GDPR : explorez l’univers des données personnelles

La conformité au GDPR nécessite un contrôle total des données personnelles dont dispose votre entreprise. Or, une étude Veritas Technologies montre qu’en 2017, 39 % des entreprises s’estimaient incapables de localiser les données en leur possession !
L’enjeu : déployer les bonnes solutions pour disposer d’une vision d’ensemble et gérer les droits associés. Mode d’emploi.

Pour une vision globale et continue des données personnelles détenues

Cinq mois après l’entrée en vigueur du GDPR, l’inventaire des données que possède votre entreprise a vraisemblablement été réalisé. Mais chaque jour, de nouvelles données personnelles s’accumulent dans les e-mails, les dossiers personnels des ordinateurs, les Clouds officiels ou non, les smartphones, les CRM, les outils de marketing… Comment actualiser votre inventaire au fil de l’eau sans vous trouver dans une situation d’urgence permanente ?

La première démarche à effectuer est de systématiser le processus de cartographie des données, en l’automatisant dans la mesure du possible. Il existe pour cela plusieurs familles de solutions. À commencer par les outils de Data Access Gouvernance (DAG), qui permettent d’automatiser la recherche et l’identification des données personnelles dans les espaces partagés de types réseaux sociaux d’entreprise ou bases de données. Ensuite, les plateformes de Master Data Management (MDM) permettent ensuite de migrer des données éparses vers un seul endroit pour éviter leur duplication. Des solutions d’une grande aide pour renforcer votre mise en conformité et simplifier vos processus.

Quelles données conserver ou supprimer ?

Le GDPR est clair sur ce point : l'entreprise ne peut conserver que les données véritablement utiles à son activité et aux collaborateurs pour accomplir leurs missions. Mais déterminer ce qui est vraiment utile à chaque entité, dans le présent ou dans le futur, nécessite des arbitrages constants, notamment en fonction de la base juridique choisie pour votre activité. Concernant les données acquises sans consentement explicite avant l’entrée en vigueur du GDPR, le doute subsiste : peut-on les conserver ? Pour trancher, il faudra vous appuyer sur votre base légale et le contexte d’acquisition. Une chose est sûre, les collaborateurs ont accès à de multiples données émanant de différentes entités, ce qui nécessite la mise en place de restrictions. Pour les données personnelles des collaborateurs, seuls les RH, managers et services financiers ou généraux pourront y avoir accès… et deviendront à leur tour responsables de cette data.

Pourquoi aller plus loin dans la gouvernance de la donnée ?

On ne le dira jamais assez : pérenniser la mise en conformité au GDPR est pour votre entreprise une opportunité de mieux gérer ses données, tout en consolidant une base qui vous permettra ensuite de vous lancer dans le Big Data et d’y dénicher des opportunités business. Pour Catherine Coq, Chef de Projet RH chez Orange, « une gouvernance des données est devenue indispensable pour la gestion des compétences : anticiper les pénuries, prévoir les formations, redistribuer les ressources en fonction des priorités. Ces données sont sensibles, et seul le respect du GDPR nous a permis de déployer un Master Data Management d’envergure. »

Les solutions MDM proposent en effet une gestion centralisée de la data pour propager simplement vos modifications. Elles permettent de définir les droits des applications et des personnes à utiliser ces données, vérifient le consentement associé et leur date de péremption. En conjuguant les solutions DAG et MDM à des prestations de conseil, vous déploierez simultanément la gestion des droits des personnes et les bases de la data intelligence.

Un conseil : faites-vous accompagner de l’expertise d’un spécialiste

Apprendre à gouverner la donnée et en tirer toutes les opportunités n’est pas un travail que vous devez nécessairement mener seul : votre entreprise peut être accompagnée de conseillers spécialisés. En premier lieu, lors du travail de paramétrage et d’ajustement de solutions DAG ou MDM. Ensuite, pour déterminer quelles données conserver ou éliminer, ce qui nécessite une réelle connaissance du règlement et de ses exigences : comprendre pourquoi une entreprise a un intérêt à collecter une donnée, puis s’assurer du consentement de la personne dont on collecte les informations ou du bien-fondé de la base légale retenue. Enfin, l’aide de spécialistes vous permettra d’assurer la passerelle entre le rassemblement de la data, sa surveillance, sa gouvernance et la mise en place de solutions de data intelligence en pleine conformité.

Le rassemblement et l’automatisation de la gestion des données ont un autre atout : renforcer la sécurité de la data en appliquant des solutions de cyberdéfense homogènes et sans couche inutile. Etes-vous prêts à remettre à plat votre politique de cybersécurité ?

 

Pour aller plus loin