Cinq étapes pour une conformité durable à GDPR

Aujourd'hui, nombre d'entreprises du monde entier ont le Règlement général sur la protection des données (GDPR) de l'Union européenne (UE) en ligne de mire. Elles savent que, quelle que soit leur implantation, ce règlement les concerne à partir du moment où elles fournissent des produits ou services à des citoyens ou structures de l'UE. Et elles savent que si elles ne sont pas en conformité avant l'échéance de mai 2018, les conséquences pourraient être significatives. En effet, outre de lourdes amendes et d'importants frais de justice, le non-respect de ce règlement pourrait nuire à leur réputation. 

Il ne fait aucun doute que le non-respect de GDPR pourrait représenter une réelle menace pour l'avenir de nombreuses entreprises. Cependant, les données personnelles constituent une manne précieuse. Gérées correctement, elles peuvent en effet conférer un réel avantage concurrentiel. Passons en revue la procédure à suivre pour vous mettre en conformité avec GDPR et, par la même occasion, vous démarquer de vos concurrents.

Établir un plan d'action pour réussir votre transition vers GDPR 

GDPR donne à chaque citoyen de l'UE le droit de savoir et de décider comment ses données personnelles sont utilisées, conservées, protégées, transférées et supprimées. Il va sans dire que la mise en œuvre de GDPR aura une incidence sur toute votre entreprise. Il vous faudra revenir à la case départ et repenser la gestion des données personnelles, depuis la source jusqu'au point de consommation. Vous allez également devoir vous pencher sur la prise en charge des exigences de GDPR par vos cadres de gestion et de gouvernance des données. 

Adopter la bonne approche

La mise en conformité peut sembler insurmontable, mais des méthodes peuvent vous faciliter la tâche. Voici cinq étapes qui vous aideront à réussir votre transition vers GDPR. 

1. Accès. La première étape consiste à accéder à toutes vos sources de données. Quelle que soit la technologie utilisée (entrepôts de données traditionnels et clusters Hadoop, données structurées et non structurées, données statiques et en circulation, etc.), vous devez rechercher et examiner les données personnelles qui sont conservées et exploitées dans tout votre environnement. L'accès transparent à toutes les sources de données est la condition préalable à la création d'un inventaire des données personnelles qui vous permettra d'évaluer votre exposition aux risques d'atteinte à la vie privée, et d'instituer des règles de confidentialité à l'échelle de votre entreprise. Pour se conformer à GDPR, vous devez connaître précisément l'emplacement des données personnelles dans votre entreprise. Le règlement impose en effet aux entreprises de prouver qu'elles savent où se trouvent les données personnelles – et où il n'y en a pas.
   
2. Identification. Une fois que vous avez accès à toutes les sources de données, vous devez les inspecter afin de déterminer les données personnelles qu'elles contiennent. Souvent, les données à caractère personnel sont enfouies dans des champs semi-structurés. Vous devrez être en mesure d'analyser ces champs pour extraire, classer et cataloguer des éléments tels que des noms, adresses e-mail et numéros de sécurité sociale. Compte tenu des volumes de données à traiter, ce processus de catalogage ne peut pas être effectué manuellement. Et vous devez non seulement analyser et classer les données personnelles, mais également prendre en compte leurs différents niveaux de qualité. Des éléments tels que la reconnaissance de tendances, les règles de qualité de données et la normalisation sont essentiels. Disposer des outils appropriés à cette tâche fera toute la différence dans votre capacité à respecter l'échéance de mai 2018 pour la mise en conformité à GDPR.
3. Gouvernance. Pour mieux appréhender les données à caractère personnel, il faut d'abord pouvoir définir de quoi il s'agit, puis diffuser cette connaissance au sein de votre organisation. S'agissant de la conformité à GDPR, les règles de confidentialité doivent être documentées et partagées dans toutes les branches d'activité. Vous aurez ainsi la certitude que l'accès aux données personnelles est réservé aux personnes disposant des droits appropriés, en fonction de la nature des données, des droits associés aux différents groupes d'utilisateurs et du contexte d'utilisation. Pour ce faire, il convient de définir des rôles et des règles dans un modèle de gouvernance. Vous pourrez alors lier des termes métier à des sources de données physiques et établir le lignage des données du point de création au point de consommation, afin de disposer du niveau de contrôle requis.
4. Protection. Une fois l'inventaire des données personnelles et le modèle de gouvernance établis, il convient de définir le niveau correct de protection des données. Trois techniques de protection sont possibles pour la conformité à GDPR : le chiffrement, la pseudonymisation et l'anonymisation. Vous devez appliquer la technique adaptée aux droits de l'utilisateur et au contexte d'utilisation, sans pour autant sacrifier vos besoins croissants en matière d'analyse, de prévision, de création de requêtes et de reporting. En fait, le moyen le plus simple de protéger la confidentialité des données consiste à ne conserver que celles indispensables à l'exécution des processus métier stratégiques et à la réalisation d'analyses à valeur ajoutée. 
5. Audit. La cinquième étape vers GDPR est l'audit. À ce stade, vous devez être en mesure de produire des rapports afin de démontrer clairement aux autorités de contrôle que :

    – vous savez quelles données personnelles vous détenez et où elles se trouvent dans votre environnement ;

    – vous gérez de façon adéquate la procédure destinée à recueillir le consentement des personnes concernées ;

    – vous pouvez prouver l'usage qui est fait des données personnelles, par qui et dans quel but ;

    – vous avez mis en place les procédures nécessaires pour gérer des aspects tels que le droit à l'oubli,
       la notification des violations des données, etc.

De la conformité à GDPR à la gestion des risques en général

La création de rapports détaillés sur l'utilisation des données personnelles n'est pas simplement une obligation pour la conformité à GDPR ; elle vous aide également à gérer l'exposition aux risques de votre entreprise en matière de confidentialité des données. Les cinq étapes décrites ci-dessus pourront vous guider dans la mise en place des technologies, processus et équipes nécessaires pour la conformité à GDPR et la gestion des risques en général. De plus, elles contribueront à renforcer votre activité, à consolider les relations avec vos clients et à stimuler une innovation qui pourrait avoir de profondes répercussions positives sur votre croissance future. 

À propos de l'auteur

Conseiller chevronné, Olivier Penel possède 15 ans d'expérience dans le domaine du conseil en gestion de l'information auprès d'entreprises du classement Global 1000 opérant dans divers secteurs d'activité. Dans le cadre de ses fonctions de direction dans des sociétés comme IBM et Infosys, il était responsable d'équipes de techniciens spécialistes de la gestion des données géographiquement dispersées, chargées de soutenir les actions commerciales ainsi que les interactions avant-vente et après-vente. Olivier Penel partage son expertise autour des bonnes pratiques de gestion des données à l'occasion de conférences s'adressant à un large public. Son objectif est d'aider les entreprises à élaborer une stratégie globale et une feuille de route orientée valeur pour une gouvernance des données alliant les pratiques traditionnelles (intégration, qualité, gestion des données maîtresses , virtualisation) à la gestion des big data, de la BI, de l'analytique et des décisions.