GDPR – l’audit des données personnelles par la traçabilité
Le 25 mai 2018, le RGPD (Règlement Général sur la Protection des Données) ou GDPR est entré en vigueur. Comme chacun sait, les principaux objectifs du GDPR sont de redonner le contrôle aux citoyens de l'UE sur leurs données personnelles.
Un écueil : la profusion des données personnelles, leur hétérogénéité
____________________________________________________
Depuis 2018, la détention des données personnelles doit avoir un socle légal. Il faut soit contractualiser avec le propriétaire des données (!), soit obtenir un consentement. D’ailleurs, lorsque la raison légale de la détention est le « consentement », le consentement doit être spécifié - c’est-à-dire le propriétaire doit préciser ce à quoi il a consenti concernant les usages de ses données personnelles.
Les données personnelles sont définies de façon très large. L'article 4 du GDPR définit les données à caractère personnel comme toute information relative à "une personne physique identifiable". C’est à dire une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs éléments propres à l'identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale… ». Whaouh !
Donc les entreprises ont des volumes de données astronomiques en « stocks », ne sachant pas très bien d’où elles viennent, où elles vont, qui les consultent…
L’audit des données personnelles
____________________________________________________
Ouvrez n'importe quel livre ou site Web sur la mise en œuvre de GRDP, il commencera par dire que l’étape#1 pour être « GDPR Compliant », c’est un audit des données personnelles.
Cet audit vous renseignera sur les données personnelles que vous détenez. Cela vous obligera à documenter les données que vous détenez, où elles sont détenues, à quoi elles servent, et qui y accède, etc. Le constat général, c’est qu’elles ont tendance à proliférer dans les systèmes en interne. Ces données se déversent aussi en externe : les entreprises échangent constamment des données, mais gardent rarement une trace des informations qui ont été partagées, et avec qui. Il peut aussi s’agir de tiers qui accèdent au réseau d'une entreprise. Récemment il a été établi que le réseau d'entreprise moyen était accédé par 89 acteurs externes chaque semaine !
La clef, c’est la traçabilité !
____________________________________________________
Les données transitent fréquemment par différents systèmes. Typiquement, il faudra savoir si vous disposez d’un suivi longitudinal de toutes les données personnelles dans vos outils de data visualisation, et tous leurs sous-jacents techniques. Si une personne est désireuse de modifier ses données personnelles inexactes, est-ce que cette modification sera répliquée dans tous les systèmes ? Est-ce que ce principe est vrai aussi pour les environnements de développement et de test ?
Un audit pourra aussi vous dire ce que vous avez… au moment de l'audit. Mais un audit, c’est un "one shot". Aussitôt fait, aussitôt obsolète. Au fur et à mesure que les données transitent dans les systèmes il sera nécessaire de savoir quelles modifications ont été apportées et comment elles se seront propagées. Bon courage aux auditeurs !
Est-ce que vous pensez que vous serez réellement capable de répondre en tout temps à ces 2 questions : d'où proviennent les données, et où sont-elles utilisées ? Et les réponses doivent porter sur la situation à l’instant « t ».
Le data lineage
____________________________________________________
Il existe une technique bien établie qui permet de tracer l’information dans les systèmes, ça s’appelle le « data lineage ».
- Mais si les usages de l’information ne sont pas définis, en incluant les usages « officiels », mais aussi les usages « ad hoc » de l’information, cela n’a pas de sens. Ainsi, il faudra que le data lineage puisse identifier le « scrapping » non contrôlé de données personnelles dans l’entreprise, dans un périmètre dépassant l’IT.
- S’il n’y a pas de mise à jour en temps continu de cette cartographie, cela ne sera pas exploitable. Il faudra donc que le scan du système d’information soit continu.
- Et pour que les lignes business dans lesquelles on retrouve généralement les équipes « Compliance », « Sécurité », le DPO puissent exploiter les réponses produites, il faudra qu’elles puissent s’appuyer sur une cartographie la moins technique, la plus intelligible possible. Ainsi les termes « métiers » exploités dans les couches basses (ERP, CRM), ou les couches hautes (data visualisation) devraient pouvoir être propagés dans toute la cartographie.
Conclusion
____________________________________________________
Une solution de data lineage multi technologique, définissant les usages de l’information, qui analyse les flux au delta, sera un puissant levier de mise en conformité à GDPR.
On ne sera pas dans la « check list » GDPR traditionnelle (consentement libre, registre des traitements…), mais dans une approche holistique du sujet avec des réponses qui suivent le cadre de GDPR, pour faire entrer l’entreprise dans le monde de la data governance !
#GRDP #RGPD #datalineage
ellipsys@ellipsys-bi.com
www.ellipsys-bi.com
Commentaires
Enregistrer un commentaire