De multiples documents sont disponibles sur GDPR et on ne compte plus les événements spécialisés, à caractère juridique ou informatique. Les entreprises semblent surinformées, mais c'est un trompe-l'oeil. Dans la réalité, leur maturité vis-à-vis de GDPR est très contrastée, « elles se divisent en deux catégories distinctes, il existe un écart entre les deux et cet écart ne cesse de s'élargir » nous explique Karim Bahloul, directeur des études chez IDC France qui vient de publier une étude sur le sujet, après avoir interrogé 150 entreprises.
En chiffre, cet écart distingue les entreprises qui ont une conscience aboutie sur GDPR, elles sont 58% et celles qui en prennent tout juste conscience, 42%. Sur le total, elles sont 9% à se dire actuellement conformes à GDPR. On les retrouve principalement dans le secteur bancaire, déjà rompu aux règles de conformité. A l'inverse, 32% (parmi les 42% de retardataires) se montrent loin du sujet. De même, les entreprises de taille intermédiaire, entre 500 et 1 000 salariés sont les moins avancée sur l'application de la nouvelle norme.
27% sont certaines de ne pas être prêtes
Bon nombre d'entreprises ont mis un doigt dans GDPR, sans être vraiment engagées. Elles ont 19% à planifier des initiatives avant la fin de cette année, 30% pour le courant de l'année 218. Mais une entreprise sur deux prend tout juste conscience de l'arrivée de GDPR. D'un côté, les entreprises engagées dans cette conformité, de l'autre celles qui n'en sont même pas au stade de la réflexion. D'un côté les 28% qui, sans aucun doute possible seront conformes à la date butoir, de l'autre, les 27% qui sont certaines (un an avant) de ne pas être prêtes.
Dans ce processus, les DSI semblent en pointe, les RSSI aussi, Karim Bahloul remarque que les directions générales sont très au fait de GDPR et questionnent leurs RSSI. Il est question de budgets, de gouvernance et de projets informatiques. Attention, aucune entreprise ne part vraiment de zéro prévient Karim Bahloul. Plus précisément, elles ont déjà mis en place des chantiers qui vont répondre aux exigences de GDPR, sans avoir été prévues pour cela. Les sujets traités concernent la sauvegarde, la gestion des identités et des accès, tout ce qui traite des données et de leur contrôle, en particulier leur cartographie et l'identification des applications utilisant ces données personnelles.
L'activité purement GDPR est à peine entamée, une entreprise sur quatre seulement a procédé à un audit global de ses données. Une sur deux a procédé à une cartographie. Et beaucoup d'initiatives semblent déconnectées les unes des autres. Il est encore temps de réagir.