in

Une nouvelle étude IAPP / TrustArc analyse le rôle croissant de la technologie pour gérer la confidentialité des données

L’étude montre que la cartographie des données, l’évaluation d’impact sur la protection des données et la gestion des droits d’accès aux données des sujets sont devenues des pratiques courantes permettant aux entreprises de se conformer au RGPD et autres réglementations internationales pour la confidentialité des données.

TrustArc, leader de la gestion de la confidentialité des données, et l’IAPP (International Association of Privacy Professionals), la plus importante communauté internationale dédiée à la confidentialité des informations, présentent les résultats d’une nouvelle étude comparative sur l’état actuel de la gestion des programmes de protection de la confidentialité. L’étude montre que les activités centrales des programmes de confidentialité – notamment la création d’inventaires de données, les évaluations d’impact sur la protection des données (DPIA) et la gestion des droits d’accès aux données des sujets – sont désormais généralisées dans les grands groupes et les PME, aussi bien en Europe qu’aux Etats-Unis.

« Parmi nos milliers de membres, nous savons que les équipes en charge de la confidentialité reportent désormais régulièrement à la direction de leur entreprise, et qu’elles doivent donc montrer des résultats et un retour sur investissement », commente Trevor Hughes, CEO et Président de l’IAPP. « Cette nouvelle étude permet d’identifier et de développer les indicateurs dont nos membres ont besoin. »

Dans un contexte où les incidents liés à la confidentialité ne font qu’augmenter, et où les réglementations nationales et internationales pour la protection de la confidentialité se multiplient, les programmes de protection des données doivent être toujours plus sophistiqués et aboutis. Ces programmes nécessitent des investissements toujours plus importants en termes de technologies et de ressources, afin de mettre en place des approches de gestion de la confidentialité plus proactives et automatisées. Les équipes en charge de la confidentialité étant de plus en plus opérationnelles, des métriques et des indicateurs comparables en fonction du délai, du secteur d’activité et de la taille d’entreprise sont nécessaires.

« Le RGPD, le CCPA et les autres réglementations internationales ont obligé les entreprises à rendre compte de la manière dont elles gèrent les données », souligne Chris Babel, CEO de TrustArc. « Les résultats de notre étude internationale montrent le rôle clé que jouent les solutions de gestion de la confidentialité pour répondre à ces enjeux et l’importance pour les entreprises de faire la preuve de leur conformité auprès des instances régulatrices et des consommateurs. »

Pour comprendre les différents types d’opérations de confidentialité et de sécurité, qui les gère et où elles sont gérées, TrustArc et l’IAPP ont interrogé près de 500 professionnels de la confidentialité aux Etats-Unis, en Europe, au Royaume-Uni et au Canada.

Les principaux enseignements de l’étude sont les suivants :

Les inventaires de données deviennent une pratique standard de gestion de la confidentialité :

  • 83% des répondants ont créé des inventaires de données pour leurs activités de gestion, ce qui représente une hausse significative par rapport aux 43% de répondants qui avaient indiqué, il y a deux ans, avoir mis en place une routine d’inventaire et de cartographie.
  • 20% utilisent un logiciel spécialisé d’inventaire et de cartographie des données. Il y a deux ans, ils étaient 10%.

L’évaluation d’impact sur la confidentialité des données (DPIA) est la méthode de mesure de la confidentialité la plus utilisée :

  • 75% des répondants soumis au RGPD indiquent avoir effectué au moins une évaluation d’impact sur la confidentialité des données.
  • 46% utilisent des outils technologiques pour gérer ces DPIA, dont 20% utilisent des outils spécialisés. 47% ont recours à un processus manuel, alors qu’ils étaient 66% il y a deux ans.
  • Les DPIA, les évaluations d’impact sur la confidentialité (PIA) et le risque Vendeur/Tierce Partie sont les méthodes d’évaluation de la confidentialité les plus utilisées, et sont utilisées nettement plus souvent que les évaluations de sécurité de type ISO 27001 et NIST.

Les requêtes liées aux droits individuels et aux droits d’accès aux données des sujets impactent la plupart des entreprises :

  • 72% des répondants ont reçu au moins une requête de ce type depuis l’entrée en vigueur du RGPD.
  • 47% ont reçu 1 à 10 requêtes par mois. 16% ont reçu entre 11 et 99 requêtes par mois. 9% ont reçu plus de 100 requêtes par mois.
  • 30% ont partiellement automatisé la gestion des requêtes liées aux droits individuels et aux droits d’accès aux données. 3% l’ont entièrement automatisée. 57% utilisent des processus manuels.

Les contraintes liées à la notification des failles de sécurité des données impactent davantage les grandes entreprises :

  • 27% des répondants dans les grandes entreprises ont reporté au moins une faille de faille de sécurité, contre 16% dans les PME.

Pour télécharger le rapport complet : https://info.trustarc.com/Web-Resource-2018-12-01-Privacy-Operations-ResearchReport_LP.html

Morgane
Morgane Palomo

Diplômée d'un master un brand management marketing, sa curiosité et sa soif de savoir ne sont étanchées. De nature créative, elle a su diversifier ses expériences. De la création graphique, à l'événementiel en passant par la communication interne et le marketing digital, elle s’est construit un savoir pluriel et avant tout polyvalent.

Written by Morgane Palomo

Diplômée d'un master un brand management marketing, sa curiosité et sa soif de savoir ne sont étanchées. De nature créative, elle a su diversifier ses expériences. De la création graphique, à l'événementiel en passant par la communication interne et le marketing digital, elle s’est construit un savoir pluriel et avant tout polyvalent.