Un décideur sur cinq n'a qu'une vague idée, peut-être même aucune, de ce qu'est GDPR. C'est l'un des chiffres marquants d'une étude menée par Kaspersky Lab, auprès de 2 000 décideurs en entreprise concernés par la mise en place de GDPR. En fait, les responsables juridiques ceux de la sécurité et la direction générale semblent au courant du sujet, mais GDPR concerne à peu près toute l'entreprise. Dans un autre document de Kaspersky Lab, un Livre Blanc non dénué d'humour, l'éditeur montre comment plusieurs directions sont concernées.
Le marketing, par exemple, utilise déjà de vastes bases de données pour ses mailings et veille à la possibilité pour le client de se désabonner. Avec GDPR, il devra assurer un consentement positif, veiller à l'effacement des données (et le prouver). Le juridique, qui traite déjà de nombreuses réglementations, voit peser sur ses épaules, avec GDPR, une responsabilité nouvelles si les contrats avec les fournisseurs et les clients ne sont pas révisés.
DAF et DRH également concernées
La direction financière, habituée à travailler avec des contrôles stricts, devra appliquer la nouvelle réglementation à toutes les données clients qui passent sur ses systèmes d'information. Les RH auront à répondre aux salariés qui voudront la suppression de certaines données personnelles. L'informatique, quant à elle, doit évidemment rendre les informations partout présentes, facilement consultables, et donner la possibilité de les corriger ou de les supprimer, en toute sécurité.
Pour se préparer, Kaspersky lab propose, comme d'autres acteurs du marché, un outil d'auto-évaluation. Il permet en dix minutes, d'évaluer son niveau de maturité vis-à-vis de la protection des données et les étapes restant à franchir pour être conforme à GDPR avant l'échéance, fixée au 25 mai 2018. Visiblement, le doute s'est installé : 55% des responsables interrogés estiment que leur entreprise n'est pas à même de prendre soin de leurs propres données, 22% ont le sentiment qu'elle n'est pas prête pour intégrer GDPR.
Une responsabilité convoitée
Bonne nouvelle, 63% des répondants estiment que, s'ils sont responsables de GDPR dans l'entreprise, ils en retireront un surcroit de pouvoir. Le sujet se situe à la frontière entre sécurité, audit, juridique, gestion des données, et marketing. Le RSSI, la DSI, l'audit et les CIL (Correspondant informatique et liberté) se disputent donc cette responsabilité transverse qu'est GDPR. Les entreprises doivent également nommer un responsable des données, un CDO (chief data officer), et les mêmes responsables se disputent aussi cette responsabilité.