Réglementation européenne en matière de protection des données · conformer dans le cadre de leurs activités avec des entreprises de l’UE, ou si elles gèrent des données

Réglementation européenne

en matière de protection des

données

Rapport d’analyse :Les entreprises sont-elles prêtes à s’y conformer ?

Juin 2014

TREND MICRO | Réglementation européenne sur la protection des données

2

Une nouvelle réglementation européenne

La nouvelle réglementation européenne en matière de protection des données devrait, à terme, s’imposer à toutes les organisations. Ces dernières devront respecter le réglement européen sur le sujet, dont la ratification est attendue dans les mois à venir.

Cette réglementation est la toute première tentative pour définir un cadre fort et pan-européen, pour protéger les données personnelles de 500 millions de citoyens de l’UE. Comme le souligne Vivianne Reding, Vice-présidente à la Commission européenne : « Nous mettons en place une autorité de régulation qui se veut un guichet unique ».

Ainsi, la nouvelle réglementation devrait s’immiscer au cœur des processus et stratégies des organisations. Des directions RH aux fonctions Marketing et Ventes, son périmètre d’application est particulièrement large. Dans un contexte économique européen, et français notamment, dominé par des transactions sans frontières, un environnement technologique en forte mutation et la prévalence des données en matière de prise de décision, le non-respect de cette réglementation peut lourdement grever la croissance des entreprises et remodeler nos environnements de travail.

L’adoption d’un réglement, attendue dans le courant de cette année, invite les acteurs du public, comme du privé, à s’y intéresser au plus tôt. La non-conformité n’est tout simplement

pas envisageable, puisque les pénalités applicables peuvent aller jusqu’à 100 millions d’euros ou 5% du chiffre d’affaires annuel.

Trend Micro a noué un partenariat avec Vanson Bourne pour dresser un état des lieux des entreprises face à cette réglementation et recueillir leur avis sur une question simple : la conformité réglementaire est-elle possible ?

Les résultats de l’enquête soulignent une méconnaissance de la nouvelle réglementation. En France, notamment, 35% des entreprises interrogées n’ont en effet même pas conscience qu’une réforme est en cours. Sur les 65% restants, seules 45% de ces entreprises maîtrisent les étapes nécessaires à cette conformité.

Toujours en France, l’enquête révèle que nombre d’entreprises rencontrent des défis majeurs dans leur mise en conformité. 25% des personnes interrogées estiment d’ailleurs que cette conformité n’est tout simplement pas réaliste. Elles pointent, parmi les principaux freins, l’absence d’une sécurité adéquate des données (32%) et une sécurité informatique déficiente (27%).

Ce rapport détaille les résultats de cette enquête et livre des conseils aux entreprises pour les aider à se préparer à la révolution réglementaire qui s’annonce sur le terrain de la protection des données.


3

Introduction

La réglementation européenne sur la protection des données évolue. Le Parlement européen a récemment validé l’harmonisation, telle que préconisée par la Commission européenne, des règles de protection des données dans tous les Etats membres. En France, comme dans ces autres Etats, les entreprises ne sont pas toujours conscientes des changements annoncés, et donc, peu prêtes à assurer leur conformité.

Les entreprises devraient pouvoir compter sur leurs gouvernements respectifs pour les

accompagner dans leur mise en conformité. Cet accompagnement peut donner lieu à l’institution d’organismes de conseil à même d’aider les entreprises à comprendre les tenants et aboutissants de la nouvelle réglementation, ainsi que les technologies et processus devant être mis en place.

Ce rapport d’étude dresse un état des lieux des entreprises européennes face à cette réglementation : leurs acquis, mais aussi les progrès à réaliser par les décisionnaires informatiques pour se mettre en conformité.


4

Garantir la confidentialité des données

La réglementation intègre trois idées fortes que le Parlement européen compte appliquer. La date de ratification n’est certes pas définie à ce jour, mais les entreprises pourraient bien être bien tenues de s’y conformer dès le début de l’année prochaine.

La première idée est celle de l’unicité, soulignée par la Commission européenne : un continent, une loi. Les dispositions réglementaires seront donc pan-européennes et remplaceront le patchwork actuel des lois nationales sur la protection des données. Pour la Commission européenne, les avantages d’une telle consolidation sont évalués à 2,3 milliards d’euros par an.

D’autre part, avec une loi pan-européenne, les entreprises n’auront à traiter qu’avec une seule autorité plutôt qu’avec celles des différents pays de l’Union.

Enfin, une réglementation unique implique que les entreprises extra-européennes, au même titre que celles des Etats membres, devront s’y conformer dans le cadre de leurs activités avec des entreprises de l’UE, ou si elles gèrent des données de citoyens européens.

Dans le nouveau cadre législatif, les citoyens disposeront d’un droit à l’oubli, ce qui implique que les entreprises suppriment les données personnelles, sauf en cas de raison légitime. Les citoyens pourront également accéder plus simplement à leurs données pour les transférer d’une entreprise à l’autre.

Les entreprises devront également obtenir l’aval explicite des citoyens avant de pouvoir manipuler et utiliser leurs données : le consentement ne pourra être présupposé, et les entreprises seront tenues de notifier les citoyens de toute fuite, détournement ou piratage de données susceptible de les affecter.

La sécurité des données devient une priorité absolue selon les dispositions de la nouvelle réglementation. Elle impose d’intégrer les mesures de sécurité nécessaires dès les phases en amont de conception de produits et de services. La Commission européenne souligne ainsi que la norme consiste désormais à proposer des paramètres par défaut favorisant la confidentialité des données.

Notons également que les sanctions en cas de transgression s’alourdissent : les pénalités et amendes peuvent ainsi aller jusqu’à 5% du chiffre d’affaires total d’une entreprise, ou 100 millions d’euros, le montant le plus élevé étant retenu.

Les entreprises traitant les données de moins de 5000 personnes ne seraient en revanche pas tenues de nommer un délégué dédié à la sécurité des données.

Ainsi, les entreprises doivent « digérer » un changement qui s’annonce majeur, et, comme le souligne cette enquête, il semble bien qu’elles aient du mal à en appréhender l’ampleur.


5

Connaissance de la réglementation

Les entreprises européennes en sont plutôt conscientes : elles doivent se conformer aux dispositions légales actuelles en matière de protection des données. Néanmoins, 15% d’entre elles ignorent devoir respecter une quelconque réglementation. Ce chiffre est de 16% en France. Ce sont les entreprises allemandes qui semblent les plus sensibilisées, 92% d’entre elles qui déclarant être conscientes d’avoir à respecter la réglementation en la matière.

Néanmoins, le respect de la réglementation actuelle laisse à désirer : 30% des personnes interrogées au sein de l’UE avouent ne pas respecter à la lettre la réglementation en vigueur, un chiffre qui grimpe à 38% en France. Au niveau européen, 11% des entreprises indiquent ignorer à quelle réglementation se conformer.

65% des entreprises françaises affirment être au courant du nouveau cadre législatif à venir, mais ce sont les Polonais et les Allemands, avec respectivement 73% et 87%, qui font office de meilleurs élèves.

Sans grande surprise, les acteurs des services financiers sont particulièrement sensibilisés. 72% d’entre eux affirment être au courant de la nouvelle réglementation. Et ce sont les Utilities qui sont en tête avec 88% affirmant connaître cette réglementation.

76% des entreprises européennes qui se disent au fait des nouvelles dispositions estiment savoir ce qu’il faut faire pour assurer leur conformité, ce chiffre étant le plus élevé en Allemagne (93%).

75% des entreprises françaises au courant de la nouvelle réglementation française, déclarent en connaître également les exigences.

Cependant, près de la moitié du panel ignore les pénalités et amendes qui peuvent leur être infligées. Seul 28% de ce panel est conscient que l’amende peut s’élever à 5% du chiffre d’affaires annuel en cas de piratage de données personnelles. Sur la France, ce chiffre est de 31%.

Si elles connaissent l’existence d’une amende, 38% des personnes interrogées en Europe, ignorent néanmoins son montant. 18% déclarent, quant à elles, ne pas être au courant de telles pénalités. En France, 21% des entreprises ignorent l’existence de ces pénalités tandis que 29% sont au courant de ce risque, sans n’avoir cependant aucune idée du montant de la sanction.

Avec de tels chiffres, il n’est guère étonnant que seules 13% des entreprises européennes estiment avoir une «très bonne» compréhension de la nouvelle réglementation européenne. Les Français font mieux que la moyenne : 20% jugent leur compréhension très bonne, 37% bonne, contre 15%, tout de même, qui l’estiment déficiente.

Au final, les organisations se doivent d’évaluer l’impact de la nouvelle réglementation, et ainsi planifier tant leur stratégie de protection des données que l’impact d’un piratage de leurs données.


6

Conformité

Une fois ratifié, le règlement s’appliquera à toutes les entreprises, ainsi qu’aux organisations collaborant avec des entreprises européennes ou traitant des données personnelles de ressortissants de l’UE.

Cependant, toutes les entreprises françaises ne s’estiment pas prêtes : si 45% d’entre elles affirment parfaitement comprendre les étapes à mettre en œuvre, aucune (0%) ne pense disposer actuellement des processus appropriés.

Sur le plan européen, le chemin vers la conformité est encore long. 52% des organisations interrogées comptent investir davantage dans la sécurité informatique (56% en France, 51% au Royaume-Uni et 64% en Allemagne).

Près de la moitié du panel (49%) compte former davantage leurs équipes sur la protection des données. 32% estiment devoir étendre leur assurance professionnelle pour couvrir le risque de piratage de données. Enfin, ce sont 29% des entreprises qui vont devoir nommer un délégué en charge de la protection des données (une des exigences de la nouvelle réglementation).

11% seulement du panel déclare avoir une protection suffisante en place et n’a pas besoin de déployer d’étapes supplémentaires (8% en France). Ce sont les Italiens qui ont le plus à faire, avec seulement 1% des entreprises du pays indiquant ne pas avoir à prendre de mesures supplémentaires.


7

Des exigences réalistes

En dépit des lourdes exigences qu’impose la nouvelle réglementation, plus de moitié des personnes interrogées (51% en Europe et 52% sur la France) estime qu’il est réaliste de s’y conformer.

Bien que la date de ratification du nouveau réglement ne soit pas encore connue, les dirigeants et gouvernements des Etats européens se sont engagés, à l’occasion d’un sommet en octobre dernier, à adopter rapidement ces nouvelles règles. Les entreprises doivent donc se préparer à cette conformité, qui pourrait bien être exigée d’eux d’ici deux ans.

Cependant, la conformité ne semble pas simple pour les entreprises européennes : seules 39% d’entre elles estiment qu’une période d’une à deux années est suffisante pour se mettre en conformité. Parmi les entreprises françaises, 48% d’entre elles partagent cette opinion. De manière générale, les entreprises européennes estiment comme réaliste un délai moyen de 23 mois.

Ce délai fait consensus dans toutes les régions, notamment chez les français et anglais qui s’accordent sur ce chiffre, tandis que les allemands l’estiment à 21 mois.

Les entreprises sont néanmoins confrontées à de réels défis dans leur projet de conformité. 31% d’entre elles pointent une faible sensibilisation des collaborateurs, tandis que 30% soulignent leurs contraintes vis-à-vis de leurs systèmes informatiques. 26% des entreprises déclarent ne pas disposer de ressources suffisantes, tandis que 20% ne disposent d’aucun processus formalisé en place pour notifier leurs clients en cas de piratage de données les concernant.

Pour 17% des entreprises françaises, l’absence d’un processus formalisé de notification des clients constitue un défi majeur. D’autre part, seules 18% des organisations disposent déjà d’un processus formalisé de notification en place et toujours utilisé, contre 21 % qui en sont totalement dépourvues. Au sein de l’Union européenne, 19% des entreprises disposent d’un tel processus et l’utilisent toujours.


8

Des pénalités et incitations majeures

Qui est responsable ?

Le montant des pénalités liées à la nouvelle réglementation a attiré l’attention des entreprises : 43% d’entre elles estiment qu’une pénalité d’un montant de 5% de leur chiffre d’affaires annuel aurait un impact majeur. Ce chiffre est de 31% pour la France.

Les dispositions légales actuelles n’ont guère encouragé les entreprises à renforcer leur sécurité : à ce jour, seules 16% des organisations de l’UE - et 15% d’entre elles en France - estiment que leur niveau de sécurité est optimal.

Selon l’enquête, même les piratages d’envergure et médiatisés n’ont pas incité les organisations à refondre leur stratégie de sécurité. Seuls 13% avouent que ces actes, et notamment celui qui a touché Adobe en octobre 2013 avec le détournement de 38 millions de fichiers

clients par un hacker, les ont amené à repenser entièrement leur stratégie de protection.

Plusieurs solutions s’offrent aux organisations pour rendre la tâche plus difficile aux hackers qui veulent détourner des informations. Cependant, à peine plus de la moitié des répondants ont opté pour ces solutions. 58% ont ainsi misé sur une sensibilisation de leurs collaborateurs et 51% ont déployé des mots de passe chiffrés. Seuls 29% disposent d’un outil pour effacer les données sensibles sur les équipements mobiles volés ou égarés.

Les entreprises françaises s’en sortent plutôt bien en matière de chiffrement des données, solution utilisée par 53% des entreprises. En revanche, un effort est requis pour sensibiliser davantage les collaborateurs, une option choisie par seulement 44% des entreprises.

Il semble que le moment soit opportun pour les gouvernements d’accompagner les entreprises dans leur mise en conformité. Une approche proactive consisterait à créer des instances de conseil qui aideront les entreprises à comprendre ce qui est attendu d’elles, les technologies à utiliser et les changements de processus qui doivent être réalisés.

Réussir sa mise en conformité implique de comprendre les nouvelles règles, et la majorité des entreprises (70%) s’accorde à penser que cette conformité relève de leur responsabilité, de manière globale. Sur l’ensemble de l’Union Européenne, 26% des entreprises estiment

que cette responsabilité doit être confiée à un délégué dédié à la sécurité des données, tandis que 21% renvoient cette responsabilité aux gouvernements.

De manière générale, les entreprises estiment que ce sont les gouvernements nationaux qui doivent sensibiliser davantage les entreprises à la nouvelle réglementation. Cet avis est partagé par 32% des entreprises européennes. En France, ce chiffre tombe à 24%. 17% des entreprises françaises, et 14% de leurs homologues en Europe estiment que cette sensibilisation doit être menée par les organisations professionnelles.


9

Une réglementation pertinente

Trend Micro estime que cette conformité réglementaire doit faire l’objet de toutes les attentions.

L’Europe s’est en effet engagée sur la bonne voie. Si la nouvelle réglementation peut être perçue par certains comme une entrave, elle met surtout en exergue les carences de la législation actuelle en matière de protection des données.

La nouvelle réglementation s’avère avantageuse pour tous, pour le grand public comme pour les grandes entreprises, et elle s’appliquera à toutes les organisations, même étrangères, qui travaillent au sein de l’Union Européenne ou sur des données personnelles de citoyens européen.

Cette approche est essentielle et sans retour, pour définir une loi unique, applicable à tous les pays membres. Aux entreprises maintenant de se préparer à assurer leur conformité !

NON

ÊTES-VOUS AU COURANT QU’UNE RÉGLEMENTATION EUROPÉENNE SUR LA PROTECTION DES DONNÉES AÉTÉ PROPOSÉE PAR LA COMMISSION EUROPÉENNE ?

PENSEZ-VOUS QU’UNE NOUVELLE NORME EUROPÉENNE DE SÉCURITÉ SOIT NÉCESSAIRE POUR MIEUX

PROTÉGER LES DONNÉES ?

OUITotal en Europe

52%

50%

87%

ROYAUME-UNI

ALLEMAGNE

60%

PAYS SCANDINAVES

72%

73%

ITALIE

60%

BENELUX

FRANCE

PAR PAYS

65%

64%

POLOGNE

OU

I

SAVEZ-VOUS À QUELLE ECHÉANCE VOTRE ENTREPRISE DOIT SE METTRE EN CONFORMITÉ ?

22%

OU

I

PENSEZ-VOUS QUE LA CONFORMITÉ À LA RÉGLEMENTATION EUROPÉENNE SUR LA PROTECTION DES DONNÉES

EST RÉALISTE POUR LES ENTREPRISES ?

QUELLES SONT LES PLUS GRANDS DÉFIS QUI FREINENT LA MISE EN CONFORMITÉ DE VOTRE ENTREPRISE ?

LES ENTREPRISES SONT-ELLES CONSULTÉES PAR LA COMMISSION EUROPÉENNEAVANT L’INSTAURATION D’UNE TELLE REGLEMENTATION ?

COMBIEN D’ENTREPRISES SAVENT QUE LE REGLEMENT EUROPÉEN SUR LA PROTECTION DES DONNÉES, UNE FOIS APPROUVÉ, REMPLACERA LES LOIS NATIONALES ?

51%

OU

I

OUI44% 28%

*Pourraient être consultées davantage

76%

ROYAUME-UNI

TOTAL U.E.55%

FRANCE

BENELUX

ALLEMAGN

POLOGNE

PAYS SCANDINAVES 36%

ITALIE

44%

82%18%

63%

49%

E 79%

62%

70%

LES PÉNALITÉS ENCAS DE FUITE/PIRATAGE

DE DONNÉES

INFORMÉS

NON INFORMÉS

RÉGLEMENTATION EUROPÉENNE SUR LA PROTECTION DES DONNÉES

13% *

SÉCURITÉ DES DONNÉES PEU EFFICACE

31%

30%

30%

FAIBLE SENSIBILISATION DES COLLABORATEURS

CONTRAINTE DES SYSTÈMES INFORMATIQUES EXISTANTS

DÉCLARENT CONNAITRE LES IMPLICATIONS DU PROJET DE LOI EUROPÉEN SUR LA PROTECTION DES DONNÉES


10

Au sujet de cette étude

A propos de Trend Micro

Cette étude européenne a été menée auprès de 850 responsables informatiques au cours du mois d’avril 2014 par Vanson Bourne. Les répondants étaient répartis comme suit : 250 personnes au Royaume-Uni, 100 en Allemagne, en France, au Benelux, en Pologne, en Italie et dans les pays nordiques.

Trend Micro Incorporated (TYO: 4704; TSE: 4704), un leader mondial des logiciels et solutions de sécurité, a pour mission de sécuriser les échanges d’informations numériques. Se fondant sur 25 ans d’expérience, nos solutions à destination du grand public, des professionnels et des institutions gouvernementales déploient une sécurité multicouche des données pour protéger les informations sur les équipements mobiles, les passerelles, les serveurs et le Cloud. Trend Micro concrétise une protection évoluée des données, grâce à des technologies simples à déployer et à gérer, et qui s’adaptent à un environnement évolutif. Toutes nos solutions sont optimisées par le Smart Protection Network, l’infrastructure de sécurité et de veille de Trend Micro, et sont prises en charge par plus de 1 200 chercheurs en sécurité.

Plus d’informations sur les produits et services de Trend Micro sur www.trendmicro.fr. Suivez-nous sur notre blog, sur Facebook et sur Twitter.

CONDITIONS D’UTILISATION DE CE DOCUMENT Les informations proposées dans ce document sont d’ordre général et à des fins de sensibilisation. Bien que Trend Micro ait prissoin de vérifier les informations présentes dans ce document, l’entreprise ne peut pas garantir leur parfaite exactitude et n’incitedonc pas les lecteurs à une prise de décision basée sur ce seul document. Ces informations ne constituent en aucun cas desconseils d’ordre juridique et ne peuvent entraîner la responsabilité des auteurs de ce document.

Documents

Réglementation européenne en matière de protection des données · conformer dans le cadre de leurs activités avec des entreprises de l’UE, ou si elles gèrent des données