Effacement des données dans tous les domaines : l'enquête sur la protection des données révèle une marge de progression
La nouvelle loi sur la protection des données (NDSG) entrera en vigueur l'année prochaine. Dans le cadre d'une enquête sur la protection des données, Swiss Infosec SA et Swiss GRC SA ont voulu savoir si la perspective de l'entrée en vigueur de la NDSG au 1er septembre 2023 avait déjà des répercussions sur la manière dont les entreprises gèrent la protection des données.
115 personnes ont participé à l'enquête Heartbeat de Swiss Infosec sur la protection des données. La plupart d'entre elles (40%) travaillent dans le département informatique de leur entreprise. Mais de nombreuses réponses sont également venues des départements juridique et RH ainsi que du conseil d'administration/de la direction. Le fait que la protection des données soit perçue comme un sujet important et prise au sérieux au niveau du conseil d'administration et de la direction rend les auteurs de cette enquête sur la protection des données confiants et plaide en faveur d'une plus grande importance accordée à la protection des données.
Bonne note en ce qui concerne les directives internes de protection des données
83% des organisations qui ont participé à l'enquête sur la protection des données disposent d'un document interne avec des directives sur la protection des données. 12% ne disposent pas d'un tel document et les 5% restantes ne savent pas s'il existe des directives internes sur la protection des données. L'existence de directives internes en matière de protection des données montre que les organisations se préoccupent du thème de la protection des données/de la loi sur la protection des données et que l'approche de la protection des données n'est pas arbitraire, mais clairement définie par rapport à l'entreprise. Cela crée de la sécurité et de la continuité. 66% des organisations ont par ailleurs recours à des propriétaires de données (data owners), qui sont responsables d'une partie déterminée des données au sein de l'organisation.
Peu d'entreprises n'ont pas encore de déclaration de protection des données
104 des 115 personnes participantes, soit 90%, confirment que leur organisation dispose d'une déclaration de confidentialité (DSE). Ce chiffre élevé est réjouissant. Toutefois, les experts en protection des données de Swiss Infosec SA se demandent - sans le demander explicitement dans l'enquête - si ces DSE couvrent également les traitements de données au-delà du site web. L'expérience montre que ce n'est pas toujours le cas. En vue de la nouvelle loi sur la protection des données, ces traitements de données devraient toutefois être couverts par les déclarations de protection des données.
Une enquête sur la protection des données révèle une marge de progression en matière d'effacement régulier et transversal des données
Sans surprise, c'est dans le domaine de la suppression des données que le potentiel d'optimisation est le plus important. Certes, 39% des participants à l'enquête indiquent que les données sont régulièrement effacées dans leur organisation, et ce dans tous les domaines. Mais dans 43% des entreprises, un tel effacement des données n'a pas lieu et les 8% restants des répondants n'en ont pas connaissance. Eugen Roesle, Head of Legal and Data Privacy chez Swiss Infosec SA, parle dans ce contexte du "dernier kilomètre de la protection des données" que de nombreuses entreprises devraient encore parcourir, même si la NDSG ne change rien sur le plan purement juridique en ce qui concerne la suppression des données. En effet, les données personnelles qui ne sont plus nécessaires parce qu'elles ont atteint leur but doivent déjà être effacées selon la loi actuellement en vigueur.
Prendre en compte la gouvernance de la protection des données
L'une des principales exigences de la gouvernance en matière de protection des données est la mise en place d'un processus permettant de vérifier le respect de la protection des données lors de nouveaux projets impliquant des données personnelles. 57% des organisations participantes répondent à cette exigence, 43% ne le font pas ou plutôt pas. Il est nécessaire d'agir dans le domaine de la gouvernance de la protection des données, d'autant plus que la vérification en temps utile et, dans le meilleur des cas, automatique du respect de la protection des données lors de nouveaux projets permet de gagner du temps et d'éliminer les incertitudes et les mauvaises surprises.
Soutien par des outils/logiciels spécifiques ?
Les organisations qui misent sur des outils/solutions logicielles spécifiques dans le domaine de la protection des données sont sous-représentées selon l'enquête. Tout de même 40% des entreprises ont recours à un tel soutien, 60% n'y ont pas (encore) recours. La question de savoir si la taille de l'entreprise ou sa complexité influencent la décision d'utiliser des outils ou si les offres correspondantes et leurs solutions sur mesure sont trop peu connues reste ouverte.
Source : Swiss Infosec
