Comment développer des politiques, normes et contrôles [Étape 1 du RGPD]

La gouvernance des données n’est pas un concept récent. Cela fait des années que les entreprises structurent, protègent et analysent leurs données. Beaucoup d’industries strictement réglementées, comme l’industrie des services financiers ou l’industrie des sciences de la vie, ont commencé à travailler sur leur gouvernance des données pour résoudre les problèmes de conformité, afin de se conformer par exemple au BCBS 239, à la réforme Solvabilité II ou encore à l’HIPAA. Avec l’introduction du Règlement général sur la protection des données (RGPD) et d’autres réglementations relatives à la confidentialité des données à travers le monde, la plupart des entreprises, indépendamment de leur taille ou de leur secteur, doivent établir des bonnes pratiques en matière de gouvernance des données.

Nous avons mis en ligne un webinaire intitulé Étapes pratiques pour la mise en conformité au RGPD, disponible à la demande, sur les 16 étapes pratiques que vous pouvez adopter pour assurer la conformité au RGPD.

Télécharger Comment développer des politiques, normes et contrôles [Étape 1 du RGPD] maintenant
En savoir plus

Qu’est-ce que le RGPD ?

Introduit par l’Union européenne (UE), le RGPD concerne le traitement des données à caractère personnel de toutes les personnes concernées, y compris les clients, les employés et les prospects. Après une période de transition de deux ans, le RGPD est entré en vigueur le 25 mai 2018.

Le RGPD s’applique aux personnes concernées dans l’Union européenne, même lorsque les données sont traitées par des organisations opérant en dehors de l’UE, dans des juridictions comme les États-Unis, l’Asie-Pacifique, le Moyen-Orient et l’Afrique. La non-conformité au RGPD peut donner lieu à des amendes très lourdes pouvant s’élever à 20 millions d’euros ou 4 % du chiffre d’affaires mondial de l’entreprise, le plus élevé de ces montants étant retenu.

L’objectif du RGPD est de créer de meilleures politiques de protection des données et d’accroître la responsabilité des entreprises traitant des données à caractère personnel. S’appuyant sur une liste détaillée de 99 articles, le RGPD expose un ensemble de règles auxquelles les entreprises doivent se conformer. Ensemble, ces articles garantissent que les entreprises traitent les données à caractère personnel avec discernement, les protègent, en contrôlent la qualité et s’assurent que les personnes concernées sont bien conscientes de l’utilisation qui en est faite.

Mais la transition n’est pas aisée. Les nouveaux processus doivent être systémiques et en libre-service, et non plus ponctuels, manuels et intrusifs. Si votre entreprise est concernée par le RGPD, nous disposons d’un plan en 16 étapes complet et structuré pour vous aider à vous conformer à ce règlement.

L’Étape 1 de ce plan consiste à développer des politiques pertinentes pour renforcer le programme de gouvernance des données.

Développer des politiques, normes et contrôles

Chaque entreprise doit rédiger des politiques se rapportant directement ou indirectement aux articles du RGPD. Ces derniers abordent diverses disciplines telles que la propriété, la confidentialité, l’accès, la protection et la sécurité des données, la gestion des métadonnées, et la gestion de la qualité des données. Parmi les questions à résoudre, on peut citer :

  • Que sont les données à caractère personnel ? Où sont-elles traitées et pourquoi ? D’où viennent-elles et où vont-elles ?
  • Comment surveiller le consentement ?
  • Comment limiter le traitement des données à caractère personnel ?
  • Qui peut accéder à ces données, et comment cet accès est-il suivi et retracé ?
  • Comment masquer ou supprimer les données si le consentement n’a pas été saisi ou si le délai de rétention a expiré ?
  • Ces données sont-elles nécessaires ou facultatives ?

À moins qu’il n’y ait une raison d’effectuer manuellement ces tâches, le but est d’automatiser chacune de ces politiques sous une forme intégrée aux systèmes informatiques.

La plateforme Talend et sa suite de produits permettent de le faire simplement. Vous trouverez ci-dessous quelques exemples de contrôles relatifs au RGPD et les outils respectifs de Talend permettant de faciliter leur application.

Article 6 du RGPD licéité du traitement

L’Article 6 du RGPD oblige les services juridique et de conformité à approuver tout nouveau projet nécessitant le traitement d’informations personnelles lors de la « phase de conception ».

Outils pour vous aider dans cette tâche : Talend Metadata Manager et Talend MDM.

Article 7 du RGPD Conditions du consentement

Le consentement désigne le consentement explicite du client, indiquant sa volonté de partager des informations à caractère personnel. Il s’agit d’un aspect crucial de la conformité au RGPD et les entreprises doivent impérativement fournir des preuves que le consentement a bien été obtenu. Celui-ci ne peut plus être implicite et sa traçabilité est obligatoire afin d’indiquer quand et comment (téléphone, e-mail, etc.) le consentement a été obtenu. Si des clients optent pour un consentement partiel, il doit également être enregistré.

Outils pour vous aider dans cette tâche : Talend Data Quality, Talend Big Data, et Talend Master Data Management (MDM).

Article 9 du RGPD traitement portant sur des catégories particulières de données à caractère personnel

Les catégories spéciales désignent les données à caractère personnel telles que la race, l’origine ethnique ou les opinions politiques Le RGPD exige que ces paramètres spéciaux soient identifiés comme des éléments de données critiques (EDC). En vertu de l’Article 9, les services juridique et de conformité doivent approuver l’utilisation de catégories spéciales dès la « phase de conception » d’un projet.

Outils pour vous aider dans cette tâche : Talend Metadata Manager et Talend Data Quality.

Article 11 du RGPD traitement ne nécessitant pas l’identification

La garantie de l’anonymat de la personne concernée sous la forme d’un masquage des données constitue un pilier de la protection et de la sécurité des données (Article 11). Cela permet de protéger les informations confidentielles d’un éventuel vol de données. Il est crucial de mettre en place des politiques et normes compliquant l’identification d’un sujet de données pour préserver son anonymat. La définition claire des rôles et responsabilités ainsi que des droits administratifs afférents constitue une autre étape vers la restriction de l’accès aux données privées.

Outils pour vous aider dans cette tâche : Talend Data Quality et Talend Data Preparation

Article 30 du RGPD registre des activités de traitement

L’Article 30 du RGPD impose une piste d’audit claire des données sensibles dans une entreprise, y compris chez ses tierces parties. Cette obligation garantit l’existence d’un lignage des données et la compréhension parfaite de la chronologie et de l’historique du cycle de vie des données.

Outils pour vous aider dans cette tâche : Talend Metadata Manager

Étapes suivantes du développement de politiques relatives au RGPD

L’instauration d’un cadre politique de gouvernance des données vous garantit un contrôle sur vos données critiques. Ce cadre favorise l’alignement des équipes juridique, de conformité, de protection de la vie privée, et de gestion des données de l’entreprise. Il garantit que tout le monde est bien sur la même longueur d’onde avant de passer à l’étape suivante de la mise en œuvre.

Pour en savoir plus sur les prochaines étapes du plan en 16 étapes de Talend en vue d’assurer la conformité au RGPD, regardez ce webinaire à la demande. Ce webinaire approfondit chacune des 16 étapes et vous explique comment mettre en application les politiques et les normes.

| Last Updated: September 18th, 2019