Confiance dans les données, les DPO doutent
NIS2, PIMS… les DPO français doutent. On peut imaginer que les DPO luxembourgeois s’interrogent tout autant. Partout, la confiance s’effiloche.
53 % de DPO membres de l’AFCDP (Association Française des Correspondants à la Protection des données) considèrent qu’il y a encore du chemin à parcourir avant de considérer que les données de leur organisation soient bien protégées. Le Baromètre de l’association (218 répondants) montre surtout qu’ils sont de plus en plus nombreux à le penser. En effet, ils n’étaient encore que 41 % en janvier…
Est-ce le contexte économico-socio-politique tendu qui influe le sentiment des DPO en ce début 2023 ? C’est à croire. En revanche, ce ne sont pas les réglementations changeantes (DA, DMA, DSA, Privacy Shield, Cookies Wall, etc.) qui perturbent les stratégies de protection. En effet, seuls 10 % des répondants (vs 18 % fin janvier 2023) les considèrent comme responsables. Quant au nombre de répondants ayant le sentiment d’avoir une stratégie de protection des données qui s’adapte, il reste stable : 35 % vs 36 % fin janvier. La confiance est donc relative.
PIMS, bof !
Chaque trimestre, à travers son Baromètre, l’AFCDP prend un peu de recul sur trois questions clés. Un, le sentiment de l’évolution de la conformité des organisations; deux, une question technique et, trois, une question d’actualité. La question de la confiance peut donc apparaitre sous différents angles, explique Paul-Olivier Gibert, Président, AFCDP.
L’AFCDP note une évidente inquiétude face au contexte actuel. « Les DPO sont confrontés à des défis majeurs, poursuit Paul-Olivier Gibert. Ainsi, les applications d’intelligence artificielle dans les métiers pour rester compétitifs. Voire les challenges socio-économiques. Ces priorités peuvent mettre au second plan, comme lors du Covid, les enjeux de protection des données personnelles. »
Ainsi, à propos du PIMS (Privacy Information Management System). 49 % des DPO reconnaissent que ce dispositif introduit par la norme ISO 27701 sur le management de la protection de la vie privée ne leur est toujours pas familier. Or, il n’est pas nouveau. La norme ISO/IEC 27701 a été publiée en août 2019. Première norme internationale qui traite du management de la protection de la vie privée, son objectif est d’aider les organismes à établir, à tenir à jour et à améliorer continuellement un système de management en matière de protection de la vie privée. Il peut être utilisé par tous les types d’organismes, quels que soient leur taille, leur complexité ou le pays dans lequel ils opèrent.
Aujourd’hui, seuls 8 % des DPO répondants sont en cours d’élaboration d’un PIMS. 25 % disent ne pas avoir encore assez de recul sur cette norme.
NIS2, retards de mise en oeuvre attendus
Plus inquiétant, le manque d’avancement autour de NIS2. Alors que la Directive entrera en vigueur au plus tard durant le deuxième semestre 2024, 38 % des répondants en sont encore au stade de l’étude des conséquences, un tiers.ne se prononçant toujours pas. Ce qui veut dire qu’il y aura retard.
La tâche est sous-estimée. On estime que les critères révisés de la directive NIS2 par rapport à NIS pourraient multiplier par 10 le nombre d’entités qui intégreront le périmètre. C’est beaucoup. De même, NIS2 marque une évolution notable par rapport à la première version, le processus de notification des incidents de sécurité gagne en précision. Ainsi, NIS2 impose aux entreprises de soumettre un rapport d’alerte dans les 24 heures suivant la connaissance d’un incident, suivi d’une évaluation initiale dans les 72 heures et d’un rapport final dans un délai d’un mois. Enfin, et ce devrait être un moteur, la nouvelle directive introduit des sanctions financières plus sévères en cas de non-conformité. Les entreprises sont passibles d’amendes allant jusqu’à 10 millions EUR ou 2% de leur chiffre d’affaires mondial annuel, le montant le plus élevé étant retenu.