GDPR : Quelle méthodologie adopter pour la gestion des données non structurées ?

Avis d'expert [4 min]

 

Raphael Feddawi

Responsable Architecte Avant-vente chez AntemetA

 

La GDPR n’est pas uniquement l’affaire de la DSI. Cette dernière n’est qu’un maillon d’une chaîne qui regroupe l’ensemble des services d’une entreprise (légal, RH, DG, etc…). En effet, chaque salarié peut se retrouver en possession de données à caractères personnel. C’est pourquoi ce chantier prend une dimension plus importante et rajoute de la complexité dans la mise en conformité.

Un texte encore trop flou.

Si les grands contours du règlement ont été définis, les précisions peinent à arriver. Fin 2016, le G29 publiait les trois premiers guides d’implémentation. Pour deux d’entre eux (Droit à la portabilité (article 20 du GDPR) et le régime du Data Protection Officer (DPO)), il s’agit de prérequis à l’implémentation de la GDPR. Quid du risque de hors sujet ou du bon moment pour se lancer ?

Choisir la bonne méthodologie ou les bons prestataires n’est pas simple. Il suffit de taper GDPR ou RGDP sur internet pour constater qu’il existe une myriade de prestataires de services, de consultants experts et de logiciels disponibles sur le marché. Tout ceci peut réellement donner le tournis. De ce fait, par quoi commencer sans paniquer ?

De la théorie à la pratique : les données non structurées.

Prenons un exemple concret. Les entreprises disposent de deux types de données, les données structurées (stockées dans des bases de données) et les données non structurées (Filer, NAS, messagerie,…).
Les données non structurées sont celles qui ont toujours posées le plus de problème dans leur gestion.  La méthodologie éprouvée s’appuie sur trois étapes :
Cartographier : L’ensemble des services d’une entreprise doit commencer par se mettre d’accord sur la criticité des données afin de constituer un dictionnaire (référentiel).

La cartographie consiste à réaliser un audit afin, d’une part, de gagner en visibilité sur les données non structurées critiques pour l’entreprise et d’autre part, de valider l’accès des utilisateurs à ces données (exemple de l’utilisateur qui change de service et garde les droits sur des répertoires historiques). Cela répond, en partie, à l’obligation de tenir un registre de traitements.

La tenue de ce registre nécessite aussi d’auditer, de mettre à jour et de sensibiliser l’ensemble des employés afin de garantir la maîtrise et le contrôle des droits des différents salariés sur les données traitées tant dans le cadre de changements internes que lors de départs de la société.
Les entreprises doivent aussi assurer la gouvernance des traitements et être en mesure de documenter le pilotage ainsi que le monitoring de leur conformité. D’où la nécessité de s’inscrire dans un cycle d’amélioration continu type PDCA (Plan, Do, Check, Act) et de se doter d’un DPO.

Gérer : La difficulté est de déterminer les données dont j’ai réellement besoin « Je jette ou je garde ? ». En effet, l’enjeu est de pouvoir hiérarchiser les données, leur appliquer un cycle de vie et d’enrichir le dictionnaire.

Le traitement de données doit donc se limiter, par défaut, au strict nécessaire. Cela concerne la quantité de données collectées, la diversité des finalités, la limitation des durées de conservation ou le nombre de personnes habilitées à y accéder.

L’objectif est de répondre à deux principes : « le privacy by design » (penser « protection de la vie privée » dès la conception d’un produit, d’une offre, d’un service) et le « privacy by default » (l’entreprise, devra garantir que, par défaut, les données qu’elle traite seront conformes au GDPR).

Rechercher/Retrouver/Restituer : Cette étape répond à plusieurs points clés du règlement GDPR : droit d’Accès, droit de Rectification, droit à l’Oubli et droit à la Portabilité. Il est indispensable de disposer d’outils de recherche intelligents s’appuyant sur un dictionnaire enrichi (étape précédente) pour retrouver l’intégralité des données personnelles d’un individu, répondre aux demandes et les restituer.
En cas de compromission des données (autre prérogative du règlement), vous pouvez produire un rapport sur les données touchées (catégories, combien de personnes) et rechercher des preuves en cas de litige. Vous répondrez également à l’obligation légale de notification en cas de faille de sécurité sur les données. Enfin, vous pourrez avoir une action vis à vis de vos sous-traitants qui ont une obligation concernant les données que vous leur avez communiqué.

La GDPR est une évolution de ce qui existait jusqu’alors (directive de 1995). La loi s’adapte aux nouveaux usages, elle vise à limiter les débordements vécus ces dernières années. Elle permet d’apporter de la méthodologie, de la rigueur, de la transparence dans l’ensemble de l’entreprise. Avec la GDPR, les entreprises vont mieux s’organiser et s’entourer en choisissant des prestataires experts. A ces derniers, commencez par leur demander « quelle est votre méthode de travail ? ».

Partagez sur
 

Inscription à la Newsletter

 
 
 

Demander un audit à AntemetA

Remplissez le formulaire ci-dessous pour recevoir un audit de la part de notre équipe, afin de vérifier votre mise en conformité avec le nouveau règlement GDPR, qui est entré en vigueur en mai 2018.

 
 
 

Télécharger « GDPR : Quelle méthodologie adopter pour la gestion des données non structurées ? »

 
 
 

Téléchargez l’ebook « GDPR : 8 étapes pour se mettre en conformité »

Remplissez ce formulaire pour télécharger l’ebook « GDPR : 8 étapes pour se mettre en conformité ». Un email qui contiendra un lien direct pour télécharger l’ebook vous sera ensuite envoyé automatiquement sur l’adresse mail renseignée.