@cyberisques @jpbichard @DPO_NEWS : Sur un tiers d"entreprises "conformes" GDPR, seules 2% le sont réellement selon Véritas

Communication Corporate:  Veritas

 

Etude Veritas : Les entreprises à travers le monde pensent à tort être conformes aux exigences du GDPR

 

Seulement 2% des entreprises qui se disent prêtes pour le GDPR sont conformes aux exigences de la réglementation européenne

 

Lire aussi:  http://cyberisques.com/fr/component/search/?searchword=GDPR&searchphrase=all&Itemid=435

 

 

Paris, 25 juillet 2017 – Une étude* menée à l'échelle mondiale par Veritas Technologies, leader mondial de la gestion de l'information, révèle que les entreprises dans le monde pensent à tort être conformes au Règlement Général sur la Protection des Données (GDPR).

 

Près d'un tiers des répondants (31%) déclarent que leur entreprise est déjà conforme aux principales exigences de la réglementation. Cependant, une analyse croisée des réponses avec les dispositions de GDPR suggère que seulement 2% d'entre elles sont réellement prêtes, révélateur d'une certaine confusion du niveau de préparation.

Les résultats du rapport Veritas GDPR 2017 montrent que près de la moitié (48%) des entreprises qui pensent être conformes n'ont pas de visibilité totale sur les incidents de perte de données personnelles. De plus, 61% d'entre-elles admettent qu'il est difficile pour les entreprises d'identifier et de signaler une faille de données personnelles dans les 72 heures – une exigence fondamentale de la réglementation GDPR quand il y a un risque pour les individus concernés.

Toute entreprise incapable de signaler la perte ou le vol de données personnelles - telles que les dossiers médicaux, les adresses e-mail et les mots de passe - à l'organe de surveillance dans ce délai est en rupture avec cette exigence clé.


Les résultats de ce rapport suggèrent que les entreprises qui pensent être conformes au GDPR devraient revoir leurs stratégies de conformité. Une violation de cette clause peut conduire à une amende pouvant atteindre jusqu'à 4% du chiffre d'affaires annuel ou encore jusqu'à 20 millions d'euros, le montant le plus élevé étant retenu.

 

Etude-Vériats-GDPR6Entreprises-Cyberisques-News-2017

Source Véritas 2017

 

La menace des anciens employés

Limiter l'accès des anciens employés aux données de l'entreprise et supprimer leurs informations d'identification contribue à éviter les activités malveillantes, les pertes financières et les dommages causés à l'image de marque. Pourtant, 50% des entreprises qui se disent conformes déclarent que d'anciens employés ont toujours accès aux données internes. Ces résultats mettent en évidence que même les entreprises les plus confiantes luttent pour contrôler l'accès des anciens employés et leur potentielle prédisposition aux attaques.

Les obstacles dans l'exercice du « droit à l'oubli »

Dans le cadre de GDPR, les résidents de l'Union Européenne auront le droit de demander la suppression de toutes leurs données personnelles des bases de données d'une entreprise. Cependant, l'étude Veritas montre que de nombreuses entreprises ne seront pas en mesure de rechercher, localiser et supprimer des données personnelles dans le cadre du principe du droit à l'oubli.

Parmi les entreprises qui pensent être prêtes pour GDPR, un cinquième (18%) admettent que les données personnelles ne peuvent être supprimées ou modifiées. Et 13% d'entre elles affirment ne pas avoir les capacités de rechercher et d'analyser efficacement les données personnelles pour détecter à la fois des références explicites et implicites d'un individu. Elles ne seront également incapables de visualiser avec précision la localisation de ces données, car les sources et les dépôts de données ne sont pas clairement identifiés.

Ces défaillances rendraient une entreprise non conforme à GDPR.

Les entreprises doivent s'assurer que les données personnelles ne sont utilisées que pour les raisons pour lesquelles elles ont été collectées et soient supprimées lorsqu'elles ne sont plus nécessaires.

Démystifier la responsabilité à GDPR

L'étude menée par Veritas montre également qu'il existe une confusion des entreprises concernant la responsabilité des données détenues dans les environnements cloud. Près de la moitié des entreprises (49%) qui pensent être conformes à la régulation GDPR considèrent que le fournisseur de services cloud (CSP) est l'unique responsable de la conformité des données stockées dans le cloud. Cependant, la responsabilité incombe aux contrôleurs des données (l'entreprise) de s'assurer que le processeur des données (CSP) fournit des garanties GDPR suffisantes. Ce sentiment illusoire de protection pourrait entraîner de graves répercussions dans le cadre de GDPR.

« A moins d'un an de l'entrée en vigueur de GDPR, nous constatons qu'une grande majorité des entreprises qui pensaient être en conformité sont en réalité très loin du but. Ces dernières s'exposent non seulement au risque majeur de violation de la réglementation, mais également à l'incapacité d'avoir le contrôle de leurs données personnelles en cas de faille ou d'attaque provenant de personnes extérieures » rappelle Frédéric Viet, channel director West chez Veritas. « Pour ces entreprises, il est temps qu'elles sollicitent les bons conseils pour déterminer précisément leur niveau de préparation et pour les aider à établir une stratégie précise afin d'assurer leur conformité. Car un défaut de conformité pourrait bien mettre en péril la confiance des employés dans le cadre du « droit à l'oubli » mais aussi l'image de marque et à terme la pérennité des entreprises ».

La GDPR vise à harmoniser les mandats de confidentialité et de protection des données personnelles dans les états membres de l'Union Européenne (UE). Cela demande aux entreprises de mettre en œuvre des mesures et processus de protection appropriés pour gérer efficacement les données personnelles. GDPR prendra effet le 25 mai 2018 et s'appliquera à toutes les entreprises – faisant parties ou non de l'UE – offrant des biens ou services aux résidents de l'UE, ou contrôlant leur comportement.

 

 

@cyberisques

@jpbichard

@DPO_NEWS

 

 

 

BONUS:

  http://cyberisques.com/fr/component/search/?searchword=GDPR&searchphrase=all&Itemid=435

  https://www.veritas.com/solution/general-data-protection-regulation

 

*Méthodologie

Veritas a confié au cabinet d'études indépendant Vanson Bourne la réalisation de cette étude sur laquelle ce rapport est basé.

Au total, 900 décideurs d'entreprise ont été interrogés en février et mars 2017 aux États-Unis, au Royaume-Uni, en France, en Allemagne, en Australie, à Singapour, au Japon et en République de Corée. Les répondants faisaient partie d'entreprises comptant au moins 1 000 employés et appartenant à tout type de secteur. Pour être admissibles à la recherche, les répondants devaient travailler dans des entreprises ayant des activités au sein de l'UE.

Les entretiens ont été effectués en ligne à l'aide d'un processus rigoureux de sélection à plusieurs niveaux pour s'assurer que seuls les candidats appropriés pouvaient bien participer à l'étude.

 

#DPO_News: Formation DPO: Qui? Quand? Ou?

Formation DPO (RGPD/GDPR)  (Sources fournisseurs)

 

 

 

 Formation-CNAM

 

 

 

ACTECIL: 

https://actecil.fr/agenda-des-formations/

Au vu du Règlement Européen, ACTECIL vous accompagne par des logiciels spécifiquement développés pour automatiser et simplifier votre démarche de mise et maintien en conformité :

APM, logiciel de management de la conformité vous permettant de :

  • Documenter et prouver les mesures organisationnelles et techniques mises en place pour assurer la conformité de vos traitements nominatifs en interne (Accountability)
  • Gérer vos missions, vos tâches ou vos obligations en tant que responsable de traitement, sous-traitant ou DPO/CIL (Data Protection Officer)
  • Mener des Etudes d’Impact sur la Vie Privée pour atténuer les risques de vos traitements en termes de DIC (Disponibilité, Intégrité et Confidentialité) sur les personnes concernées
  • Réaliser une Analyse des risques avec le DSI en termes de DIC (Disponibilité, Intégrité et Confidentialité) au niveau de l’organisation
  • Documenter toute violation des données et prouver la conformité des mesures prises
  • Gérer les procédures mises en place au sein de l’organisation (Droits des personnes, Privacy by Design, Failles de sécurité etc.)
  • Gérer l’ensemble des sous-traitants et des clauses de confidentialité
  • Utiliser des modèles de traitements nominatifs de tous secteurs confondus, textes de loi, guides, documents, clauses contractuelles, mentions d’informations intégrant toutes les dernières mises à jour des dispositions Françaises et Européennes.

CILDIAG et CILAUDIT, logiciels développés avec des contenus adaptés et des livrables détaillés vous permettant de :

  • Identifier votre niveau de conformité et évaluer vos risques par des rapports de diagnostic et d’audit automatisés
  • Evaluer la prise en compte de la vie privée dès la conception et par défaut (Privacy by Design, Privacy by default) dans les projets internes de votre organisation
  • Cadrer et automatiser toutes vos démarches de mise en conformité grâce à l’injection illimitée de référentiels

CNAM: 

Publics et conditions d'accès

Correspondants "informatique et libertés", référents "informatique et libertés" ou professionnels impliqués dans des projets "informatique et libertés" en entreprises, organismes publics ou associatifs
Juristes d'entreprise, de collectivités locales, d'administration et d'associations
Responsables conformité, déontologues, contrôle interne et gestion des risques, audit interne, direction qualité
DSI ou RSSI
Responsable RH
Responsable clients – marketing
Auditeurs du CNAM ayant déjà suivi les cours DRA104 (niveau 1) et DRA105 (niveau 2)
Diplômés du certificat CIL du CNAM (CS52)
 
DPO News-Formation

 

Objectifs

Ce cours s'adresse aux professionnels qui disposent de connaissances de base en droit à la protection des données et qui souhaitent :
• Bénéficier d'une mise à jour annuelle de leurs connaissances juridiques (revue des nouveaux textes et nouvelles jurisprudences au niveau européen, nouvelles décisions de la CNIL et du G29 sur l'année écoulée)
• Bénéficier d'un briefing détaillé sur les conséquences opérationnelles du règlement européen sur la protection des données (RGPD), afin de mettre en place une feuille de route (application en France à l'été 2018)
• Bénéficier de topos juridiques précis sur certains points d'application de la réglementation "informatique et libertés"
• Réaliser des cas pratiques et des mises en situation professionnelle (exercices de groupe lors de chaque séance)
 

logo-label-cnil-dra104

 

 

L’accès à l'intégralité de nos articles (dossiers

"expertises / compliance", enquêtes,

interviews exclusives, tendances chiffrées,

retours d'expérience par secteurs...) est

réservé à nos abonné(e)s

Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

#Cyberisques

#DPO_News

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires