Le GDPR (General Data Protection Regulation) - le règlement de l‘Union européenne (UE) qui permet aux citoyens de reprendre le contrôle de leurs propres données et d‘unifier les réglementations en matière de protection de la vie privée dans l‘ensemble de l‘UE - fait beaucoup parler de lui ces derniers temps. Il entrera en vigueur le 25 mai 2018, soit dans six mois, et remplacera également la directive sur la protection des données de 1995. Ce dernier point permettra de simplifier l‘environnement réglementaire pour les entreprises internationales en unifiant la réglementation au sein de l‘UE. Le Brexit étant toujours en cours, des questions se posent naturellement.
L‘une des principales exigences du GDPR est que les entreprises devront suivre et tracer les données sensibles et déterminer comment elles sont traitées tout au long de leur chaîne d‘approvisionnement en informations. En conséquence, la façon dont les entreprises abordent la gestion des données devra être traitée avec soin pour se conformer aux principes de "privacy by design" (protection de la vie privée dès la conception). Pour les entreprises, cela signifie que chaque nouveau service numérique exploitant des données personnelles doit désormais tenir compte de la protection des données.
Quel est le coût de l‘ignorance du GDPR ? En cas de non-respect de certaines dispositions du GDPR, les organismes de surveillance des données pourraient infliger des amendes allant jusqu‘à 20 millions d‘euros ou 4 % du chiffre d‘affaires annuel mondial de l‘exercice précédent, le montant le plus élevé étant retenu. À l‘approche de la date butoir du GDPR, de nombreux services informatiques cherchent des conseils sur la manière de gérer cette réglementation imminente sur les données.
Défis informatiques
Le GDPR pose de nombreux défis aux départements informatiques des entreprises qui font des affaires avec les citoyens de l‘UE en ce qui concerne le droit à l‘examen, le droit à l‘effacement et la portabilité des données. Voici quelques-uns de ces défis :
Les entreprises devront créer et tenir à jour un inventaire global des données afin de savoir quelles sont les informations personnelles identifiables (IPI) qu‘elles ont stockées et traitées dans l‘ensemble de l‘entreprise. Les registres des activités de traitement - y compris les finalités du traitement, les catégories concernées et les délais prévus - doivent être conservés et mis à la disposition de l‘autorité de contrôle sur demande.
Une telle exigence peut constituer un défi pour une entreprise classique où les données clients sont stockées dans des systèmes multiples, souvent cloisonnés, ce qui implique des formats et des niveaux de qualité différents, tous utilisant des définitions et des conventions de données différentes.
Ensuite, les entreprises doivent non seulement protéger leurs données, mais aussi les ouvrir, en utilisant des technologies d‘intégration de données et de services de données. C‘est d‘autant plus important que, selon les termes du GDPR, les individus ont le droit de demander aux organisations de leur fournir toutes les données pertinentes qu‘elles détiennent sur eux.
Une personne peut également demander : le "droit à l‘oubli", des corrections si les données sont inexactes et des données pertinentes qui lui sont fournies dans un format lisible par machine.
Enfin, une personne a le droit de demander que ses données soient portables, de sorte qu‘elle puisse les transférer d‘un système de traitement électronique à un autre sans en être empêchée par une entreprise. Les données qui ont été "fournies" par la personne et celles qui ont été "observées" - par exemple sur son comportement - entrent dans le champ d‘application.
Un plan d‘action
Que doit faire une entreprise ? Voici quelques mesures qu‘une entreprise peut prendre pour se préparer au GDPR :
Étape 1 : Définir une politique
L‘un des points les plus importants pour commencer ce voyage est la définition de la politique de votre entreprise. Le GDPR comporte un ensemble d‘attributs de politique qui doivent être définis systématiquement, tant sur le plan commercial (c‘est-à-dire le droit au consentement et ce qu‘il signifie) que sur le plan technique (nom, adresse, etc.). Cette étape cruciale - où la politique et les règles utilisées pour la mettre en œuvre se rencontrent - doit être documentée de manière à pouvoir être mise en œuvre. La définition d‘une politique est également l‘étape au cours de laquelle les attributs de données spécifiés qui soutiennent la politique sont définis.
Étape 2 : Automatiser la recherche de données
Une fois la politique définie, une solution numérique doit permettre la découverte automatisée des données clients pertinentes dans un certain nombre de bases de données, d‘applications, de big data et de magasins de données cloud , etc. Elle doit également utiliser des capacités d‘analyse flexibles, performantes et évolutives pour découvrir où réside le client potentiel pertinent.
Étape 3 : Comprendre la prolifération des données
Comme indiqué précédemment, la prolifération des données est un défi majeur pour les données clients pertinentes, car elles sont souvent extraites des systèmes sources et copiées dans d‘autres systèmes pour un traitement ultérieur. Ces autres systèmes se situent souvent en dehors de tout processus de gouvernance formel, ce qui se traduit par une visibilité réduite, voire inexistante, de ces données.
Étape 4 : Attribuer un score de risque
Le GDPR exige désormais qu‘un score de risque soit généré sur la base de la compréhension et du mouvement des données clients pertinentes. Un score de risque doit être généré à partir d‘un certain nombre d‘attributs différents de la sécurité des données, notamment
- Protection des données Disponibilité
- Existence des données
- Volume de données
- Prolifération des données
- Accessibilité des données
Une entreprise peut calculer un score de risque en prenant en considération les attributs ci-dessus, ainsi que d‘autres facteurs. Ce score permet aux entreprises de hiérarchiser l‘ordre dans lequel les données clients pertinentes doivent être traitées. Un score élevé signifie qu‘une source de données nécessite une attention urgente, tandis qu‘un score faible signifie qu‘elle peut attendre.
Étape 5 : Passer à l‘action
Une fois qu‘une entreprise a défini la politique et identifié l‘endroit où les données ont été stockées, elle doit prendre des mesures adaptées au risque que représentent les flux de données. Le plus difficile est sans doute de savoir comment intégrer au mieux les données provenant de sources multiples et disparates, d‘appliquer les protections nécessaires et de les maintenir synchronisées. L‘Enterprise Integration Cloud de SnapLogic est conçue pour faciliter le travail d‘intégration, de sécurisation et de synchronisation des données provenant des applications cloud , des bases de données, des médias sociaux, de l‘IoT, des magasins de données et d‘autres points finaux, afin qu‘une entreprise puisse plus facilement se conformer au GDPR.
Prochaines étapes
La date limite du GDPR approchant, de nombreuses entreprises sont encore en train de déterminer comment il les affecte et d‘élaborer des plans pour se mettre en conformité. J‘espère que mon résumé aidera un plus grand nombre de personnes à prendre conscience de l‘impact de ce règlement sur leur entreprise. Il ne s‘agit pas d‘un document exhaustif ou normatif. Nous continuerons donc à partager des informations supplémentaires à l‘approche de la date limite. Pour en savoir plus sur le GDPR, Wikipedia est un bon point de départ.