RGPD ou comment gérer l’accountability dans le temps
Depuis la promulgation du règlement général sur la protection des données (RGPD) le 27 avril 2016 et son entrée en application, des investissements ont été consentis par les responsables de traitement pour mettre en place des plans de remédiation juridique, organisationnel et technique afin d’assurer leur conformité et selon plusieurs niveaux de maturité (nomination du DPO, cartographie des activités de traitement, mise en place de processus et registres, sensibilisation et formation, gestion des consentements et opt-out).
Néanmoins, le RGPD introduit une notion importante d’accountability. Elle désigne l’obligation pour le responsable de traitement de mettre en œuvre toutes les mesures appropriées et les procédures internes afin de garantir, d’être à même de démontrer, à tout moment, le respect des règles relatives à la protection des données auprès des personnes physiques notamment mais également auprès de l’autorité de contrôle (CNIL).
Afin de respecter la réglementation et garantir une accountability en 2019 et au-delà, il faudrait envisager :
- des investissements continus
- la mise en place d’une gouvernance des données à caractère personnel afin de garantir, dans le temps, la transparence, l’exercice des droits des personnes, la qualité et le respect des durées de conservation des données.
Comment garantir la cohérence et la fiabilité des données pour optimiser les performances ?
La protection des données vs. la gouvernance des données
Jusqu’à récemment, la gouvernance et la protection des données étaient considérées comme deux objectifs indépendants. Mais depuis l’entrée en application du RGPD et sous l’effet d’une forte demande des personnes et des organismes, les responsables de traitement doivent répondre au besoin accru de protection des données tout en répondant aux demandes croissantes de transparence sur la manière dont les données sont collectées, agrégées, utilisées et partagées.
Pour atteindre ces objectifs, les responsables de traitement doivent adopter des solutions capables de mieux protéger les données, et fournir des rapports détaillés sur l’utilisation des données. C’est ainsi que la frontière entre la gestion et la sécurisation des données s’estompera.
La gouvernance des données, une application concrète du principe d’accountability
La gouvernance des données est définie par The Data Governance Institute comme étant « un système d’accountability et des droits de décision pour les processus relatifs aux données. Ce système s’exécute selon des modèles prédéfinis, qui décrivent les contextes et les schémas des processus, ainsi que les rôles et les responsabilités de chaque acteur desdits processus ».
Par analogie, la gouvernance des données peut parfaitement jouer le rôle à la fois d’orchestrateur et de garant du respect des mesures de sécurité techniques et organisationnelles prédéfinies pour chaque activité de traitement de données à caractère personnel. En effet, l’accountability sera prouvée à la fois par les modèles d’exécution des processus prédéfinis en amont et la traçabilité, en aval, via les traces laissées par leur exécution sur les données.
De plus, la mise en place d’une stratégie efficace de gouvernance des données permet de réduire le risque de violation de données en limitant l’accès aux données. Elle permet de créer un cadre qui assure l’exactitude, la complétude et la cohérence des données à caractère personnel. Elle assure également la création de cartographies de données qui facilitent la gestion transversale des données à caractère personnel et l’exercice des droits des personnes concernées (consentement, oubli, …).
5 étapes pour cartographier vos données et en tirer plus de valeur.
La gouvernance des données à caractère personnel, quel(s) outil(s) choisir ?
En effectuant une rétrospective de la multitude de solutions de conformité au RGPD et outils du DPO proposés sur le marché, on peut se demander si le fait qu’il existe autant de solutions n’est pas justement en lien avec le fait qu’aucune ne permet une gouvernance des données à caractère personnel !
Au vu de l’impact architectural majeur du RGPD sur les organisations, la solution idéale ne peut se résumer à un outil proposé par un tel ou tel éditeur; chaque responsable de traitement doit mettre en place une approche ou une architecture en fonction de son contexte et ses spécificités (activité, organisation interne, processus RGPD, capacité du SI).
Umanis, ESN leader de la data en France, forte de son expérience en projets de mise en conformité RGPD en France et à l’international et Blueway éditeur Français d’une solution complète de gouvernance de données (ETL/ESB, BPM, MDM, API Management) s’associe pour proposer une offre complète :
- Une solution aux capacités d’intégration (ETL, ESB, API Management) qui permettent de se connecter aux applications et bases de données productrices et/ou consommatrices de DCP et de centraliser les consentements, preuves de formation ou d’effacement.
- Un module de MDM construit en un point central les différents référentiels et vues 360° : personnes (salariés, clients, prospects, …), applicatifs, partenaires, juridiques, et de gérer la qualité des données « golden records ».
- Sa fonctionnalité BPM donne la possibilité au DPO et responsable de traitement d’implémenter tous les processus internes RGPD (activité de traitement, violation, exercice des droits), définir la gouvernance globale (utilisateurs, groupes, rôles et privilèges) et de suivre le plan de mise en conformité.
La gouvernance des données, au-delà du RGPD
Il est toujours préférable d’utiliser la carotte plutôt que le bâton ! En effet, au-delà des risques qu’encourent les responsables de traitement en cas de non-respect de l’obligation d’accountability introduite par le RGPD, la mise en place d’une gouvernance des données peut être bénéfique sur plusieurs axes (en améliorant le ROI) :
- Aider les entreprises à mener à bien leurs initiatives stratégiques (ventes, marketing, …). Par exemple, la mise en place d’une stratégie omnicanale et le développement d’une expérience client hyperpersonnalisée se heurtent souvent à la problématique de la qualité des données clients.
- Améliorer l’efficacité des équipes internes (achats, RH, commerce) en améliorant la qualité des bases de données et des systèmes opérationnels (CRM, SIRH, ERP,).
- Améliorer la fiabilité des analyses analytiques et prédictives des organisations en alimentant les datawarehouse et datalake avec des données de meilleure qualité.
Échangez sur le Data Catalog avec un expert Blueway !