Une étude réalisée par le cabinet Censuswide pour le compte de Proofpoint auprès de 1.500 décideurs informatiques d’entreprises de plus de 200 employés au Royaume-Uni, en France et en Allemagne sur leur niveau de préparation au RGPD (règlement européen sur la protection des données) laisse perplexe.

Il en ressort en effet un énorme décalage entre leur perception et la réalité de leur préparation. Alors que 44% de ces entreprises considèrent qu’elles sont déjà en conformité avec la réglementation et que 30% estiment qu’elles le seront au moment de son entrée en vigueur le 25 mai prochain, seules 5% auraient effectivement mis en place toutes les stratégies de gestion de données nécessaires pour garantir cette mise en conformité.

La France n’échappe pas à ce constat.  Si 51% des décideurs IT de l’Hexagone considèrent que leur organisation est déjà en conformité avec le RGPD (contre 45% au Royaume-Uni et 35% en Allemagne), à peine 5% d’entre eux ont en réalité pris les mesures nécessaires pour assurer cette conformité. Et plus d’une entreprise française sur cinq (22%) ne respectera pas la réglementation lors de son entrée en vigueur (contre 23% au Royaume-Uni et 34% en Allemagne). Pourtant, comme le révèle l’étude, 61% des entreprises de l’Hexagone déclarent avoir subi un vol de données personnelles durant les deux années écoulées (contre 54% au Royaume Uni et 56% en Allemagne) et 78% d’entre elles qui redoutent un vol de données dans les 12 mois à venir (contre 54% au Royaume-Uni et 46% en Allemagne).  Les décideurs IT des trois pays étudiés sont donc conscients des enjeux. D’ailleurs 66% d’entre eux confient que leur budget a augmenté en prévision de l’entrée en vigueur du RGPD. De plus, plus de sept entreprises sur dix ont mis en place des équipes projet dédiées au règlement et plus d’une sur quatre a désigné un responsable de la protection des données.

Alors qu’ils avaient deux ans pour se préparer (l’adoption de la réglementation date d’avril 2016), seuls 40% des répondants affirment que leur organisation a rempli un formulaire de mise en conformité RGPD.

L’étude révèle également des disparités concernant les méthodes de préparation et la mise en œuvre de technologies nécessaires à la réglementation. Ainsi, 58% des responsables français (contre 56% au Royaume-Uni et 47% en Allemagne) affirment avoir développé des programmes internes de sensibilisation sur la protection des données, 49% ont défini des niveaux d’accès utilisateurs pour les systèmes de traitement des données (contre 44% au Royaume-Uni et 34% en Allemagne), et 44% ont expliquent avoir déployé des technologies de cryptage des données (contre 46% au Royaume-Uni et 25% en Allemagne).

Plus inquiétant encore, seule une entreprise française sur deux (55%) semble avoir déjà identifié quelles données personnelles sont en sa possession et comment elles sont traitées. C’est un peu mieux que chez nos voisins puisque 50% des décideurs britanniques et 58% des responsables allemands n’ont pas encore réalisé cette identification. On peut donc supposer qu’à la date de l’entrée en vigueur du RGPD, un nombre important d’entreprises ne connaîtront pas la localisation de leurs données à protéger.

Pour échapper à la complexité de la règlementation, beaucoup d’entreprises sont prêtes à courir le risque d’une non-conformité puisque 36% des décideurs IT en France (contre 48% au Royaume-Uni et 47% en Allemagne) affirment que leur organisation est financièrement préparée à couvrir les amendes. Des amendes qui peuvent toutefois atteindre jusqu’à 4% du chiffre d’affaires annuels ou 20 millions d’euros. D’autres prévoient plutôt un transfert de risque, avec 22% des répondants français révélant que leur entreprise est couverte par une assurance contre les cyberattaques (contre 24% au Royaume-Uni et 27% en Allemagne).

« Un vent d’optimisme semble souffler dans les entreprises puisque qu’il existe un décalage notable entre perception et réalité en matière de préparation à la réglementation RGPD », commente dans un communiqué Vincent Merlin, directeur marketing EMEA et APJ de Proofpoint.  « A moins de 6 mois de l’entrée en vigueur du nouveau règlement, il devient pourtant urgent d’investir dans des solutions permettant de savoir précisément où sont les données, de mettre en place les contrôle de sécurité nécessaires et de surveiller et réagir à toute tentative de vol de données », conclut le responsable.