Le Règlement Général sur la Protection des Données (RGPD) met toutes les entreprises en ébullition, sur tous les plans (direction, DSI, métiers, Chief Data & Digital Officer). Il fait véritablement changer le paradigme du traitement des données à caractère personnel. Il inverse notamment la charge de la preuve.
Désormais, c’est à l’entreprise de prouver qu’elle a toujours été en conformité avec les règlements en vigueur définis par la CNIL dans le cadre de la loi Libertés et Informatique de 1978, et qu’elle le sera également avec les nouvelles mesures introduites par le RGPD.  Un vrai défi pour les directions, les équipes informatique et métier, et toutes les personnes qui ont accès et travaillent avec le nouvel or noir de l’entreprise : la donnée.
Rappelons quelques concepts induits par le RGPD
o La « Privacy by design »ou la protection de la vie privée dès la conception des nouvelles applications technologiques et commerciales traitant de données personnelles. Ce concept est renforcé par la protection de la vie privée par défaut (« Privacy by default ») qui doit assurer le plus haut niveau possible de protection des données aux personnes concernées.
o Le« Consentement » : Pour pouvoir traiter des données personnelles, un consentement explicite (clair et simple) est obligatoire de la part des personnes concernées. La règle du consentement implicite ne sera donc plus applicable. Ce consentement peut à tout moment être retiré par son propriétaire. Certains types de traitement peuvent faire exception s’il s’agit d’une obligation légale, d’une mission d’intérêt public ou s’il s’agit de préserver des intérêts vitaux.
o L’« Anonymisation »et « Pseudonymisation ».Le but de l’anonymisation est de rendre les données personnelles totalement anonymes et ce de manière irréversible, aucune identification de personne n’est possible avec ces deux procédés. Dans certains cas, l’anonymisation de la donnée est impossible, on peut donc remplacer certaines caractéristiques de la donnée par des pseudonymes, ce qui rend l’identification directe d’un individu impossible.
o Le Droit à l’oubli : Toute personne identifiée a le droit de demander l’effacement de ses données personnelles et ce quelle que soit la condition :
o Elle juge que ses données ne sont plus nécessaires aux fins pour lesquelles elles ont été collectées et traitées
o Elle ne donne plus son consentement
o Elle juge que ses données ont été utilisées à des fins illicites
o La Portabilité : La personne concernée a le droit de récupérer toutes les données à caractère personnel, sous format structuré et lisible, et de les transmettre à un autre fournisseur de service sans avoir le consentement de l’ancien. Le registre des traitements implique systématiquement la description détaillée des opérations de traitement des données.
o L’analyse d’impact : Lorsqu‘un traitement de données personnelles est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées.
o L’obligation de notification des violations de données personnelles à l’autorité de contrôle,qui impose, entre autres, la notification des failles auprès de la CNIL sous 72 heures afin renforcer la sécurité.
RGPD, opportunité ou menace pour les entreprises ?
S’il a toujours été vu comme une menace pour les entreprises, il faut chercher à voir le RGPD comme une véritable opportunité pour les entreprises. Pourquoi me direz-vous ?
• Ce règlement incite les entreprises à reprendre la main sur son capital immatériel : ses données.
• Elles peuvent ainsi repenser leur approche de la donnée, savoir comment elles sont traitées pour lui donner une valeur (marchande ou opérationnelle) qu’elles pourront ensuite convertir en avantage concurrentiel, innovation, nouveaux services ou produits.
• Bien évidemment, cela suppose de cartographier ces données (à caractère personnel ou non), voir comment elles sont stockées, traitées, utilisées. Avec ce passage en revue des données, les entreprises auront plus de visibilité sur celles-ci. Elles seront en mesure de démontrer leur conformité au règlement, d’offrir une meilleure transparence sur celles-ci, et donc de faire un meilleur usage de ces données.
• Les entreprises deviendront ainsi « DATA CENTRIC » et convergeront vers ce nouveau modèle de gestion de la donnée qui s’impose à elle à l’ère digitale et numérique. Ce nouveau modèle risque de créer quelques remous au sein des entreprises. Devenir ou être Data Centric, signifie accepter la vérité qui émane des données de l’entreprise. En effet, la « data » ne ment pas, elle vous confronte à vos qualités, mais aussi à vos défauts. Car dès que l’on rentre dans son « lac de données », il est très simple de se noyer parmi les problèmes et défauts qu’il soulève. Mais être Data Centric signifie surtout un changement de culture d’entreprise qui l’oriente définitivement vers une approche plus pragmatique, orientée solution vs problème.
La Gouvernance des données, la réponse ultime !
Chez Saagie, nous travaillons aux côtés des entreprises pour les aider à mettre en production des projets Big Data en quelques semaines plutôt qu’en quelques mois et ce, grâce à une plateforme agile et sécurisée. La réponse à tous leurs mots (et maux) se trouve dans l’approche Data Centric que nous évoquions précédemment et qui est selon nous la plus efficace, pragmatique et productive pour convertir le « problème RGPD » en solution. Il s’agit de la Gouvernance des données.
Elle comporte 4 axes essentiels :
• La documentation de la donnée pour avoir un lac organisé et non un marais de données
• Le « data lineage » qui consiste à avoir un historique des traitements effectués sur chaque donnée, permet de respecter la traçabilité de la donnée.
• L’habilitation qui permet d’élargir ou de restreindre l’accès à la donnée à une entité et/ou un collaborateur de l’entreprise
• L’audit qui permet de tracker chaque jeu de données (accès, utilisation, etc.) grâce à des logs.
Pour conduire cette mise en conformité, le bon comportement et les bons réflexes à avoir sont les suivants :
• Ne tardez plus, passez à l’action, en concertation, collaboration avec toutes les parties prenantes de l’entreprise « traitant » de la donnée,
• Cassez les silos internes pour favoriser une meilleure communication et un meilleur partage de l’information, sources d’innovation,
• Nommez un Data Protection Officer
• Identifiez, cartographiez vos jeux de données, déterminez si un consentement y est associé et mettez en place une démarche de recensement des traitements que vous leur appliquez,
• Eduquez, formez vos collaborateurs à la nouvelle réglementation pour qu’ils s’alignent sur la Data Gouvernance de l’entreprise,
Ainsi, chaque entreprise pourra :
• Localiser précisément ses jeux de données au sein de leur « data lake » (lac de données),
• Les exploiter en parfaite conformité avec les réglementations (RGPD et autres…),
• Disposer à tout moment d’un historique de l’ensemble des traitements réalisés sur ces données et pouvoir les rapporter rapidement à qui le demande (Direction, métiers, DSI, CNIL)
Il ne faut surtout pas oublier que le RGPD est un combat de chaque instant. Le plus dur n’étant pas forcément de se mettre en conformité mais d’être capable à long terme de le rester. Une prise de conscience de l’exécutif, des collaborateurs, des partenaires et des métiers, un changement en interne de culture de la donnée et la mise en place de process rigoureux pour convertir cette contrainte en opportunité (business, innovation, nouveaux produits/services) sont selon nous la meilleure posture à adopter pour transformer le Big tracas du Big Data en catalyseur de croissance, de développement et d’innovation. Matthieu Olivier, BigData Strategy Expert chez Saagie |
Flux RSS info-utiles
