Veiller à la sécurité des données personnelles confiées par vos utilisateurs : c’est ce que vous imposera le GDPR (la nouvelle réglementation relative à la protection des données individuelles au niveau européen) à partir du 25 mai 2018. Mais pour bien protéger les données, encore faut-il savoir où elles se trouvent et quels traitements les sollicitent au sein de votre système informatique. C’est ce qu’on appelle la cartographie des données, et c’est l’étape préliminaire à votre parcours vers une conformité avec le GDPR !
Les données personnelles à l’heure du GDPR
Plus que jamais, GDRP remet sur le devant de la scène le sujet central de la protection des données personnelles – en venant remplacer un texte vieux de plus de 20 ans, adopté à une époque où seulement 100 000 foyers français jouissaient d’une connexion à Internet ! La nouvelle réglementation européenne imposera en effet, à partir du 25 mai 2018, des obligations aux organismes public et privés, relatives à la sécurisation et à l’usage des données personnelles confiées par les utilisateurs.
Mais comment se mettre en conformité avec ces nouvelles exigences de l’Union européenne lorsqu’on n’est pas en mesure de savoir de quelles données dispose l’entreprise, d’identifier sans effort les données exploitées par un traitement ou un autre, voire qu’on ne détient aucun catalogue des données ou des traitements ?
La multiplication exponentielle des sources de données et la complexification du paysage applicatif dans lequel les données circulent (applications métier, progiciels, décisionnel, outils de Data Management, app mobiles…) compliquent le traçage du parcours de la donnée. Le fonctionnement en silos et le cloisonnement des services qui exploitent les données rendent encore plus difficile la traçabilité, avec des ruptures et des incompréhensions à l’entrée et à la sortie des différents silos.
Dans les faits, aujourd’hui, dès lors qu’une entreprise est amenée à collecter et manipuler des données personnelles, elle est soumise aux obligations des déclarations relatives à la loi informatique et libertés, sous l’autorité de la CNIL. Mais ces obligations n’imposent aucune contrainte sur la traçabilité du parcours de traitement de ces données. La CNIL travaille d’ailleurs sur l’évolution de cette loi, en tant que garante de l’application des nouvelles dispositions comprises dans le RGPD en France
Concrètement, aujourd’hui, sans une cartographie des données – sans un recensement précis des données, de leurs traitements, de leurs flux, des composantes par lesquelles elles circulent, et des acteurs qui les traitent – il est tout bonnement impossible, pour une entreprise, de répondre aux exigences de la Réglementation sur la gestion des données personnelles (RGPD).
Si le GDPR, peut sembler restrictif (avec des sanctions financières élevées en cas de non-conformité), ce n’est qu’une première étape sur la route d’un renforcement de plus en plus important du cadre réglementaire de l’exploitation des données individuelles.
Connaissance et gestion des données, un chantier de taille
Dès le 25 Mai 2018, toute personne peut solliciter une entreprise pour accéder aux données la concernant en vertu de la disposition relative à la portabilité des données. Comment l’entreprise fera-t-elle pour accéder à sa requête s’il lui est impossible de localiser rapidement les systèmes de stockage et l’usage qu’elle fait de ces données personnelles ? Comment l’entreprise pourra-elle rassurer son client sur la sécurité de ses données, si elle peine à les localiser ?
Un vaste chantier de recensement et de classification des données et des traitements attend les entreprises. Il est nécessaire d’adapter les pratiques, les habitudes de travail et d’outiller la gestion collaborative des données. La mobilisation des différents acteurs en charge de la chaîne d’exploitation des données est essentielle :
- Identifier les données personnelles et comprendre les traitements qui les exploitent est une tâche à la fois fastidieuse et ardue. Métier et technique doivent absolument apprendre à travailler main dans la main et à partager leurs connaissances des données.
- Déterminer quelles données sont considérées comme personnelles et quels traitements les utilisent, voilà une considération plus complexe qu’il n’y paraît et qui peut donner lieu à débats. En effet, il est nécessaire pour l’entreprise d’identifier les sachants opérationnels et de nommer des référents de domaine en mesure de porter et d’accélérer l’identification et le recensement de ces données.
- Le travail de recensement doit s’appuyer sur des solutions collaboratives, permettant au plus grand nombre de contribuer à la création d’un catalogue vivant des données et des traitements. Sans cela, il y a un fort risque de créer un référentiel en silos, statique, incomplet avec des incompréhensions et des écarts d’interprétations.
- Pour pérenniser le recensement et maintenir le catalogue des données à jour, la mobilisation des équipes en charge de la maintenance et de l’évolution du système d’information de l’entreprise (les équipes projets) est essentielle. Dès la conception, l’identification et la déclaration des données personnelles et des traitements qui les exploitent doivent être intégrées dans les processus de travail. Cela passe par une accessibilité accrue de la connaissance des données et une plus grande intégration de ces équipes dans la chaîne de gestion des données personnelles.
Ce chantier est l’occasion ou jamais de créer et de maintenir une cartographie des données de l’entreprise. Une brique devenue essentielle pour faire face aux différents défis posés par les données.
❯ Qu’est-ce que la cartographie des données ❮
Cartographie des données : le premier pas vers la conformité GDPR
S’il y a un chantier à démarrer dès demain, comme pré-requis à GDPR, c’est bien le chantier de la cartographie des données. À l’évidence, il n’est pas possible de sécuriser et de tracer ce qui est diffus ou mal connu.
La cartographie des données va permettre :
- à l’entreprise de recenser les données personnelles qu’elle traite dans son système d’information, de savoir comment elles sont exploitées et qui y a accès ;
- au responsable du traitement d’assurer une gouvernance et de réguler les accès aux traitements les plus sensibles ;
- à l’entreprise de s’outiller et d’être en mesure de localiser efficacement les briques pour extraire les données d’un utilisateur à la demande de celui-ci ;
- à l’ensemble des acteurs de l’entreprise d’accéder et de contribuer à une base de connaissance commune des données de l’entreprise. Par exemple, le futur délégué à la protection des données, prévu par le texte du GDPR, pourra trouver aisément les informations dont il a besoin pour répondre aux sollicitations de l’autorité compétente.
En somme, en apportant une connaissance et un recensement partagé du parcours et des traitements de la data collectée, manipulée et stockée par une entreprise, la cartographie des données s’impose comme le premier levier à actionner pour démarrer le projet de conformité avec le GDPR.