Communiqués de presse

Étude GDPR par Uniserv : une entreprise sur trois n'est pas prête pour la GDPR.

  • Manque d'automatisation : la majorité des participants doivent rechercher manuellement les données personnelles pour les demandes GDPR et individuellement dans chaque système client.
  • Seulement deux pour cent des répondants disposent d'un processus automatisé pour s'acquitter de leur obligation de fournir des informations et de supprimer des données.
  • Manque de sensibilisation aux risques : La majorité des répondants considèrent que les pénalités sont très peu probables.

Paris, 17.09.2018 - Depuis le 25 mai, les entreprises doivent pouvoir supprimer immédiatement les données personnelles. Ceci est prescrit par le règlement européen sur la protection des données (GDPR). Toutefois, on peut se demander si les entreprises peuvent remplir cette obligation dans les délais. Car généralement, elles ont en place différents systèmes complexes et autonomes, dans lesquels les données des consommateurs sont stockées. Près des deux tiers (63 %) des entreprises interrogées doivent effectuer des recherches dans plus de six systèmes informatiques pour traiter une demande d'information et/ou de suppression selon la GDPR européenne. En même temps, plus d'un participant sur deux (57 %) fait l'objet d'une recherche manuelle et cela dans chaque système. Seulement deux pour cent ont un processus automatisé. Ce sont les résultats d'une enquête actuelle menée auprès de plus de 100 décideurs de moyennes et grandes entreprises des pays germanophones sur la GDPR-Readiness, ou plus exactement sur l'état de préparation à la GDPR. L'enquête1 a été réalisée par Uniserv, un fournisseur spécialisé dans les solutions de gestion des données clients​​​​​​​.

L'encombrement de l'infrastructure informatique ne permet pas de donner une réponse rapide aux demandes d’information.

Par le biais de la GDPR, l'UE veut renforcer les droits des citoyens à leurs propres données personnelles. Les entreprises doivent informer, sur demande, le consommateur immédiatement ou dans un délai d'un mois au plus tard, des données personnelles qui sont stockées et dans quel but. Cependant, de nombreuses entreprises gèrent les données personnelles dans l'ensemble de l'organisation. Cela commence par le stockage de l'information des consommateurs dans divers systèmes informatiques tels que les solutions de gestion de la relation client et de planification des ressources de l'entreprise, les systèmes de tickets d'assistance ou les logiciels d'automatisation du marketing. Par exemple, 44 % des personnes interrogées ont déclaré qu'elles doivent effectuer des recherches dans six à dix systèmes différents dans lesquels sont stockées des données personnelles pertinentes pour la GDPR. Plus d'une entreprise sur dix (douze pour cent) doit même rechercher entre 21 et 50 systèmes.

Processus long et coûteux : les données personnelles doivent être collectées manuellement.

En même temps, un répondant sur trois a déclaré qu'il faut en moyenne plus de cinq minutes pour identifier toutes les données personnelles pertinentes sur une demande de renseignements des consommateurs dans un seul système. Près d'un répondant sur quatre (23 %) ne peut même pas estimer l'effort nécessaire. Les entreprises sont donc confrontées à de grands défis en termes de temps et donc aussi en termes de personnel, puisqu'elles extrapolent le temps de recherche requis au nombre de systèmes informatiques. L'information ou la suppression « par simple pression sur un bouton » n'est pas possible dans la plupart des entreprises. Roland Pfeiffer, CEO d'Uniserv, résume les résultats : « Par exemple, si une entreprise reçoit 500 demandes d'effacement ou d'informations par mois - et doit rechercher en moyenne dix bases de données ou systèmes, ce qui prend environ six minutes par système, on parle d'environ 500 heures de travail par mois. »

General Data Protection Regulation - Économie de temps

De plus, dans près de la moitié des entreprises interrogées (43 pour cent), le responsable du traitement des questions relatives à la GDPR de l'UE est le délégué à la protection des données et dans 16 pour cent des entreprises,  la direction elle-même. Cela devrait entraîner un nouveau retard important. De plus, 36 % des entreprises n'ont ni de règles claires ni de règles sans chevauchement pour déterminer le responsable du traitement des demandes d'information.

Pas de crainte de sanctions : les entreprises ne sont pas très conscientes des risques.

En conséquence, d'après l'enquête Uniserv, seule une entreprise sur cinq se voit bien équipée pour se conformer pleinement à la GDPR européenne. Une entreprise sur trois (33 pour cent) se classe comme n'étant pas encore « GDPR-ready ». Mais depuis le 25 mai, la période de transition de deux ans a expiré et des amendes élevées sont imminentes. 30 pour cent des personnes interrogées vérifient encore leurs processus de protection des données et leurs procédures de conformité à la GDPR - et n'en sont donc qu'à la phase initiale de mise en œuvre. En même temps, 47 % des entreprises estiment que la GDPR n'a que peu ou pas d'impact sur elles. Selon l’étude, une entreprise sur dix n'a pas encore pris de mesures de mise en œuvre. En outre, les trois quarts ne voient que peu ou pas de risque de se voir infliger une amende. Toutefois, en cas d'infraction, les amendes peuvent atteindre 20 millions d'euros ou jusqu'à 4 % du chiffre d'affaires du groupe mondial.

Les entreprises se concentreront à l'avenir sur le soutien informatique.

Afin d'améliorer leur propre préparation à la GDPR, les participants à l’étude veulent avant tout s'appuyer sur le soutien informatique et la qualification des employés. Par exemple, 35 % des décideurs envisagent de prendre des mesures organisationnelles techniques. Une entreprise sur quatre veut mettre en œuvre une solution systémique. Vingt-six pour cent veulent que leurs employés répondent aux exigences de la GDPR. Sept pour cent des personnes interrogées ont même déclaré qu'elles n'étaient pas en mesure de faire face au travail supplémentaire que représente la mise en œuvre de la protection des données sans personnel supplémentaire et envisagent d'embaucher du nouveau personnel. Sept pour cent veulent nommer un responsable externe de la protection des données.

« La GDPR renforce massivement les droits des consommateurs à l'autodétermination informationnelle. Et le traitement des données est soumis à des conditions plus strictes. Les entreprises doivent donc informer pleinement leurs clients du type, de la finalité et de l'étendue du traitement partiellement ou totalement automatisé des données. En outre, elles doivent être en mesure de communiquer au client toutes les données collectées à son sujet sous une forme structurée », explique Roland Pfeiffer, CEO d'Uniserv. « Mais pour cela, les entreprises ont besoin d'un point central de collecte ou d'information. Ce n'est que de cette façon qu'ils peuvent voir d'un coup d'œil si les données sur la personne concernée sont enregistrées dans l'entreprise - et si oui, dans quel système et pour quelle raison. Les salariés peuvent également voir si la demande du client a été satisfaite et si les données ont été supprimées ou corrigées dans tous les systèmes concernés. “

A propos de l'étude :

L'étude GDPR a été réalisée par Grohmann Business Consulting pour le compte d'Uniserv auprès de 104 spécialistes et managers d'entreprises de tous secteurs et de toutes tailles dans les pays germanophones. Le sondage en ligne a été réalisé en avril/mai 2018.

74 % des entreprises interrogées gèrent actuellement plus de 100 000 enregistrements de données de référence ; 25 %  gèrent même plus de 5 000 000 enregistrements.

1 Étude GDPR 2018. Réalisée par Grohmann Business Consulting pour le compte d'Uniserv. 104 spécialistes et cadres d'entreprises allemandes de tous les secteurs et de toutes les tailles ont été interrogés au cours de la période avril/mai 2018.