Le taux de conformité au RGPD reste faible, selon une nouvelle étude de Talend

Plus de la moitié des entreprises sondées n’ont pas été en mesure de répondre aux demandes d’accès et de portabilité des données dans le délai d’un mois fixé par le règlement

Redwood City, Calif. - 3 décembre 2019 - 58% des entreprises interrogées (64% en France) n'ont pas répondu aux demandes de personnes souhaitant obtenir une copie de leurs données personnelles dans le délai d'un mois prévu par le règlement général sur la protection des données (RGPD), révèle une étude actualisée de Talend, un leader mondial de l'intégration et de l'intégrité des données dans le cloud.

En septembre 2018, Talend avait publié les résultats de sa première étude portant sur le RGPD, qui visait à évaluer la capacité des entreprises à se conformer à la réglementation européenne en termes de droit d'accès et de portabilité. A l'époque, 70 % des entreprises interrogées (76% en France) n'avaient pu fournir les données personnelles dans un délai d'un mois. Un an plus tard, Talend a mené une nouvelle enquête auprès d'une nouvelle population d'entreprises, ainsi qu'auprès des entreprises qui avaient échoué lors de la première étude, afin de cartographier les améliorations. Bien que le pourcentage global d'entreprises qui sont aujourd’hui en conformité ait augmenté à 42 %, ce taux demeure particulièrement faible 18 mois après l'entrée en vigueur du règlement.

« Ces nouveaux résultats montrent clairement que le droit d'accès de la personne concernée reste le talon d’Achille de la plupart des entreprises », déclare Jean-Michel Franco, directeur sénior en charge des produits de gouvernance des données de Talend. « Pour se conformer pleinement au RGPD, il est nécessaire de comprendre où se trouvent les données, comment elles sont traitées et par qui, ainsi que de s'assurer que les données sont fiables. Avec l'entrée en vigueur de plusieurs réglementations sur la protection des données personnelles, aux États-Unis (CCPA, en janvier 2020), en Asie (PDPA en Thaïlande, en mai 2020) et en Amérique latine (LGPD au Brésil, en août 2020), les entreprises doivent enclencher un programme portant sur la gouvernance des données pour avoir une vision à 360 degrés des données clients, et donner aux responsables de la protection des données plus d’automatisation dans le traitement et la transmission des données. Les organisations doivent faire davantage pour regagner la confiance des personnes concernées et être conscientes qu'elles risquent des amendes très importantes ainsi que des atteintes considérables à leur réputation en cas de non-conformité, notamment par le biais de recours collectifs, qui pourraient s'avérer très préjudiciables pour leurs activités. »

Les principaux résultats de l’étude sont les suivants :

Le secteur public et les entreprises du secteur des médias et des télécommunications ont toujours du mal à répondre aux demandes

L'étude a révélé que seulement 29 % des entreprises du secteur public interrogées (16% en France) ont pu fournir les données dans le délai d'un mois. Avec l'utilisation croissante des données et des nouvelles technologies (reconnaissance faciale, intelligence artificielle) par le secteur public en vue d’améliorer l'expérience des citoyens, le besoin d'une gouvernance pour une gestion centralisée des données est indispensable pour 2020, et au-delà. La même observation s'applique aux entreprises du secteur des médias et des télécommunications, dont seulement 32 % d’entre elles (25% en France) ont été en mesure de fournir les données dans les temps.

Les entreprises des secteurs du commerce, de la finance, du transport et de l’hôtellerie atteignent à peine la moyenne

Par rapport à l'année dernière, les entreprises du secteur du commerce ont amélioré leur taux de réussite, 46 % d'entre elles (42% en France) ayant pu fournir des réponses correctes dans le délai d'un mois. Une plus grande proportion d'entreprises de ce secteur a commencé à adopter une approche centrée sur le client visant à améliorer l'expérience et les processus internes. La même situation se retrouve avec les entreprises des secteurs de la finance, du transport et de l'hôtellerie. De plus, ces dernières sont considérées comme les plus performantes puisque ces entreprises représentent 38 % de toutes les entreprises qui ont fourni des données en moins de 16 jours. 

Le manque d'automatisation demeure un obstacle pour réussir   

Un des points clés à retenir de cette nouvelle étude est le manque d'automatisation dans le traitement des demandes. L'une des principales raisons pour lesquelles les entreprises ne se sont pas en conformité est l'absence d'une vue consolidée des données et une identification claire de la responsabilité interne des données. Dans le secteur des services financiers, par exemple, les clients peuvent avoir plusieurs contrats avec une entreprise qui ne sont pas nécessairement situés au même endroit, ce qui rend difficile la récupération de l’ensemble des informations nécessaires. Le traitement des demandes reste donc très manuel et implique souvent des utilisateurs métiers, par exemple un courtier en assurance dans le cas d'une compagnie d'assurance. De plus, le traitement des demandes de droit d'accès de la personne concernée peut être très coûteux. En effet selon une récente étude de Gartner, les entreprises « dépensent en moyenne plus de 1400 $ pour répondre à une seule demande d’accès aux données. » [1]

La preuve de l’identité et le processus de demande doivent être améliorés

L’étude souligne également l'absence de vérification de l'identité de la personne qui sollicite des données au cours du processus de demande. Dans l'ensemble, seulement 20 % des entreprises sondées (25% en France) ont réclamé une preuve de l'identité du requérant. De plus, parmi les entreprises interrogées qui ont exigé une preuve de l’identité, très peu d'entre elles utilisent un moyen en ligne et sécurisé de partage des documents. Au lieu de cela, la plupart du temps, une copie de la pièce d'identité était fournie par email. Le processus de demande demeure également lourd, avec des difficultés signalées, notamment celle de trouver la bonne adresse électronique à qui adresser la demande, ainsi que les emails de suivi dans le cas où les données sont incomplètes ou parce que les fichiers ne peuvent être ouverts. 

Les résultats complets de l’étude seront présentés par Jean-Michel Franco lors de l’événement Data Governance Winter Conference qui se déroule à Delray Beach, en Floride. Pour plus d'informations sur la façon de fournir rapidement des données fiables en temps réel, consultez le rapport Talend Data Trust Readiness Report.

Vous aimez cette histoire ? Partagez-la sur Twitter : Une nouvelle étude de @Talend révèle que le taux de conformité au #RGPD reste faible https://bit.ly/2rtlwo7

À propos de l’étude

Talend a réalisé une étude pour évaluer la capacité des entreprises à se conformer à la réglementation RGPD. L'étude a porté sur 103 entreprises concernées par le RGPD à travers le monde (84% d’entreprises européennes, 8% d’entreprises basées en Amérique du Nord et 8% d’entreprises basées en Asie-Pacifique), dans divers secteurs (commerce, médias, nouvelles technologies, énergie, télécommunications, secteur public, finance, transport et hôtellerie).

L'analyse a porté sur les points suivants :

  • Évaluer si les entreprises ont mis à jour leurs politiques de protection des données personnelles.
  • Vérifier si les entreprises ont mis en place des moyens spécifiques pour les consommateurs de formuler une demande en lien avec le RGPD.
  • Solliciter les données en accord avec le RGPD, et évaluer la rapidité et l'exhaustivité avec lesquelles les entreprises s'y conforment.
  • Demander à recevoir les données en accord avec le RGPD d'une manière directement accessible et réutilisable (portabilité des données).

 

[1] Gartner - 5 Areas Where AI Will Turbocharge Privacy Readiness, Bart Willemsen, 20 août 2019