opinion > [GDPR] , l'épineux problème du traitement de la donnée personnelle.

la

 

Opinion > 

 

 

[GDPR],



L’épineux problème du traitement de la donnée personnelle

 

 

 Executive Summary

Quels sont les Data Protection Officers qui peuvent prétendre que leur entreprise est en parfaite conformité avec le GDPR ? Vraisemblablement peu, en tous les cas pas tous.  

Entre mai 2018 et janvier 2019, selon une étude du cabinet d'avocats anglais DLA Piper du 20 Janvier 2020,     les régulateurs européens ont infligé plus de 114 millions d'euros d'amendes pour violation du GDPR, et ont reçu 160 000 notifications -


Pour autant, ce même cabinet indique que peu d’entreprises sont réellement au rendez-vous sur l’exhaustivité du texte.  


Il est indéniable que les entreprises ont pris le sujet très au sérieux, compte tenu des impacts économiques et réputationnels associés. Aussi de nombreux cabinets d’avocat, société de conseil, ou officines diverses se sont emparés du sujet pour faire de « l’explication de texte », pour accompagner les entreprises dans leurs premiers pas, pour former, et pour adresser les aspects souvent purement organisationnels. Dont acte, il était nécessaire de désacraliser ce texte dense, de le rendre intelligible et transposable dans les entreprises.

Le métier de DPO est directement né du GDPR. Une rapide recherche LinkedIn compte 6300 DPO en France, 1700 en Belgique ou encore 200 au Luxembourg. C’est dire que les entreprises ont joué le jeu.

L’aspect technique des choses a malheureusement souvent été traité avec les moyens techniques dont disposaient alors les entreprises. 

Or de technique, il en est largement question. Les entreprises collectent de l’information depuis leurs sites internet (cookies, formulaires d’inscription, interface de paiement…), depuis leurs plateformes téléphoniques, et bien d’autres canaux.

Pour ce qui est de cette partie « collecte de l’Information Personnelle » Les entreprises sont de plus en plus sensibilisées à l’importance de la transparence, et donc à l’importance de l’assentiment de leurs contacts.

Puis l’Information Personnelle collectée est stockée, calculée … mais surtout disséminée au 4 vents dans des Systèmes d’Information souvent imposants, hétérogènes, juxtaposition de pipelines de données parfois mal maîtrisés.

Puis elle disparaît dans des tableaux de bords, dans des outils de dataviz, dans des feuilles Excel, dans des bases de données adhoc, ou dans des queries diverses … etc, où elle a tout loisir d’échapper au contrôle des équipes Risk, Audit, ou à la surveillance d’un DPO, même avec un fort bagage technique.

Suffirait-il d’appliquer la règle du « Privacy by Design » (article 25), qui précise que dès sa conception une application se conformera au GDPR ? Certainement, mais que faire de l’héritage, du « legacy », qui représente de très loin l’essentiel des Systèmes d’Information ?

Il est notoire les entreprises disposant de véritables plateformes de « data gouvernance » ou d’organisation permettant d’avoir une véritable cartographie des flux de donnée, de leurs impacts, et un inventaire des Traitements, sont peu nombreuses.

Le « Traitement de la Donnée Personnelle » (Article 5), de la collecte à l’exposition de la donnée, est sensé faire l’objet d’un « Registre des Traitements » (Article 30) dans lequel chaque Traitement de Donnée Personnel est sensée être consigné par un Responsable du Traitement (Article 24).

Compte tenu du nombre insondable de traitements, c’est véritablement à la fois les 12 travaux d’Hercule pour la tâche en elle-même, et le mythe de Sisyphe pour les continuelles investigations vouées à être éternellement reconduites, tant les systèmes évoluent.

L’état des lieux classique observé dans les entreprises, du « OK » et du « non OK » :



Mais comme souvent constaté au cours de l’Histoire, en lien avec d’autres problématiques, l’industrialisation a permis de s’affranchir de taches chronophages, à faible valeur ajoutée, et présentant un fort risque d’inexactitude.

A ce titre, nous proposons des outils, et une méthologies pour construire à la volée ce Registre des Traitements qui permet de définir les chemins de la donnée dans les systèmes, les Traitements qui y sont rattachés, leurs destinations finales, en sommes les usages de la Donnée Personnelle. Ce, en temps réel.

 

A propos d’Ellipsys

Ellipsys a été fondée en 2013 par Samuel Morin. Au départ le projet était de construire une société de conseil spécialisée dans l’assistance à maitrise d’ouvrage (MOA) dans les domaines de l’Analytics. 

Très vite, l’équipe s’est mise à développer des briques logicielles permettant d’accélérer les investigations pour le compte de ses clients. openAudit ®, le logiciel de « data gouvernance » de Ellipsys était né.

A partir de 2016, le projet s’est structuré autour d’openAudit, en mode start-up, avec une levée de fond, et un certain nombre de recrutements. L’ADN de l’entreprise est très technique et le reste, avec une volonté d’automatiser systématiquement les process. 

Les premiers composants les plus structurants d’openAudit ont été des outils de « data lineage » permettant de parcourir un flux d’information dans des systèmes complexes.

Rapidement, nous y avons adjoint une ambition de définir les usages de la donnée, au-delà de son parcours.

Très naturellement, ce bagage technique nous a semblé pourvoir répondre à quelques enjeux « compliance » majeur du moment, dont le plus emblématique est le texte GDPR. 

Ellipsys est une entreprise luxembourgeoise qui compte 10 ingénieurs dans son équipe. Quelques grandes entreprises font partie de nos clients : BNP Luxembourg, la Banque Européenne d’Investissement, Banque Raiffeisen, Royal Bank of Canada, Banque Internationale à Luxembourg, Groupe ADEO Leroy Merlin, Groupe Cora, Unibail Rodamco… Etc.

Que dit le GDPR sur le Traitement ?

Les horreurs du passé, et les perspectives orwelliennes que renferme la circulation effrénée et anarchique des données personnelles ont poussé l’Europe à construire ce Règlement. Il vise à renforcer et à unifier la protection des données à l’échelle de l’Europe. Ses dispositions sont applicables depuis du 25 mai 2018

Les principaux objectifs du GDPR sont d'accroître à la fois la protection des personnes concernées par un Traitement de leurs Données à caractère Personnel et …la responsabilisation des acteurs de ce Traitement. C’est ce point qui nous paraît utile de détailler.

2 points du GDPR comportent à notre sens une véritable complexité quant à leur mise en œuvre :

Focus Texte GDPR #1 : les Traitements 

Extrait de l’Article 5 > « Traitements opérés sur la Donnée Personnelle » :

« Traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d'origine accidentelle, à l'aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité) ».

Focus Texte GDPR#2 : le Registre

Extraits de l’Article 30 > « Registre des activités de Traitement » :

« Chaque responsable du traitement et, le cas échéant, le représentant du responsable du Traitement tiennent un registre des activités de Traitement effectuées sous leur responsabilité ».

Le Traitement de Données Personnelles, c’est quoi ?

 

La notion de traitement de Données Personnelles dans le cadre du GDPR s’entend par une ou plusieurs opérations visant des données personnelles, et ce quel que soit le procédé utilisé : collecte directe de données, trie de données, conservation, modification, transfert, utilisation, consultation, diffusion, …etc, et toute autre forme d’action sur ces données. Le champ d’application est donc large, très large.

 

Concernant le Traitement de ces informations, le GDPR est clair : tout traitement de données personnelles doit avoir un objectif clairement défini. C’est-à-dire que chaque Traitement de données doit servir un objectif précis, en lien avec l’objet de l’entreprise qui le réalise.

Notre Méthodologie

Au sens large

Notre approche est purement technique, elle ne prétend pas se substituer à la finesse des analyses internes. Elle ne dévoilera pas tous les arcanes d’une organisation complexe.

Pour nous, il s’agira d’analyser, techniquement et dynamiquement tout ce qui se passe autour de la donnée au sens large (=Traitements), et donc autour des données Personnelles à partir de leurs entrées dans les Systèmes d’Information.  

 - Leurs parcours dans les systèmes, de bout en bout, 

  Les divers Traitements qui y sont associées,

  - Leur utilisation en bout de chaîne : les utilisateurs, le mode d’utilisation, la périodicité.

Les Systèmes d’Informations sont constitués de nombreuses couches, et de « stacks » technologiques.  

Schématiquement le chemin est souvent le même, les données opérationnelles, (dont les données personnelles) émanent de différents canaux, puis sont stockées, historisées, calculées, et enfin exposées.

On passe de donnée ayant une forte intelligibilité, à de pures abstractions dans le dédale des Systèmes d’Information pour revenir à nouveau à des notions plus compréhensibles, à fin d’exploitation par les équipes métier.

Notre ambition est d’éclairer toute la complexité qui interface la collecte des Données Personnelles de leurs usages finaux.  

Pour ce faire, nous mettons en œuvre diverses sondes, scanners qui viennent analyser en continu le contenu des SI qui raconte tout à la fois les modes de stockage de l’Information Personnelle, son transport, ses ses utilisations.

GDPR > ce que nous analysons


Nous avons mis au point un certain nombre de scanners / sondes qui adressent l’essentiel des technologies présentes dans les entreprises. Ils se répartissent en 2 catégories :

 - Des scanners pour définir le transport de la donnée personnelle, via une analyse des procedures, ou les jobs ELT/ETL.

 - Des sondes pour analyser les évènements relatifs aux bases de données (stockage de l’information, et usages de l’information).

 - L’ensemble des informations recueillies quotidiennement sont synthétisées, organisées de façon à pouvoir délivrer les réponses clefs.

A noter :  

- Nous n’attaquons que la « structure de la donnée » = la métadonnée.

- Notre volonté étant de proposer une image fidèle des traitements de la Donnée Personnelle, les analyses doivent être continues. Les volumétries attaquées imposent de passer par des analyses au « delta » : n’est analysé que ce qui a changé dans le système dans la journée, en plus d’un « stock » analysé au départ.

 - Les termes « métier » relatifs à la Donnée Personnelle existent à l’entrée dans le Système d’Information, mais également à sa sortie, quand la donnée est exposée. Entre les 2, nous avons à faire à des abstractions typiques du monde de l’informatique. Aussi, nous impactons les termes « métier » sur toutes les chaînes de façon à simplifier la compréhension pour toutes les populations métier. 

Outputs # 1 : une Carte d’Identité de la Donnée Personnelle

 

 - Un moteur de recherche exhaustif :

 



Sa vocation étant de permettre de retrouver un « data point » dans le Système d’Information au sens large.

Les choix d’un champ, ou d’une donnée constituée permet d’en connaître les sources et les impacts finaux.

 - Sources et impacts finaux : qui consulte la Donnée Personnelle ?



Depuis le « data point » concerné par vos recherches (ex : « Article », au clic s’affichent les sources opérationnelles (« Source »), et les impacts finaux (« Target »)

Les « impacts finaux » sont l’extrémité du parcours de la donnée, côté métier. Exemples : un rapport dans les technologies corporate, une extraction Excel, une petite base de données VBA, un query Python, JDBC, ODBC…etc.

Un schéma d’ensemble, produit à la volée, permet de restituer ce cheminement de façon détaillée :



Il est également produit sous forme de « triview »



 - Quand la Donnée Personnelle a été consultée ?



Il est de surcroît possible de connaître le ou les moments où cette Donnée Personnelle a été consultée.

Ainsi pour chaque Donnée Personnelle, où qu’elle se trouve dans votre Système d’Information, il est possible d’en connaître instantanément les origines, et les impacts finaux, de même que les personnes qui l’ont consultée, et le mode de consultation.

Outputs # 2 :  Un zoom sur tous les Traitements

 

L’output #1 indique formellement pour quelconque donnée personnelle quelles en sont les sources et les impacts finaux mais ne détaille pas l’ensemble des traitements qui lui sont assignés. 

Au départ de ce même data point, il est ainsi possible de comprendre schématiquement tout le chemin de la Donnée Personnelle dans le SI, mais aussi l’ensemble des traitements qui ont été opérés en zoomant sur quelconque procédure. La technologie qui a permis le traitement, la date du traitement, et possiblement la personne responsable sont clairement établis dans ce « data flow ». 

Il est noté, que le interfaces établissent un journal de Traitement granulaire, mais sur un mode exploratoire. Il est cependant possible de récupérer les données massivement via nos bases de données ouvertes, qui sont requêtables.

L’ensemble de ce que nous présentons est consigné dans des bases de données où tout est versionné, donc il est possible de retro documenter un Traitement ayant eu lieu précédemment.

Conclusion

Le GDPR nécessite une puissante organisation en entreprise. Elle est souvent en œuvre. Certains aspects techniques se révèlent être des « pain points ». C’est le cas de la définition continue des Traitement de la Donnée Personnelle, et de la tenue d’un registre des Traitements. Les systèmes étant souvent anciens, hétérogènes, et donc complexes, les Traitements sont innombrables, et qui plus est, ils évoluent au gré des mutations des systèmes d’information.

Nous pensons que la seule approche valable consiste à automatiser l’analyse de ces systèmes, pour délivrer pour tous des réponses simples : origine et devenir de l’Information Personnelle ; usages de l’Information Personnelle : qui a consulté quelle Donnée Personnelle et quand. Et registre dynamique de l’ensemble des Traitements opérés sur ces données.

Ces 2 points, peuvent ne plus être un sujet d’angoisse pour les DPO. 


http://ellipsys-bi.com


Commentaires

Enregistrer un commentaire

Posts les plus consultés de ce blog

La Data Observabilité, Buzzword ou nécessité ?

Image
    La Data Observabilité,   Buzzword ou nécessité ?   La qualité des données utilisées dans les opérations quotidiennes a un rôle prépondérant pour les entreprises.    Une étude du Gartner de 2022 suggère que les "mauvaises données" coûtent aux organisations environ 12,9 millions de dollars par an.  Le Data Quality Hub du gouvernement britannique estime que les organisations consacrent entre 10 % et 30 % de leurs revenus aux problèmes de qualité des données, ce qui peut représenter des centaines de millions de dollars pour des entreprises de premier plan.  Dès 2016, IBM estimait que la mauvaise qualité des données coûtait aux entreprises américaines 3 100 milliards de dollars par an. ... Tout le monde souhaite s’appuyer sur des données intègres pour éviter des erreurs simples liées à des problèmes d’alimentation dans des flux, ou à des données mal organisées, répliquées, etc. Mais comment ?    Les techniques d' "observabilité des données" sont une option.     
Lire la suite

BCBS 239 : L'enjeu de la fréquence et de l'exactitude du reporting de risque

Image
  BCBS 239 :    L'enjeu de la fréquence et de l'exactitude du reporting de risque.  La BCE a publié un guide en juillet 2023 pour repréciser ses attentes dans le cadre de BCBS 239. Elle prévoit de renforcer le dispositif de supervision en matière de qualité des données.   L'objectif global de la norme BCBS 239 est de renforcer les capacités d'agrégation des données de risques des banques, et les pratiques internes de reporting de risques, améliorant ainsi les processus de gestion des risques et de prise de décision dans les banques. « La bonne information doit être à disposition pour les bonnes personnes et au bon moment ».   La mise en œuvre de BCBS 239 n'est a priori pas simple.   Pourquoi ? Malgré cette surveillance prudentielle accrue,  la BCE n’a toujours pas constaté de progrès suffisants en 2023 :  "le dispositif data quality et reporting risques ne reçoit pas encore le niveau d’attention approprié de la part des banques".   Nous avons beaucoup écha
Lire la suite

Le data lineage, l’arme idéale pour la Data Loss Prevention ?

Image
  Le data lineage technique couplé à la détection des usages de l’information permet de savoir au départ de n’importe quelle donnée, qui y accède finalement, et dans quel contexte. Et si c’était un grand pas vers une véritable sécurité informationnelle, une réponse simple et efficace pour la Data Leaks/Loss Prevention ?  La DLP (Data Leaks / Loss Prevention), c’est quoi ?   _______________________________________ « Le terme Data Loss/Leaks Prevention (DLP) fait référence à un ensemble de techniques qui permettent d’identifier, de contrôler et de protéger l’information grâce à des analyses de contenu approfondies, que l’information soit stockée, en mouvement, ou traitée . L’objectif est de limiter la fuite de données sensibles.  Une solution DLP est capable d’identifier les données sensibles, de repérer l’endroit où elle est stockée, de contrôler qui doit avoir accès à ces données et enfin de les protéger, c’est-à-dire d’empêcher toute personne non autorisée à y avoir accès… » W
Lire la suite