Cinq étapes pour une conformité durable à GDPR
Olivier Penel • directeur EMEA de la gestion des données, SAS
Aujourd'hui, nombre d'entreprises du monde entier ont le Règlement général sur la protection des données (GDPR) de l'Union européenne (UE) en ligne de mire. Elles savent que, quelle que soit leur implantation, ce règlement les concerne à partir du moment où elles fournissent des produits ou services à des citoyens ou structures de l'UE. Et elles savent que si elles ne sont pas en conformité avant l'échéance de mai 2018, les conséquences pourraient être significatives. En effet, outre de lourdes amendes et d'importants frais de justice, le non-respect de ce règlement pourrait nuire à leur réputation.
Il ne fait aucun doute que le non-respect de GDPR pourrait représenter une réelle menace pour l'avenir de nombreuses entreprises. Cependant, les données personnelles constituent une manne précieuse. Gérées correctement, elles peuvent en effet conférer un réel avantage concurrentiel. Passons en revue la procédure à suivre pour vous mettre en conformité avec GDPR et, par la même occasion, vous démarquer de vos concurrents.
Établir un plan d'action pour réussir votre transition vers GDPR
GDPR donne à chaque citoyen de l'UE le droit de savoir et de décider comment ses données personnelles sont utilisées, conservées, protégées, transférées et supprimées. Il va sans dire que la mise en œuvre de GDPR aura une incidence sur toute votre entreprise. Il vous faudra revenir à la case départ et repenser la gestion des données personnelles, depuis la source jusqu'au point de consommation. Vous allez également devoir vous pencher sur la prise en charge des exigences de GDPR par vos cadres de gestion et de gouvernance des données.
Identification, gouvernance et protection des données personnelles
Si vous collectez ou traitez des données à caractère personnel, il est important de comprendre les tenants et aboutissants du nouveau Règlement général sur la protection des données de l'UE. Ce webinaire explique l'impact de GDPR sur les entreprises américaines.
Inscrivez-vous et accédez gratuitement au webinaire à la demande
Adopter la bonne approche
La mise en conformité peut sembler insurmontable, mais des méthodes peuvent vous faciliter la tâche. Voici cinq étapes qui vous aideront à réussir votre transition vers GDPR.
- Accès. La première étape consiste à accéder à toutes vos sources de données. Quelle que soit la technologie utilisée (entrepôts de données traditionnels et clusters Hadoop, données structurées et non structurées, données statiques et en circulation, etc.), vous devez rechercher et examiner les données personnelles qui sont conservées et exploitées dans tout votre environnement. L'accès transparent à toutes les sources de données est la condition préalable à la création d'un inventaire des données personnelles qui vous permettra d'évaluer votre exposition aux risques d'atteinte à la vie privée, et d'instituer des règles de confidentialité à l'échelle de votre entreprise. Pour se conformer à GDPR, vous devez connaître précisément l'emplacement des données personnelles dans votre entreprise. Le règlement impose en effet aux entreprises de prouver qu'elles savent où se trouvent les données personnelles – et où il n'y en a pas.
- Identification. Une fois que vous avez accès à toutes les sources de données, vous devez les inspecter afin de déterminer les données personnelles qu'elles contiennent. Souvent, les données à caractère personnel sont enfouies dans des champs semi-structurés. Vous devrez être en mesure d'analyser ces champs pour extraire, classer et cataloguer des éléments tels que des noms, adresses e-mail et numéros de sécurité sociale. Compte tenu des volumes de données à traiter, ce processus de catalogage ne peut pas être effectué manuellement. Et vous devez non seulement analyser et classer les données personnelles, mais également prendre en compte leurs différents niveaux de qualité. Des éléments tels que la reconnaissance de tendances, les règles de qualité de données et la normalisation sont essentiels. Disposer des outils appropriés à cette tâche fera toute la différence dans votre capacité à respecter l'échéance de mai 2018 pour la mise en conformité à GDPR.
- Gouvernance. Pour mieux appréhender les données à caractère personnel, il faut d'abord pouvoir définir de quoi il s'agit, puis diffuser cette connaissance au sein de votre organisation. S'agissant de la conformité à GDPR, les règles de confidentialité doivent être documentées et partagées dans toutes les branches d'activité. Vous aurez ainsi la certitude que l'accès aux données personnelles est réservé aux personnes disposant des droits appropriés, en fonction de la nature des données, des droits associés aux différents groupes d'utilisateurs et du contexte d'utilisation. Pour ce faire, il convient de définir des rôles et des règles dans un modèle de gouvernance. Vous pourrez alors lier des termes métier à des sources de données physiques et établir le lignage des données du point de création au point de consommation, afin de disposer du niveau de contrôle requis.
- Protection. Une fois l'inventaire des données personnelles et le modèle de gouvernance établis, il convient de définir le niveau correct de protection des données. Trois techniques de protection sont possibles pour la conformité à GDPR : le chiffrement, la pseudonymisation et l'anonymisation. Vous devez appliquer la technique adaptée aux droits de l'utilisateur et au contexte d'utilisation, sans pour autant sacrifier vos besoins croissants en matière d'analyse, de prévision, de création de requêtes et de reporting. En fait, le moyen le plus simple de protéger la confidentialité des données consiste à ne conserver que celles indispensables à l'exécution des processus métier stratégiques et à la réalisation d'analyses à valeur ajoutée.
- Audit. La cinquième étape vers GDPR est l'audit. À ce stade, vous devez être en mesure de produire des rapports afin de démontrer clairement aux autorités de contrôle que :
– vous savez quelles données personnelles vous détenez et où elles se trouvent dans votre environnement ;
– vous gérez de façon adéquate la procédure destinée à recueillir le consentement des personnes concernées ;
– vous pouvez prouver l'usage qui est fait des données personnelles, par qui et dans quel but ;
– vous avez mis en place les procédures nécessaires pour gérer des aspects tels que le droit à l'oubli,
la notification des violations des données, etc.
Pour se conformer au GDPR, vous devez connaître précisément l'emplacement des données personnelles dans votre entreprise. Le règlement impose en effet aux entreprises de prouver qu'elles savent où se trouvent les données personnelles – et où il n'y en a pas.
Olivier Penel • directeur Data Management pour la région EMEA, SAS
De la conformité à GDPR à la gestion des risques en général
La création de rapports détaillés sur l'utilisation des données personnelles n'est pas simplement une obligation pour la conformité à GDPR ; elle vous aide également à gérer l'exposition aux risques de votre entreprise en matière de confidentialité des données. Les cinq étapes décrites ci-dessus pourront vous guider dans la mise en place des technologies, processus et équipes nécessaires pour la conformité à GDPR et la gestion des risques en général. De plus, elles contribueront à renforcer votre activité, à consolider les relations avec vos clients et à stimuler une innovation qui pourrait avoir de profondes répercussions positives sur votre croissance future.
À propos de l'auteur
Conseiller chevronné, Olivier Penel possède 15 ans d'expérience dans le domaine du conseil en gestion de l'information auprès d'entreprises du classement Global 1000 opérant dans divers secteurs d'activité. Dans le cadre de ses fonctions de direction dans des sociétés comme IBM et Infosys, il était responsable d'équipes de techniciens spécialistes de la gestion des données géographiquement dispersées, chargées de soutenir les actions commerciales ainsi que les interactions avant-vente et après-vente. Olivier Penel partage son expertise autour des bonnes pratiques de gestion des données à l'occasion de conférences s'adressant à un large public. Son objectif est d'aider les entreprises à élaborer une stratégie globale et une feuille de route orientée valeur pour une gouvernance des données alliant les pratiques traditionnelles (intégration, qualité, gestion des données maîtresses , virtualisation) à la gestion des big data, de la BI, de l'analytique et des décisions.
Recommended reading
- ARTICLE Key questions to kick off your data analytics projectsThere’s no single blueprint for starting a data analytics project. Technology expert Phil Simon suggests these 10 questions as a guide.
- ARTICLE The transformational power of evidence-based decision making in health policyState health agencies are under pressure to deliver better health outcomes while minimizing costs. Read how data and analytics are being used to confront our biggest health care challenges head on.
- ARTICLE Data lineage: Making artificial intelligence smarterLear how data lineage plays a vital role in understanding data, making it a foundational principle of AI.
- ARTICLE GDPR and AI: Friends, foes or something in between?The GDPR may not be best buddies with artificial intelligence – but GDPR and AI aren't enemies, either. Kalliopi Spyridaki explains the tricky relationship between the two.