GDPR et gestion des données : cinq piliers pour réussir

Lorsque le Règlement Général sur la Protection des Données (GDPR, ou RGPD en français) entrera en vigueur en mai 2018, les entreprises devront être en mesure de suivre leurs données sensibles et de déterminer comment elles sont traitées dans leur supply chain informationnelle.

Elles devront formaliser les bonnes pratiques de gestion des données et tenir compte du respect de la vie privée dès la phase de conception ("privacy by design"). En d'autres termes, et dans un monde soumis à la GDPR, chaque nouveau service utilisant des données personnelles devra désormais être capable d'en assurer également la protection.

La GDPR aura des implications majeures sur les systèmes d'information de toutes les entreprises, en particulier vis-à-vis des bonnes pratiques en matière de gestion et de gouvernance des données.

S'attaquer aux 5 piliers de la GDPR

Le premier pilier concerne la capture et l'intégration des données. En effet, il est nécessaire de capturer et d'inventorier chaque donnée personnelle nominative (PII), ainsi que les données de consentement issues de n'importe quelle source de données, puis de les rapprocher pour obtenir une vue à 360 degrés de l'identité de chaque contact. Le challenge réside dans le fait que les entreprises connaissent généralement leurs clients ou employés dans différents contextes. Dans le contexte de la GDPR, la gestion des données de référence (MDM) est particulièrement indiquée pour réconcilier les données et gérer les consentements (opt-in) des contacts.

Ce consentement pouvant s'appliquer à plusieurs applications, les entreprises doivent donc les prendre en compte à plusieurs niveaux (campagnes d'emails, personnalisation de leur site internet avec offres ciblées, et par rapport à d'autres applications comme celles de facturation ou du service client). Tous ces éléments doivent être partagés par différentes applications. Le MDM permettra donc de réconcilier, protéger et créer une piste d'audit de données personnelles en un seul lieu, puis de les diffuser dans différentes applications.

Le second pilier, la classification et la cartographie des données impliquent de définir et catégoriser les données à considérer ; de les localiser dans le système ; et de déterminer d'où elles viennent, qui va les utiliser, et où. Les environnements de gestion des metadata permettent de créer cette cartographie des données. Grâce à cette approche, n'importe quel employé ou administrateur peut comprendre où se trouvent les données et leurs usages grâce à un glossaire, et pointer directement sur les fichiers ou les bases de données dans lesquelles elles sont gérées.

Troisième pilier : l'anonymisation et la pseudonymisation. Dans ce contexte, les toutes dernières capacités de sémantique permettent de détecter automatiquement la présence (ou l'absence) de données sensibles comme un numéro de carte de crédit, au sein de n'importe quel flux de données. Grâce à ces innovations technologiques, une entreprise est alertée de potentiels problèmes de confidentialité de données, et son attention est attirée sur certaines sources de données à des fins de conformité vis-à-vis de la GDPR. Elles peuvent alors se poser la question essentielle : est-il vraiment nécessaire que j'expose ces données sensibles dans un tel contexte, et ai-je obtenu la preuve du consentement pour procéder ainsi ?

Le quatrième pilier, lié à l'exploitation et à la certification en libre-service, favorise la délégation d'autorité d'un expert, comme le délégué à la protection des données, à un utilisateur métiers. Par exemple, un ingénieur commercial pourrait être idéalement placé pour garantir que les données d'un de ses contacts sont pertinentes et à jour ; de même qu'un responsable de campagne marketing qui souhaite enrichir sa base de données avec de nouveaux contacts provenant d'un tiers pourrait être tenu responsable de vérifier et de pouvoir prouver qu'un mécanisme de consentement ait été mis en place par le partenaire avec qui il travaille. Afin de s'assurer que n'importe qui dans l'organisation puisse tirer parti des données personnelles en toute conformité, l'entreprise devra alors fournir des applications en libre-service aux différents départements pour plus d'autonomie et de responsabilisation.

Enfin, le partage et la portabilité des données constituent le dernier pilier de la GDPR. Il faut permettre aux clients et autres contacts d'accéder, de solliciter des rectifications, la suppression (dans le cadre du droit à l'oubli), et de récupérer ses données personnelles au format électronique, comme la réglementation les autorise. Pour simplifier ces opérations, la mise en oeuvre d'un outil d'intégration de données est fortement recommandée.

Prêt aujourd'hui et pour demain

Alors que la date d'entrée en vigueur de la GDPR approche, les entreprises réalisent la menace que cette réglementation pourrait représenter pour leur activité, et l'ampleur du préjudice financier en cas de non-conformité. Il ne suffit pas de se protéger juridiquement ni d'établir des règles et processus sur papier, il faut aussi automatiser les contrôles et les chemins d'accès sur les données concernés. Leur priorité doit donc se focaliser sur la mise en place d'une plateforme de traitement de données. Combinée à la mise en place de bonnes pratiques de gouvernance des données, elle sera le meilleur outil pour le respect des termes de la GDPR. Un enjeu réglementaire aujourd'hui, mais qui lui permettra en même temps de mieux gérer son capital de données ainsi que d'établir des relations personnalisées, sur la base de la confiance, avec ses clients et employés.

@jmichel_franco 

En savoir plus sur https://www.lesechos.fr/idees-debats/cercle/cercle-172492-gdpr-et-gestion-des-donnees-cinq-piliers-pour-reussir-2105553.php#o8PLMD1mPLDA4bSE.99