Au-delà du RGPD · 3 Au-delà du RGPD : Le point sur la résidence des données aux quatre coins...

RAPPORT

Au-delà du RGPD :Le point sur la résidence des données aux quatre coins du monde

2 Au-delà du RGPD : Le point sur la résidence des données aux quatre coins du monde

Introduction

1. Les données dans un monde en mouvement

2. La protection des données, un avantage concurrentiel

3. RGPD : sensibilisation, préparation et réponse

4. Où sont mes données ? Stockage, emplacement et migration des données

3

6

9

11

15

Sommaire

5. Réglementations nationales : compréhension et impact

En résumé

Annexe : méthodologie et données démographiques de l'enquête

18

21

22

Au-delà du RGPD : Le point sur la résidence des données aux quatre coins du monde3

RAPPORT

Tous les décideurs d'entreprise le savent désormais : la date d'entrée en vigueur du règlement général sur la protection des données (RGPD) de l'Union européenne approche à grands pas. De fait, celui-ci prendra effet en mai 2018 et s'appliquera à toutes les entités qui collectent, stockent ou utilisent les données personnelles des citoyens des 28 États membres de l'Union européenne. Ce règlement, qui modifie les exigences relatives à la protection des informations d'identification personnelle de plus de 500 millions de personnes, préoccupe les acteurs de la protection des données du monde entier.

Introduction

Le RGPD n'est bien entendu pas le seul règlement auquel les entreprises internationales sont soumises, et il ne s'agit pas davantage du seul point de préoccupation des personnes chargées du stockage, du traitement, de la gestion et de la protection des données, aujourd'hui considérées comme l'une des ressources les plus précieuses au monde.

Pour mieux comprendre le processus de prise de décisions en matière de données, McAfee® a demandé à Vanson Bourne de recueillir les avis de 800 responsables d'entreprise issus de huit pays et de nombreux secteurs d'activité.

Les pages suivantes apportent un éclairage sur la manière dont les entreprises interrogées assurent

actuellement la gestion, la protection et la résidence (l'emplacement de stockage physique) des données. Ce rapport examine également l'impact des événements mondiaux, notamment :

■ Les changements géopolitiques dans plusieurs régions et leur impact sur les données

■ Le rôle de la protection des données en tant qu'avantage concurrentiel

■ Le degré de sensibilisation et de préparation des entreprises au RGPD

■ Les facteurs qui influent sur les décisions en matière de résidence des données

■ L'impact de 11 réglementations nationales et sectorielles spécifiques


RAPPORT

Ce rapport recèle de nombreuses observations extrêmement intéressantes. En voici neuf d'entre elles :

1. Les événements mondiaux influent sur les plans de migration des donnéesPrès de la moitié des entreprises prévoient de migrer ou indiquent qu'elles migreront leurs données en réponse aux changements politiques, notamment l'entrée en vigueur du RGPD, le Brexit ou l'évolution des approches politiques aux États-Unis (voir section 1).

Les entreprises dépenseront en moyenne 85 000 dollars de moins aux États-Unis en raison des politiques gouvernementales américaines (voir section 1).

2. La confidentialité est vendeuse : la protection des données offre un avantage concurrentiel74 % des répondants pensent que les entreprises qui respectent scrupuleusement la législation en matière de protection des données attireront de nouveaux clients (voir section 2).

3. L'opinion publique joue un rôle fondamental dans la prise de décisions en matière de données83 % des entreprises interrogées tiennent compte de l'opinion publique en matière de confidentialité des

données lors de la prise de décisions concernant la résidence des données (voir section 2).

4. Le RGPD fera de l'Europe le leader mondial de la protection des données70 % des entreprises interrogées pensent que la mise en œuvre du RGPD fera de l'Europe un leader mondial de la protection des données (voir section 2).

5. Les entreprises mettent en moyenne 11 jours pour signaler une compromission Le RGPD impose que l'autorité de contrôle locale soit alertée dans les 72 heures suivant une compromission de données ou soit informée des raisons du retard. À l'heure actuelle, les entreprises mettent en moyenne 11 jours pour signaler une compromission, soit près de quatre fois plus longtemps (voir section 3).

6. Les entreprises comptent sur les fournisseurs de services de cloud pour les aider à assurer leur conformitéHuit entreprises sur dix prévoient de s'appuyer, au moins en partie, sur leur fournisseur de services de cloud pour garantir leur conformité aux exigences de protection des données. Certaines d'entre elles surestiment probablement le degré de responsabilité des fournisseurs de services de cloud (voir section 3).


RAPPORT

7. La plupart des entreprises ne sont pas certaines de l'emplacement de stockage précis de leurs données 47 % des entreprises interrogées déclarent savoir en permanence où sont stockées leurs données. Cela signifie qu'une majorité d'entre elles l'ignorent avec précision, en tout cas à certains moments (voir section 4).

8. Les États-Unis constituent la destination de stockage des données la plus prisée48 % des entreprises interrogées dans le cadre de notre enquête ont indiqué préférer que leurs données soient stockées aux États-Unis, suivis par l'Allemagne (35 %), le Royaume-Uni (33 %) et la France (25 %) (voir section 4).

9. Seuls 2 % des dirigeants déclarent connaître l'ensemble des dispositions légales qui s'appliquent à leur entrepriseLa majorité des répondants (54-74 %) pensent que leur entreprise a une « compréhension totale » des réglementations relatives à la protection des données auxquelles elle est soumise. En réalité, seuls 2 % des décideurs connaissent toutes les dispositions des réglementations qui s'appliquent à leur entreprise, en raison peut-être de la complexité de ces textes législatifs (voir section 5).


RAPPORT

1. Les données dans un monde en mouvement

Le monde a rarement connu des fluctuations telles que celles observées aujourd'hui. Les bouleversements économiques et politiques s'accompagnent d'une numérisation accélérée, de déplacements de masse des populations et de craintes liées au terrorisme et aux cyberattaques. Les lois régissant l'utilisation des données personnelles et celles visant à conférer des pouvoirs de surveillance accrus aux gouvernements au nom de la sécurité nationale ne fonctionnent pas en vase clos. Au contraire, elles s'appliquent dans le contexte de ces bouleversements. Elles posent un choix moral cornélien aux législateurs et aux sociétés dans lesquelles elles sont mises en œuvre, et représentent un dilemme majeur pour les entreprises qui y sont soumises.

C'est pourquoi la première partie de ce rapport complet sur les attitudes, les actions et les intentions des décideurs examine l'impact potentiel des changements géopolitiques et d'un large éventail d'événements, notamment le refus d'Apple d'octroyer aux autorités un accès à l'iPhone via une porte dérobée au lendemain de la fusillade de San Bernardino en décembre 2015.

Dans quelle mesure les événements de portée mondiale influencent-ils les plans de migration des données ? Selon les résultats de l'enquête, près de la moitié des entreprises migreront leurs données en réponse aux changements politiques, notamment la prochaine entrée en vigueur du règlement général sur la protection des données (RGPD) de l'Union européenne (48 %), la sortie

du Royaume-Uni de l'Union européenne (48 %) ou les politiques américaines (47 %). Certaines entreprises ont déjà commencé, tandis que d'autres prévoient de le faire.

Plans de migration des données

Votre entreprise migre-t-elle activement ses données vers un autre emplacement en réponse aux événements suivants ?Événement Oui Non,

mais c'est prévu

Non, et ce n'est pas en projet

Ne sait pas

RGPD 27 % 21 % 39 % 13 %

Sortie du Royaume-Uni de l'Union européenne

27 % 21 % 40 % 12 %

Politiques américaines 27 % 20 % 40 % 13 %

Apple/San Bernardino 23 % 18 % 45 % 15 %

Accès au cloud Microsoft/gouvernement américain

25 % 17 % 44 % 14 %

Surveillance gouvernementale

27 % 17 % 39 % 17 %

Dans le cas de trois événements majeurs, 41 % des répondants ont migré ou prévu de migrer leurs données en réponse à l'affaire Apple/San Bernardino ; 42 % suite à l'affaire de l'accès aux données du cloud opposant Microsoft au gouvernement américain ; et 44 % en conséquence d'une sensibilisation accrue à la surveillance gouvernementale. Bien que ces pourcentages soient relativement faibles, il s'agit néanmoins de minorités importantes qui prévoient de prendre des mesures en réponse à des événements extérieurs.

« Selon les résultats de l'enquête, près de la moitié des entreprises migreront leurs données en réponse aux changements politiques. »


RAPPORT

Il est intéressant de constater que la notion de migration n'implique pas nécessairement de déplacer les données hors d'un pays particulier. Il peut s'agir de les déplacer au sein de ce pays. Ainsi, les entreprises pourraient répondre à l'entrée en vigueur du RGPD en 2018 en stockant leurs données dans l'un des 28 États membres de l'UE (voir la section 4 pour plus de détails). En revanche, elles pourraient choisir de répondre à la sortie du Royaume-Uni de l'Union européenne prévue en 2019 en déplaçant leurs données vers ou hors du Royaume-Uni, selon la localisation géographique du client.

Les acteurs du secteur des soins de santé sont davantage susceptibles que ceux des autres secteurs de répondre aux changements au sein de l'UE par une modification de leurs plans de migration. Dans les deux cas, 52 % des répondants du secteur des soins de santé ont déjà migré leurs données ou prévoient de le faire.

Au-delà des plans de migration, ces événements mondiaux sont susceptibles d'avoir des répercussions sur les investissements et les acquisitions technologiques.

Selon 63 % des décideurs qui ont participé à l'enquête, les politiques américaines introduites par l'administration américaine actuelle ont déjà, ou auront, un impact sur les investissements liés aux acquisitions technologiques. Le même pourcentage de répondants a indiqué que le réalignement de l'UE aura un impact sur les investissements technologiques, tandis que le RGPD aura une influence dans deux tiers (66 %) des cas.

Ces chiffres pourraient refléter le sentiment partagé par plus de la moitié des répondants (51 %) que la rigueur des réglementations en matière de protection des données externes empêche leur entreprise d'adopter de nouvelles technologies.

Pour mieux cerner l'importance de la baisse des investissements, les répondants ont été invités à quantifier l'évolution probable des dépenses au cours des cinq prochaines années.

Réduction moyenne des dépenses au cours des cinq prochaines années RGPD et dépenses au sein de l'UE -83 654 USD

Politiques américaines et dépenses aux États-Unis -85 414 USD

Ces chiffres suggèrent que les changements géopolitiques entraîneront une réduction substantielle des dépenses. La réduction moyenne due aux politiques gouvernementales mises en œuvre aux États-Unis devrait s'élever à 85 414 dollars pour l'ensemble des entreprises au cours des cinq prochaines années. Une réduction comparable de 83 654 dollars liée au RGPD est à prévoir dans l'Union européenne. Ainsi, malgré une possible augmentation à court terme des dépenses liées à la conformité au RGPD, les dépenses globales des entreprises devraient diminuer. Autre point significatif, qui illustre l'incertitude ambiante, un cinquième des répondants ne savent pas encore quel impact les politiques américaines (20 %) et le RGPD (19 %) auront sur les dépenses de l'entreprise.

« La réduction moyenne due aux politiques gouvernementales mises en œuvre aux États-Unis devrait s'élever à 85 414 dollars pour l'ensemble des entreprises au cours des cinq prochaines années. »


RAPPORT

Impact sur les investissements en technologies

Que nous apprennent ces résultats en ce qui concerne les dépenses technologiques à court et moyen terme ? Ils laissent à tout le moins entendre qu'un certain nombre d'événements mondiaux et la prochaine entrée en vigueur d'une réglementation majeure donnent matière à réflexion aux entreprises. Certaines d'entre elles réviseront leurs projets de dépenses, tandis que d'autres pourraient choisir de réduire l'investissement global.

Ces événements sont susceptibles d'influer sur les décisions liées à l'infrastructure de l'entreprise et au rôle du cloud et des services de cloud. Ils risquent également d'entraîner une augmentation du nombre de recrutements axés sur la gestion et la protection des données.

Ils sont en outre susceptibles de susciter davantage de discussions pressantes sur l'emplacement géographique des données sur site, dans les centres de données managés ou dédiés, dans le cloud ou dans une combinaison des trois. La résidence des données occupera une place de plus en plus importante parmi les préoccupations des entreprises, et déterminera les questions posées aux fournisseurs de services ainsi que l'emplacement de l'infrastructure managée, pays par pays.

Cette évolution ne doit cependant pas être interprétée comme un recul vis-à-vis du cloud en tant qu'élément essentiel de la fourniture de données. Elle peut en revanche encourager les entreprises à envisager une infrastructure privée plutôt que publique dans un premier temps.


RAPPORT

2. La protection des données, un avantage concurrentielLe moment est venu de remettre en question les idées reçues. La protection des données n'est pas seulement une bonne pratique ; il s'agit d'une obligation légale à respecter, ainsi que d'un impératif organisationnel. Elle peut représenter une opportunité de maîtriser la question du stockage des données et de localiser chaque donnée hébergée au sein d'une entreprise, ainsi qu'une occasion de rétablir le dialogue avec les clients tout en instaurant une relation de confiance.

Les observations suivantes corroborent cette vision progressiste de la protection des données.

Par exemple, la plupart des entreprises tiennent compte de l'opinion publique en matière de confidentialité des données lorsqu'elles décident où stocker les données. Ainsi, 47 % des décideurs interrogés dans le cadre de cette enquête ont déclaré que l'opinion publique influençait toutes leurs décisions en matière de stockage, tandis que 36 % ont indiqué qu'elle contribuait à influencer la décision. (Pour plus d'informations sur la résidence des données, voir la section 4.)

Qu'en est-il des opportunités créées par le RGPD ? Certains des aspects les plus complexes du nouveau règlement de l'UE sur la protection des données sont abordés dans la section suivante, mais arrêtons-nous un instant sur le fait que sept décideurs d'entreprise sur dix pensent que l'approche de la protection des données de l'Europe en fait un leader mondial dans ce domaine.

Un nombre comparable de décideurs (67 %) pense que le RGPD favorisera l'investissement en Europe. En bref, la protection des données clients et autres types d'informations prévue par le RGPD pourrait procurer un avantage concurrentiel aux entreprises.

Certains répondants considèrent la protection des données comme un avantage concurrentiel et sont à même de mesurer son impact commercial. Près de trois quarts (73 %) d'entre eux indiquent qu'ils peuvent quantifier la valeur de la sécurité, notamment la protection des données, pour l'entreprise, tandis qu'un nombre comparable (74 %) pense que les entreprises utilisent la protection des données comme moyen d'attirer de nouveaux clients.

Repenser la valeur de la protection des données

La protection des données peut offrir de nombreux avantages aux entreprises. Elle permet notamment d'éviter les amendes et les sanctions réglementaires, ainsi que les coûts liés aux conséquences d'une compromission. Elle peut également permettre de conserver la confiance des clients et d'éviter les atteintes à la réputation.

Parallèlement, les activités de conformité peuvent avoir un effet bénéfique sur d'autres processus métier qui, bien que sortant du cadre de cette enquête, sont importants.

Leaders mondiaux ?

70 % des répondants sont d'accord avec l'affirmation suivante : « La mise en œuvre du RGPD fait de l'Europe un leader mondial de la protection des données ».

67 % des répondants sont d'accord avec l'affirmation suivante : « Le RGPD favorisera l'investissement en Europe ».


RAPPORT

Par exemple, des données nettoyées et sécurisées améliorent la fiabilité et l'intégrité des analyses générées par l'entreprise. En d'autres termes, les données parasites sont éliminées.

Par ailleurs, les leçons tirées des mesures de conformité mises en œuvre pour protéger les informations des clients peuvent être appliquées aux autres données, telles que les éléments de propriété intellectuelle de l'entreprise. Or, toutes les entreprises sont conscientes de la valeur de leurs éléments de propriété intellectuelle ou de l'avantage concurrentiel qu'ils leur confèrent.

Enfin, l'impact de la protection des données sur la culture de l'entreprise ne doit pas être sous-estimé, en particulier l'effet qu'il a sur le recrutement et la rétention du personnel. La protection des données favorise une approche éthique et transparente, deux valeurs extrêmement importantes pour les effectifs d'aujourd'hui.

Avantage concurrentiel ?

73 % des répondants sont d'accord avec l'affirmation suivante : « Mon entreprise peut quantifier la valeur de la sécurité pour ses activités ».

74 % des répondants sont d'accord avec l'affirmation suivante : « Les entreprises utilisent la protection des données pour attirer de nouveaux clients ».


RAPPORT

3. RGPD : sensibilisation, préparation et réponse

Le RGPD représente-t-il un fardeau ou une opportunité pour l'entreprise ? L'un n'empêche pas l'autre.

Prévu pour entrer en vigueur le 25 mai 2018, le RGPD succède à la directive sur la protection des données de 1995. Bien qu'applicable à chaque État membre de l'Union européenne, le RGPD concerne toutes les entreprises, indépendamment de leur pays d'origine, qui collectent, stockent ou utilisent les données de résidents européens, que ce soit à titre de clients ou d'employés. Il concerne toutes les entreprises qui ont du personnel en Europe, même si elles n'y ont pas de clients.

Le RGPD est très attendu parce que beaucoup de choses ont changé depuis 1995. Il y a 20 ans, l'Internet commercial n'en était qu'à ses balbutiements et la plupart des données détenues par une entreprise étaient stockées dans son périmètre réseau, généralement sur site. Si certaines fonctions d'entreprise étaient externalisées et que les données pouvaient être transférées pour la gestion des salaires, par exemple, le nombre de fournisseurs tiers et la complexité de leurs tâches ont considérablement évolué. À l'heure actuelle, l'accès aux données se fait 24 heures sur 24, 7 jours sur 7, à la demande, sur les terminaux mobiles et dans le cloud. Dans le même temps, l'Internet des objets (IoT), l'apprentissage automatique et l'intelligence artificielle ont modifié notre compréhension de ce que sont les informations d'identification personnelle, leur accès et leur utilisation.

Affectant directement un bloc commercial de plus de 500 millions de personnes, le RGPD n'est pas seulement le texte réglementaire le plus ambitieux du siècle en matière de protection des données ; il est peut-être le texte législatif relatif aux données le plus complexe au monde. En effet, il renforce les exigences pour toutes les entités exerçant des activités en Europe, et s'aligne sur les réglementations existantes les plus strictes en matière de protection des données actuellement en vigueur aux Pays-Bas et en Allemagne. Il lie également la sécurité et la confidentialité comme jamais auparavant et continue d'autoriser des variations locales dans les différents États membres.

En ce qui concerne ceux qui doivent se préparer à l'entrée en vigueur du règlement en mai 2018, 86 % des répondants pensent que leur entreprise a une « bonne connaissance » ou une « connaissance approfondie » du RGPD.

Parmi les répondants qui n'ont aucune connaissance ou ont une connaissance limitée des implications du RGPD pour leur entreprise, on constate des variations notables en fonction du secteur et de la taille de l'entreprise. Par exemple, 27 % des entreprises du secteur public indiquent qu'elles n'ont aucune connaissance ou ont une connaissance limitée, tandis que ce n'est le cas que de 8 % des entreprises privées du secteur des soins de santé. De leur côté, les entreprises de 5 000 employés ou plus s'attribuent la moins bonne connaissance

Connaissance du RGPD

Aucune connaissance

Connaissance limitée

Bonne connaissance

Connaissance approfondie

44 %

41 %

10 %5 %

Les participants à l'enquête dont l'entreprise exerce des activités commerciales au sein de l'UE ont également répondu à la question suivante : « Dans quelle mesure votre entreprise connaît-elle les implications du RGPD pour elle ? ».


RAPPORT

du règlement. En effet, 19 % des répondants laissent entendre n'avoir aucune connaissance ou avoir une connaissance limitée du RGPD. Ce pourcentage élevé peut traduire les difficultés auxquelles les grandes entreprises sont confrontées.

Quoi qu'il en soit, le niveau généralement élevé de connaissance du RGPD peut refléter le temps que les entreprises affirment avoir consacré à la préparation à son entrée en vigueur : 24 mois en moyenne, un peu moins de la moitié (47 %) des entreprises indiquant s'y préparer depuis plus de deux ans.

Pour illustrer l'ubiquité de la législation européenne, sachez que trois quarts des participants à l'enquête, indépendamment de leur pays d'origine, ont des activités commerciales dans l'Union européenne, et que 13 % supplémentaires qui n'en ont pas prévoient de s'implanter sur ce marché dans un avenir proche.

Seule une entreprise sur dix déclare n'avoir aucune intention d'exercer des activités commerciales en Europe, un chiffre biaisé par les 21 % d'entreprises du service public qui ont répondu non. Il convient de rappeler que toute entreprise qui collecte, stocke ou utilise les informations d'identification personnelle de résidents européens sera régie par le RGPD, indépendamment du fait qu'elle se considère ou non comme exerçant des activités commerciales dans l'UE, ou que les données quittent ou non le territoire de l'UE.

L'un des principaux éléments nouveaux découlant du RGPD, en particulier pour les entreprises ciblant l'UE, où tous les pays n'ont pas adopté des lois régissant le signalement des compromissions de données, réside dans l'obligation de signaler toute compromission à l'autorité de contrôle « dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance », ou d'expliquer les motifs du retard. Les entreprises sont-elles en mesure de respecter cette obligation ? Les résultats de l'enquête laissent entendre que cela sera difficile. Interrogés sur la vitesse actuelle de signalement des compromissions dans leur entreprise, un quart seulement (26 %) des répondants pensent pouvoir respecter le délai de trois jours.

1 %

Depuis combien de temps votre entreprise prépare-t-elle l'entrée en vigueur du règlement européen sur la protection des données (RGPD) à venir ?

Je ne sais pas

Nous n'avons pas encore commencéà nous préparer car nous ne serons pas concernés

Nous n'avons pas encore commencéà nous préparer, mais nous serons concernés

Moins de six mois

Entre six mois et un an

Entre un et deux ans

Entre deux et trois ans

Entre trois et quatre ans

Plus de quatre ans

25 %

20 %

21 %

11 %

1 %

4 %

5 %

14 %

Moyenne = deux ans

Préparation au RGPD

« En ce qui concerne ceux qui doivent se préparer à l'entrée en vigueur du règlement en mai 2018, 86 % des répondants pensent que leur entreprise a une "bonne connaissance" ou une "connaissance approfondie" du RGPD. »


RAPPORT

En moyenne, les entreprises mettent 11 jours pour signaler une violation de leurs défenses, soit près de quatre fois plus longtemps que prévu par le RGPD. Près d'un quart des répondants indiquent que leur délai de signalement est égal ou supérieur à deux semaines. À noter toutefois que 78 % des répondants disposent de processus pour signaler une compromission à un tiers, ou prévoient de le faire.

Après analyse plus approfondie des attitudes en matière de signalement des compromissions, il ressort des résultats de l'enquête que la majorité des entreprises pensent que la réputation de l'entreprise est entachée par le signalement d'une compromission et que près de la moitié d'entre elles (47 %) préféreraient accepter une amende plutôt que divulguer une compromission.

Interrogées sur l'impact négatif d'une compromission de données, les entreprises ont identifié la perte de la confiance des clients (58 %), la perte de clients (46 %) et les sanctions financières (45 %) comme les trois conséquences les plus graves. À la question de savoir comment elles couvriraient le coût d'une compromission, 44 % ont répondu qu'elles tenteraient d'essuyer au moins partiellement les coûts grâce à une police d'assurance, tandis que 39 % ont déclaré qu'elles puiseraient dans un budget spécialement alloué.

Le RGPD exige également que la plupart des entreprises emploient un délégué à la protection des données. La grande majorité des entreprises (81 %) interrogées dans le cadre de cette enquête en ont déjà désigné un ou le feront avant l'entrée en vigueur du RGPD. En réalité, certaines entreprises sont déjà soumises à cette obligation dans plusieurs États membres. Cependant, l'enquête suggère que deux tiers des entreprises emploient un délégué à la protection des données « uniquement » ou « essentiellement » pour répondre aux exigences du RGPD.

Attitude vis-à-vis du signale-ment des compromissions

63 % des répondants confirment que « dans mon secteur d'activité, le signalement d'une compromission est susceptible d'entacher la réputation de l'entreprise et d'avoir un impact négatif sur notre marque ».

47 % « préféreraient risquer une amende que signaler une compromission en raison de l'impact négatif qu'une telle divulgation aurait sur la marque ».

En moyenne, dans quel délai votre entreprise est-elle en mesure de signaler une violation de vos défenses entraînant la compromission des données personnelles que vous détenez ?

1 %

23 %

20 %

18 %

23 %

3 %

13 %

Moyenne = 11 jours

Je ne sais pas

Moins de 24 heures

1 à 3 jours

3 à 7 jours

1 à 2 semaines

2 semaines à 1 mois

Plus d'un mois

Degré de préparation au signalement des compromissions

Votre entreprise emploie-t-elle un délégué à la protection des données ?

50 %

Je ne sais pas

Non, et ce n'est pas en projet

Non, mais nous comptons en engagerun dans les douze à

vingt-quatre prochains mois

Non, mais nous comptons en engagerun dans les six à douze prochains mois

Non, mais nous comptons enengager un dans les six prochains mois

Oui, nous en avons déjà un

20 %

11 %

4 %

7 %

8 %

Emploi d'un délégué à la protection des données


RAPPORT

Enfin, il a été demandé aux répondants si leur entreprise prévoyait de s'appuyer sur leur fournisseur de services de cloud pour garantir leur conformité aux exigences de protection des données. Une grande majorité des entreprises (80 %) prévoient de le faire, et 38 % d'entre elles ont l'intention de transférer la responsabilité du traitement sur leur fournisseur de services de cloud, ce qui n'est pas autorisé par le règlement. Les 42 % restants ont admis que, comme prévu par le RGPD, même si l'entreprise fait appel à un fournisseur de services de cloud, elle continuera d'endosser une part significative de la responsabilité.

Recours aux fournisseurs de services de cloud

Votre entreprise prévoit-elle de s'appuyer sur son fournisseur de services de cloud pour garantir la conformité aux exigences de protection des données ?Oui, absolument, nous lui avons transféré/transférerons la responsabilité du traitement des données.

38 %

Oui, dans une certaine mesure, bien que la responsabilité continuera de reposer sur l'entreprise.

42 %

Non, il ne sera jamais responsable de la gestion des données personnelles que nous détenons.

12 %

Ne sait pas 8 %

Pourtant, lorsqu'il leur a été demandé s'ils étaient d'accord que « les entreprises ont tort de déléguer la gestion du RGPD aux fournisseurs de services de cloud », 58 % des répondants ont répondu par l'affirmative.

Le conseil aux entreprises qui font appel à des fournisseurs de services de cloud est simple : lisez les conditions générales. Pourquoi ? Parce que l'incertitude persiste jusqu'à l'application du règlement. Le RGPD introduit pour la première fois la responsabilité explicite du sous-traitant. Cependant, cela ne signifie pas nécessairement que la responsabilité ultime se déplace essentiellement sur le fournisseur de services de cloud.

Responsables du traitement et sous-traitants

Selon les termes du RGPD, « le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s'assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement ». Si le RGPD prévoit que les sous-traitants tels que les fournisseurs de services de cloud sont soumis à certaines obligations, il incombe au responsable du traitement de s'assurer qu'il n'emploie que des sous-traitants, y compris des fournisseurs de services de cloud, « qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement ».

« Le RGPD exige également que la plupart des entreprises emploient un délégué à la protection des données. La grande majorité des entreprises (81 %) interrogées dans le cadre de cette enquête en ont déjà désigné un ou le feront avant l'entrée en vigueur du RGPD. »


RAPPORT

4. Où sont mes données ? Stockage, emplacement et migration des données

Comme l'indique clairement ce rapport, la résidence des données représente désormais une décision stratégique pour la plupart des entreprises, une évolution accélérée par quatre facteurs interdépendants. Premièrement, divers événements tels que les changements géopolitiques influencent l'emplacement de stockage des données. Deuxièmement, l'évolution du cadre réglementaire, c'est-à-dire l'adoption de réglementations variées, et dans certains cas, plus rigoureuses en matière de protection des données associée à des tentatives des autorités publiques pour accéder à davantage de données de communication de masse, a également un impact notable. Troisièmement, la nature du stockage et de la transmission de données a considérablement changé au cours des vingt dernières années, notamment en raison de l'essor de l'Internet commercial et du développement du cloud en tant que modèle de prédilection. Enfin, la valeur commerciale des données a considérablement augmenté à l'ère du numérique.

C'est pourquoi la nécessité de pouvoir répondre à la question en apparence simple — où sont mes données ? — occupe une place de plus en plus importante parmi les préoccupations des entreprises.

Une majorité écrasante (97 %) des répondants déclarent savoir plus ou moins précisément où les données de leur entreprise sont stockées physiquement. Cependant, en creusant un peu, on constate que seuls 47 %

d'entre eux affirment savoir à tout moment où leurs données sont stockées. Quant aux autres, 41 % savent la plupart du temps dans quel pays les données sont stockées, tandis que 9 % savent dans quelle région du monde elles sont stockées, mais pas dans quel pays. Si l'emplacement précis peut ne pas avoir d'importance dans certains cas, il peut être capital dans d'autres. Par exemple, il pourrait devenir essentiel de savoir que les données sont stockées au Royaume-Uni plutôt que « quelque part en Europe ».

Interrogés sur les raisons pour lesquelles ils choisissent un emplacement particulier pour le stockage de leurs données, 46 % des répondants ont indiqué être influencés par la réglementation du pays en matière de protection des données.

Raisons du choix de l'emplacement de stockage

Qu'est-ce qui a déterminé le choix du pays retenu par votre entreprise pour le stockage de ses données ?

Législation en matière de protection des données de ce pays 46 %

Mon entreprise nous oblige à stocker les données dans ce pays 37 %

Le fournisseur de services de cloud que nous avons choisi est situé dans un endroit spécifique (le fournisseur de services de cloud est plus important à nos yeux que l'emplacement)

34 %

Coûts de fournisseur réduits 30 %

Réputation de sécurité 30 %

Dépendance vis-à-vis du fournisseur 23 %

Où sont mes données ?

Très précisément – Nous savons à tout moment où se trouvent toutes les données

47 %41 %

9 %

Assez précisément – Nous savons la plupart du temps dans quel pays les données sont stockées

Peu précisément – Nous savons toujours dans quelle région les données sont stockées, mais pas dans quel pays

Savez-vous précisément où les données de votre entreprise sont stockées physiquement ?


RAPPORT

Parmi les autres réponses, un tiers (34 %) des répondants ont indiqué que l'emplacement dépendait du fournisseur de services de cloud choisi, 30 % ont cité le coût et la réputation en matière de sécurité, tandis que près d'un quart (23 %) ont déclaré être prisonniers de leur fournisseur de technologie.

Les décisions relatives au stockage ne sont pas seulement influencées par les législations protectrices : des lois telles que la loi RIPA (Regulation of Investigatory Powers Act) au Royaume-Uni et le Patriot Act aux États-Unis, conçues pour octroyer aux organismes publics un accès étendu aux données de surveillance, jouent également un rôle dans la prise de décisions des entreprises.

Six répondants sur dix (61 %) admettent que certaines législations ont un impact négatif sur l'emplacement de stockage des données de leur entreprise. Plus de trois répondants sur dix déclarent que la loi RIPA (32 %) ou le Patriot Act (31 %) empêche les entreprises de stocker des données au Royaume-Uni et aux États-Unis, respectivement. Un nombre plus important encore de répondants (35 %) indiquent que le RGPD les dissuadera de stocker des données dans les pays de l'Union européenne concernés. Un peu moins d'un quart des répondants (23 %) affirment qu'aucune réglementation ne dissuade leur entreprise de stocker des données dans un pays spécifique.

Dissuasion de stockage

Quelles lois dissuadent votre entreprise de stocker ses données dans le pays où elles s'appliquent ?

RGPD 35 %

RIPA 32 %

Patriot Act 31 %

Aucune 23 %

Indépendamment des lois susceptibles d'avoir un effet dissuasif, les États-Unis (48 %) représentent le pays le plus prisé pour le stockage des données, suivi de l'Allemagne (35 %) et du Royaume-Uni (33 %).

Ces préférences reflètent en grande partie l'emplacement de stockage des données actuel des entreprises. À l'heure actuelle, les trois principaux pays sont les États-Unis (41 %), le Royaume-Uni (25 %) et l'Allemagne (22 %). Elles correspondent également aux pays dont les exigences en matière de protection des données sont considérées comme les plus strictes. Les États-Unis (68 %) arrivent à nouveau en tête, suivis par le Royaume-Uni, l'Allemagne et la France. Fait intriguant, les résidents de chaque pays pensent que leur pays applique les règles les plus strictes : 96 %, 89 %, 88 % et 79 % des décideurs situés respectivement en Allemagne, aux États-Unis, au Royaume-Uni et en France. (Pour plus de détails sur certaines des principales réglementations en vigueur dans les pays examinés dans le cadre de cette enquête, voir la section 5 ci-dessous.)

Préférences de stockage

EAU

Inde

Mexique

Brésil

Singapour

Australie

Japon

Canada

France

Royaume-Uni

Allemagne

États-Unis 48 %

35 %

33 %

25 %

20 %

19 %

12 %

11 %

8 %

4 %

4 %

4 %

Dans quels pays préféreriez-vous stocker les données de votre entreprise sur la base des exigences en matière de protection des données en vigueur dans ces pays ?


RAPPORT

Législations strictes

D'après vous, quels sont les trois pays dont les exigences en matière de protection des données sont les plus strictes (p. ex. lois, réglementations, procédures, etc.) ?

États-Unis 68 %

Royaume-Uni 57 %

Allemagne 53 %

France 35 %

À l'inverse, lorsqu'il s'agit des pays à éviter au moment de décider du lieu de stockage des données, le Mexique (38 %), l'Inde (28 %), le Brésil et l'Afrique du Sud (tous deux 27 %) arrivent en tête.

La popularité ou l'impopularité des pays en tant que destinations de stockage des données reflète probablement la perception des différents régimes de protection des données dans les différentes régions du monde. L'impact de ces réglementations nationales spécifiques est examiné dans la section suivante.


RAPPORT

5. Réglementations nationales : compréhension et impact

Toute entreprise nourrissant des ambitions internationales et comptant du personnel et des clients dans différentes régions du monde est rapidement confrontée à une multitude de réglementations nationales. Ajoutez à cela des lois spécifiques aux secteurs d'activité, conçues par exemple pour protéger les clients des banques ou les patients des hôpitaux, et le volume réglementaire devient pratiquement ingérable.

Comme expliqué précédemment, le RGPD (voir section 3) harmonisera les lois relatives à la protection des données dans l'Union européenne, un bloc commercial de plus de 500 millions de consommateurs, mais partout ailleurs, la complexité règne. Par exemple, certains pays ne disposent pas d'une loi d'ensemble dédiée à la protection des données personnelles. Au contraire, les États-Unis s'appuient sur une multitude de lois spécifiques au secteur d'activité pour définir et mettre en œuvre le champ d'utilisation des données. De même, certains pays délèguent en partie la protection des données aux États fédérés. C'est notamment le cas de l'Allemagne et (une fois encore) des États-Unis.

C'est dans ce contexte que les résultats de l'enquête McAfee/Vanson Bourne apportent un éclairage sur la compréhension, la facilité de respect et la connaissance approfondie de 11 réglementations pertinentes en matière de protection des données, qui nous emmènent de l'Australie, du Japon et de Singapour en Asie-Pacifique aux États-Unis, en passant par la France, l'Allemagne et le Royaume-Uni en Europe.

La majorité (52 à 74 %) des répondants déclarent que leur entreprise a une compréhension totale des réglementations qui leur sont applicables en Australie, en Allemagne, au Royaume-Uni et aux États-Unis. Le RGPD, qui n'est pas encore en vigueur, constitue une exception (44 %). Ailleurs, une minorité seulement de répondants affirment avoir une compréhension complète des réglementations applicables au Brésil (40 %), à Singapour (34 %), en France (28 %) et au Japon (13 %).

La compréhension tend à aller de pair avec la facilité à respecter une réglementation particulière. Cependant, le degré de facilité a tendance à être bien inférieur à la connaissance et la compréhension. Une majorité des répondants respectent « très facilement » la réglementation dans seulement deux cas, à savoir la loi HIPAA (Health Insurance Portability and Accountability Act) et la loi FTC (Federal Trade Commission).


À la question « Avec quelle facilité votre entreprise respecte-t-elle les réglementations sur la protection des données suivantes ? », les pourcentages suivants ont répondu « très facilement » :HIPAA (loi américaine sur les soins de santé) 54 %

Loi FTC (États-Unis) 50 %

Loi américaine de modernisation des services financiers 42 %

Loi australienne sur le respect de la vie privée 42 %

Loi allemande sur la protection des données (BDSG) 38 %

Loi britannique sur la protection des données (DPA) 34 %

Cadre des droits civils de l'Internet au Brésil 32 %

« La majorité (52 à 74 %) des répondants déclarent que leur entreprise a une compréhension totale des réglementations qui leur sont applicables en Australie, en Allemagne, au Royaume-Uni et aux États-Unis. »


RAPPORT


À la question « Avec quelle facilité votre entreprise respecte-t-elle les réglementations sur la protection des données suivantes ? », les pourcentages suivants ont répondu « très facilement » :RGPD (Europe) 30 %

Loi sur la protection des données personnelles de Singapour 20 %

Loi française sur la protection des données 18 %

Loi japonaise sur la protection des informations personnelles 10 %

Les répondants ont ensuite été invités à identifier des dispositions spécifiques dans les réglementations pertinentes. Plutôt que d'établir leur sentiment de préparation, cette question visait à explorer l'étendue de leur connaissance des dites réglementations. Elle a généré des résultats particulièrement intéressants. Par exemple, seuls 2 % des décideurs connaissent toutes les dispositions des réglementations qui s'appliquent à leur entreprise.

Connaissance de la législation par les décideurs

Analyse du pourcentage moyen de dispositions correctement identifiées par les répondants comme liées aux réglementations sur la protection des données suivantes : Loi allemande sur la protection des données (BDSG) 55 %

Loi britannique sur la protection des données (DPA) 52 %

RGPD (Europe) 51 %

Loi sur la protection des données personnelles de Singapour 49 %

Loi australienne sur le respect de la vie privée 49 %

Cadre des droits civils de l'Internet au Brésil 48 %

Connaissance de la législation par les décideurs

Analyse du pourcentage moyen de dispositions correctement identifiées par les répondants comme liées aux réglementations sur la protection des données suivantes : HIPAA (loi américaine sur les soins de santé) 47 %

Loi FTC (États-Unis) 42 %

Loi japonaise sur la protection des informations personnelles 41 %

Loi française sur la protection des données 39 %

Loi américaine de modernisation des services financiers 38 %

En moyenne, les répondants allemands ont pu identifier 55 % des dispositions relatives à la loi fédérale allemande sur la protection des données (Bundesdatenschutzgesetz). Il s'agit de la moyenne la plus élevée sur les 11 réglementations. La plupart des répondants ont identifié moins de la moitié des dispositions pertinentes.

La facilité de respect et la compréhension perçues ne se traduisent pas nécessairement par une connaissance approfondie. Par exemple, 74 % des répondants concernés ont déclaré avoir une « compréhension totale » de la loi HIPAA, mais en moyenne, ils n'ont pu identifier que 47 % des dispositions de la loi. De même, trois quarts des répondants concernés par la loi de modernisation des services financiers ont déclaré en avoir une compréhension totale, mais ne connaissaient que 38 % de dispositions spécifiques de cette loi.


RAPPORT

À l'inverse, certains des répondants ayant exprimé une confiance limitée dans leurs connaissances (par exemple, ceux qui sont censés respecter la loi sur la protection des données personnelles de Singapour ou le RGPD de l'Union européenne) se sont avérés en savoir plus que leurs pairs.

Si chaque décideur n'a pas nécessairement besoin d'avoir une connaissance approfondie de chaque disposition de chaque réglementation à laquelle son entreprise est soumise, l'entreprise doit quant à elle disposer d'une telle connaissance. Ces résultats suggèrent qu'une plus grande sensibilisation est nécessaire pour permettre aux entreprises de respecter plus rigoureusement les réglementations.


RAPPORT

Les résultats examinés aux cinq chapitres précédents sont riches en enseignements. Ce rapport fournit un contexte permettant de comparer les attitudes des personnes et des entreprises vis-à-vis de la résidence et de la protection des données, ainsi que de la préparation au vu de l'évolution du paysage réglementaire. Il offre également une vue d'ensemble complète sur la façon dont les décideurs d'entreprise perçoivent 11 réglementations sur la protection des données issues des quatre coins du monde, notamment le RGPD à venir.

L'un des points les plus frappants, qui ressort tout au long des résultats, est l'apparente contradiction dans les impulsions des répondants. D'un côté, les événements mondiaux et le durcissement du régime de protection des données incitent les décideurs à repenser leurs plans de dépenses et d'investissement. De l'autre, la plupart des entreprises en quête de l'emplacement idéal pour stocker leurs données gravitent autour des pays ayant les règles de protection des données les plus strictes.

Dès lors, bien que le respect de la conformité puisse sembler fastidieux et être perçu comme une source de désorganisation à court terme, les entreprises reconnaissent, quoique tacitement, que des règles de protection des données plus strictes sont bénéfiques non seulement pour les clients mais également pour l'entreprise elle-même. Cette reconnaissance s'exprime principalement par la conviction que la protection des données peut être transformée en avantage concurrentiel, un filon jusqu'ici sous-exploité.

Au-delà de l'incertitude, il existe de nombreuses raisons de se montrer positif. Une bonne gouvernance des données suggère une bonne gestion d'entreprise. De même, une connaissance détaillée des données dont elles disposent et de leur emplacement permettra aux entreprises d'en faire un meilleur usage. Comme le montre ce rapport, il reste néanmoins beaucoup de progrès à faire.

Pour en savoir plus sur l'opportunité que représente la protection des données pour les entreprises, visitez le site de McAfee consacré au RGPD : mcafee.com/GDPR.

En résumé

« Des règles de protection des données plus strictes sont bénéfiques non seulement pour les clients mais également pour l'entreprise elle-même. »

https://www.mcafee.com/fr/solutions/gdpr.aspx


RAPPORT

Cette enquête sur le « règlement général sur la protection des données » a été réalisée par Vanson Bourne à la demande de McAfee entre avril et mai 2017. Les résultats reposent sur les réponses de 800 décideurs issus d'entreprises d'au moins 500 employés réparties dans huit pays et de nombreux secteurs d'activité.

Participants par pays :Australie : 100Brésil : 50France : 100Allemagne : 100Japon : 100Singapour : 50Royaume-Uni : 100États-Unis : 200

Participants par fonction : Technologie de l'information 26 %Services financiers 11 %Orientation stratégique de l'entreprise 10 %Santé et sécurité 10 %Développement commercial/ventes/partenaires 9 %Ressources humaines/Formation 6 %Services clients/Gestion de la relation client 5 %Opérations 4 %Ingénierie 3 %Conception/recherche et développement 3 %Communications marketing 3 %

Commerce/marchandisage/commerce de détail 2 %Contrôle de la qualité 2 %Gestion des risques/prévention des fraudes/conformité/gouvernance

2 %

Juridique 2 %Achats/approvisionnement 1 %Gestion immobilière 1 %Production/fabrication 1 %Logistique/chaîne d'approvisionnement/transport/flotte

1 %

Participants par secteur d'activité : Services financiers : 200Soins de santé privés : 200Secteur public : 200Autres secteurs d'activité : 200

Participants par taille d'entreprise : 500 – 999 employés : 2011 000 – 2 999 employés : 2153 000 – 4 999 employés : 2045 000 employés ou plus : 180

Annexe : méthodologie et données démographiques de l'enquête

À propos de McAfeeMcAfee est l'une des plus grandes entreprises de cybersécurité indépendantes au monde. Convaincue de l'efficacité de la collaboration, McAfee met au point des solutions pour entreprises et particuliers qui contribuent à un monde plus sûr. En concevant des solutions compatibles avec les produits d'autres sociétés, McAfee aide les entreprises à orchestrer des environnements informatiques véritablement intégrés, où la protection, la détection et la neutralisation des menaces sont assurées de façon simultanée et en étroite collaboration. En protégeant l'ensemble des appareils des particuliers, McAfee sécurise leur vie numérique à la maison et lors de leurs déplacements. Grâce à sa collaboration avec d'autres acteurs de la sécurité, McAfee s'est imposé comme le chef de file de la lutte commune engagée contre les cybercriminels pour le bénéfice de tous.

www.mcafee.com/fr

McAfee et le logo McAfee, ePolicy Orchestrator et McAfee ePO sont des marques commerciales ou des marques commerciales déposées de McAfee, LLC ou de ses filiales aux États-Unis et dans d'autres pays. Les autres noms et marques sont la propriété de leurs détenteurs respectifs. Copyright © 2017 McAfee, LLC. 3576_1017 Octobre 2017

11-13 Cours Valmy - La Défense 792800 PuteauxFrancewww.mcafee.com/fr

23 Au-delà du RGPD : Le point sur la résidence des données aux quatre coins du monde

*Méthodologie Réalisée par Vanson Bourne, l'enquête a interrogé 625 décideurs informatiques ayant une influence sur le choix des solutions de sécurité de leur entreprise. Les répondants étaient issus d'entreprises privées et du secteur public d'au moins 500 employés, avec une attention particulière portée aux secteurs d'infrastructures critiques tels que la finance (159 répondants), l'énergie (139 répondants), le transport (130 répondants) et l'administration (128 répondants). L'enquête a été menée aux États-Unis, au Royaume-Uni, en France et en Allemagne. 250 entretiens ont été réalisés aux États-Unis et 125 dans chacun des autres pays.

Les données complètes sont disponibles sur demande. 1. www.pwc.com/gx/en/consulting-

services/information-security-survey/key-findings.jhtml

2. Rapport de McAfee Labs sur le paysage des menaces — Mai 2015,www.mcafee.com/fr/resources/reports/rp-quarterly-threat-q1-2015.pdf

3. www.mcafee.com/fr/resources/reports/rp-dissecting-top-5-network-methods-thiefs-perspective.pdf www.aspeninstitute.org/video/future-cyber-threats-featuring-lisa-monaco

4. https://communities.intel.com/docs/DOC-1151

http://www.mcafee.com/fr

http://www.mcafee.com/fr

http://www.pwc.com/gx/en/consulting-services/information-security-survey/key-findings.jhtml



http://www.mcafee.com/fr/resources/reports/rp-quarterly-threat-q1-2015.pdf



http://www.mcafee.com/fr/resources/reports/rp-dissecting-top-5-network-methods-thiefs-perspective.pdf



http://www.aspeninstitute.org/video/future-cyber-threats-featuring-lisa-monaco



https://communities.intel.com/docs/DOC-1151

https://communities.intel.com/docs/DOC-1151

Au-delà du RGPD · 3 Au-delà du RGPD : Le point sur la résidence des données aux quatre coins...

Documents

Transcript of Au-delà du RGPD · 3 Au-delà du RGPD : Le point sur la résidence des données aux quatre coins...