Aujourd’hui, la cybersécurité est de plus en plus souvent à la une des journaux et fait l’objet de nombreux rapports tandis que le RGPD a mis un accent accru sur la nécessité de bien gérer et protéger les données personnelles. Les grandes entreprises prennent des mesures de protection et de prévention. Mais qu’en est-il des PME et TPE qui forment l’essentiel du tissu économique français ?
Le cabinet d'expertise comptable Exponens a réalisé une enquête sur le sujet auprès de ses 5 000 clients.
Le RGPD, une réglementation pas encore intégrée
Un an après son entrée en vigueur, seuls 25 % des répondants affirment être en conformité avec le RGPD tandis que 27 % poursuivent leurs travaux. 10 % des répondants n’ont pas encore commencé leurs travaux et 5 % déclarent ne pas vouloir le faire.
Plus ennuyeux, 32 % des répondants déclarent ne pas savoir où en est leur entreprise, ce qui soulève une question de communication interne sur le RGPD et plus généralement sur la sensibilité de tous les salariés à la protection des données personnelles. Cette méconnaissance se confirme en observant que 20 % affirment avoir terminé la cartographie des traitements de données personnelles, soit cinq points de moins que ceux qui affirment être en conformité, alors que ce travail est un préalable indispensable ! 30 % sont en train de le faire et 29 % n’ont pas commencé.
En ce qui concerne le délégué à la protection des données personnelles ou DPO, 40 % des entreprises en ont nommé un, plutôt en interne (32 %) qu’en externe (8 %), 18 % prévoient de le faire mais 22 % ne prévoient pas de le faire tandis que 20 % disent ne pas être concernées, ce qui est effectivement possible.
Intégrer le RGPD, c’est aussi et surtout prendre en compte la protection des données personnelles dans sa manière de fonctionner avec ses salariés, ses clients, ses sous-traitants… Seules 10 % des entreprises ont revu avec un avocat leurs conditions générales de vente, leurs contrats de travail, leurs contrats de sous-traitance. Et 16 % sont en train de le faire. Mais 73 % ne prévoient pas cette démarche. Est-ce parce qu’elles disposent des compétences en interne ou bien plutôt parce qu’elles n’ont pas encore compris que c’était nécessaire ?
Il reste donc bien du chemin à parcourir pour se mettre en conformité et ensuite pour passer de la conformité formelle à une véritable prise en compte de la protection des données personnelles dans sa pratique.
Des entreprises sensibilisées et victimes de la cybercriminalité
Au-delà du RGPD qui fait encore l’actualité, le questionnaire mené par le cabinet Exponens portait plus généralement sur la cybercriminalité. 89 % des TPE et PME qui ont répondu connaissent la problématique de la cybercriminalité et ses conséquences possibles. Cette connaissance est loin d’être purement théorique puisque 51 % des entreprises déclarent avoir subi une ou plusieurs cyberattaques : fraude à l’usurpation d’identité (29 %), cybercriminalité (26 %), cyberdéstabilisation (11 %), cyberespionnage (8 %).
Conscientes de ce danger, 75 % des entreprises se protègent. D’abord, en sensibilisant leurs collaborateurs avec la diffusion d’informations et de bonnes pratiques (39 %) et la formation permanente (33 %). Puis, en ayant recours à des moyens techniques tels que les antivirus, les firewalls, les logiciels de cyberdéfense (33 %). Troisième levier malheureusement moins utilisé : le renforcement des procédures de contrôle interne (27 %) et l’audit du système d’information (16 %).
Signe tangible de cette prise de conscience : 75 % des entreprises déclarent désormais intégrer la sécurité informatique à leur prise de décision.