDATIONS

Poursuivre la sensibilisation des acteurs à la protection des données, à tous les niveaux des organisations : Comités Exécutifs, Directions, collaborateurs, S’assurer de nommer un Délégué à la Protection des Données (DPD) qui sera notamment en charge de porter la sensibilisation au sein des organisations sur la protection des données.

Connaissances en protection des données personnelles :

14

ENQUÊTE SUR LA PROTECTION DES DONNÉES PERSONNELLES : QUELLE PERCEPTION DU RGPD PAR LES DÉCIDEURS EN ENTREPRISE ?ANALYSE DÉTAILLÉE DES RÉSULTATS3

Le RGPD en un clic une Évolution du cadre réglementaire plus qu’une révolution

* DPD : Délégué à la Protection des Données

© A

bing

ton

Advis

ory

2018

Règlement Général européen sur la Protection

des Données

Renforcement de certaines exigences déjà existantes

(loi dite Informatique & Libertés de 1978)

Ajout d’exigences complémentaires

Justification du traitement

et des données collectées

Sécurité des DCP

Encadrement des transferts de données

Droits des personnes

concernées

Filière Protection des Données

(DPD* et Relais) si applicable

Documentation et auditabilité -

« Accountability »

Etude d’impacts sur la vie privée et

« Privacy by design »

Notifications des violations de données

NOTRE POINT DE VUELes acteurs ressentant le RGPD comme une contrainte avancent des difficultés à traiter l’ensemble des obligations prévues par le texte.Les acteurs identifiants le RGPD comme un levier de transformation souhaitent coupler les chantiers de mise en conformité avec des enjeux plus globaux de transformation :

- Maitrise de leurs données sensiblesau sens large,

- Mise en avant de leur conformité pour obtenir in fine un avantage concurrentiel sur leurs marchés respectifs,

- Et même, capitaliser sur cette mise en conformitpour transformer leurs processus métiers et offrir davantage de valeur à leurs clients.

NOS RECOMMANDATIONS

Mener un premier état des lieux des grands processus traitants de DCP, Cartographier l’ensemble des traitements de données existants, en priorisant les traitements les plus à risque (données sensibles selon le Règlement, services accessibles sur Internet …), Construire un plan d’actions consolidé et prioriser les actions à mener au regard des risques sur la vie privée des personnes concernées et des enjeux de transformation de l’entreprise, Rassurer les parties prenantes et, dans la mesure du possible, ne pas constituer un frein à l’innovation et aux projets tout en proposant des solutions pragmatiques en ligne avec le Règlement.

15


MA

RS 2

018

Une perception du RGPD partagée entre opportunité de transformation et contrainte de conformité

RÉSULTATS

La perception du RGPD pour les acteurs questionnés : 47 % des répondants perçoivent le RGPD comme un levier de transformation ; les autres répondants déclarent percevoir le Règlement principalement comme une contrainte de mise en conformité.

QUESTION POSÉE

Vous percevez le RGPD plutôt comme :


« On ne peut pas mettre en place toutes ces

obligations, et on sait que nos partenaires non plus. C’est trop compliqué. »

« Pour nous, la conformité va nous donner un avantage

concurrentiel »

Une contrainte de mise en conformité

Un levier de transformation

47%53 %

© A

bing

ton

Advis

ory

2018

16


Le RGPD, un projet d’entreprise

RÉSULTATS

Les expertises nécessaires induites par le RGPD : La majorité des répondants (81%) perçoit que la conformité au RGPD requiert de multiples expertises, dont notamment : Juridiques, Organisationnelles et Technologiques / Systèmes d’information.

QUESTION POSÉE

Selon vous, la mise en conformité avec le RGPD doit impliquer des compétences :


« Notre difficulté avec le RGPD est d’impliquer

tous les acteurs de notre entreprise »

« Quels outils dois-je acheter pour

me mettre en conformité ? »

Organisationnelles

Juridiques

Techniques

Les trois

« Est-ce qu’un report est envisageable ? »

NOTRE POINT DE VUELe RGPD nécessite à juste titre de combiner des expertises complémentaires :

- Organisationnelles : Faire évoluer l’organisation et les processus en place en s’appuyant sur une filière DPO,

- Juridiques : Mettre en œuvre l’ensemble des exigences du RGPD au sein des contrats et dans les relations avec les tiers (clients, sous-traitants, fournisseurs, …),

- Techniques : Décliner les impacts du RGPDsur le Système d’Information au niveau des applications, des architectures, des infrastructures et de la gouvernance du SI (consentements, droits des personnes, cybersécurité …).

NOS RECOMMANDATIONS

Mettre en place une filière Protection des données couvrant l’ensemble des données sensibles de l’entreprise, dont les données à caractère personnel, et en mesure d’impliquer les parties prenantes internes et externes de l’organisation, Mettre en avant l’opportunité de transformation amenée par le RGPD. Il constitue en effet un levier de renforcement de la maîtrise des données pour en tirer in fine toute la valeur métier pour l’entreprise.

ANALYSE DÉTAILLÉE DES RÉSULTATS3

94 %

88 %

94%

81 %

RÉSULTATS

A date 45 % des répondants n’ont pas lancé d’actions pour se mettre en conformité, 51 % sont en cours d’analyse du sujet, Seuls 4 % ont une organisation en place pour assurer la conformité au RGPD.

QUESTIONS POSÉES

Comment évaluez vous votre niveau de conformité à date ?

Des difficultés à être prêt pour le 25 mai…

45 %24 %

27%

4 %

Pas d’action lancée à date COMEX / Direction Générale sensibiliséQuelques projets techniques initiés

Organisation RGPD en place

Comment évaluez-vous votre capacité à être prêt au 25 mai 2018 ?

13%

29%

58%

Nous serons prêts Nous serons partiellement prêtsNous ne serons pas prêts

17


MA

RS 2

018

Pour le 25 mai 2018 : 29 % des répondants déclarent que leur entreprise ne sera pas prête, Seuls 13 % déclarent qu’ils seront prêts.


« Il y a trop d’actions à mener pour être

prêt à temps »

« Est-ce que la CNIL donne des outils pour être en conformité ? »

NOTRE POINT DE VUE Les acteurs avancent leurs inquiétudes à être prêts pour le 25 mai 2018, et la complexité du grand nombre d’actions à mener.

NOS RECOMMANDATIONS

Sur la base des cartographies des traitements effectuées, poursuivre les chantiers à mener voir notre synthèse des actions à mener en pages 8 à 11. S’appuyer sur les outils mis à disposition par la CNIL (d’autres sont à venir), dont notamment :

- Méthode en 6 étapes pour se préparer,- Modèle de registre de traitements de DCP,- Modèles de clauses contractuelles

(confidentialité, sous-traitant, etc.)- FAQ - Foire Aux Questions,- Outil PIA qui facilite la réalisation des analyses d’impact sur la protection

des données,- Le cas échéant, packs sectoriels visant à cibler les processus métiers contenant

des DCP et à affiner les exigences applicables par secteur d’activités.

© A

bing

ton

Advis

ory

2018

18


4

Notre équipe Une dizaine de collaborateurs au sein d’une équipe pluridisciplinaire de consultants et de juristes intervenant sur des missions de diagnostic et d’accompagnement RGPD et Cybersécurité pour le compte de nos clients : Dont les compétences sont reconnues par des certifications de premier plan (CISM,CISA, ISO 27001, ITIL, TOGAF, …), Participant aux groupes de réflexion sur la protection des données.

Abington Abington Advisory : un cabinet de conseil opérationnel basé en France et à l’international.

Premier cabinet de conseil darwinien, fondé par 5 associés issus de grands cabinets de conseil.

Un business plan supporté par le fond d’investissement NextStage spécialisé dans la croissance des PME « Championnes ».

A ce jour, le groupe Abington comprend une centaine de collaborateurs.

NOTRE VOLONTÉ : Accompagner nos clients dans l’appropriation en continu des changements au sein de leur propre écosystème (réglementaires, organisationnels, technologiques / digitaux, sociétaux, environnementaux …) et les aider à être les plus performants sur leurs marchés.

ABINGTON : QUI SOMMES NOUS ?

19


MA

RS 2

018

Accompagner les parties prenantes internes (métiers et DSI) et externes dans la mise en œuvre des mesures de protection des données et de cybersécurité

1

Mettre en œuvre l’amélioration continue (fonctions régaliennes) de la protection des données et du niveau de cybersécurité : risques et plans de traitements,

audits et contrôles, mises à niveau…

2

Protection des données personnelles

4 expertises complémentaires pour aider nos clients :

ManagementProtection

des données et cybersécuritéRisques, Fonction,

Processus, Changement

Urbanisation SI* / sécurité SI

Architectures, Applications,

Infrastructures, Terminaux

Conformité SI

RéglementationRGPD

Simulation d’attaques

Tests d’intrusion

*SI : Systèmes d’Information

Julien BIZJAKSenior Manager - Responsable des activités Protection des données et Cybersécurité126 rue de Provence75008 Paris, France+33 6 74 34 27 [email protected]

Philippe AUSSEURAssocié fondateur et président du groupe Abington126 rue de Provence75008 Paris, France+33 6 08 74 65 [email protected]

Matthias CHARPENTIERManager - Sécurité et conformité des SI126 rue de Provence75008 Paris, France+33 6 45 56 52 [email protected]

© A

bing

ton

Advis

ory

2018

VOS CONTACTS


tel:+33 6 74 34 27 68

mailto:[email protected]

tel:+33 6 08 74 65 79


tel:+33 6 45 56 52 07


Documents

DE L’ENQUÊTE ABINGTON - abingtonadvisory.comabingtonadvisory.com/PDF/2018 03 13 RGPD.pdf · informations contenues dans le registre. À noter > pour les traitements susceptibles