Tout le monde en parle, ce qui a pour conséquence que tout paraît évident (« çà ne change pas le monde, sauf que… » – slogan percutant de Loto-Québec pour promouvoir la Lotto [loterie] 6/49).
Cependant, il y a souvent un écart important entre la communication externe et l’exacte réalité organisationnelle en interne. Ou, plus précisément, en matière de transition des règles existantes vers la mise en place de nouvelles règles de gestion sur ce sujet et à leurs applications.
La Commission européenne s’inquiète de la lenteur de la préparation à la mise en oeuvre de cette nouvelle directive : la RGPD.
La prise de connaissance des différents écrits à propos de ce sujet, peut laisser penser au « néophyte » qu’il s’agit seulement d’une problématique juridique. Ce point peut se confirmer dans son esprit par le fait que certains délégués à la protection des données (DPO), ainsi que certains intervenants à ce propos, sont des juristes. Ce qui n’est pas illogique dans la mesure où nous nous situons dans le domaine de la conformité.
La directive RGPD et sa transition en droit national impliquent pour certaines organisations de profonds changements dans leur mode de fonctionnement.
» DU BIG DATA A LA RGPD OU DE L’IMMENSITE
A LA PRECISION ET A L’EXACTITUDE »
A l’ère du Big Data, tout entité peut-elle s’enorgueillir de connaître techniquement (à 100 %) toutes ses bases de données ? Le même commentaire peut s’appliquer aux flux de données et à la conservation de ces dernières. Enfin, tout acteur n’aura pas personnellement la même définition à propos de la notion de « données sensibles » et une simple définition ne peut correspondre à chaque secteur d’activité et à chaque marché (national ou international).
Les points de vigilance pour l’entreprise :
- Confidentialité : respect des règles de protection de la clientèle (Loi informatique et libertés, CNIL…) : la collecte d’informations personnelles nécessite l’accord de la personne ou de la structure intéressée
- Structuration des données et continuité d’activité (PCA/PRA):
- Forte augmentation du volume d’informations, mais baisse de la qualité des données
- Tri nécessaire et identification des données sensibles, impliquant des changements organisationnels :
- Vigilance particulière sur la qualité des données utilisées pour les modèles internes et les plans de continuité de l’activité (PCA)
- Urbanisme des systèmes d’information : facteur de complexification des architectures SI avec la création de nouvelles bases de données, voire de nouvelles briques applicatives hétérogènes
- Impact des volumes sur les traitements statistiques et décisionnels
- Problème de stockage et d’accès à ces données : risques liés au recours aux services de Cloud Computing
- Cybercriminalité : vulnérabilité liée aux nouveaux points d’accès
Confère Slideshare Stephane Droxler, Associate at UDITIS S.A : http://fr.slideshare.net/StephaneDroxler/big-data-contrle-des-donnesv
A – La nécessité et l’attention à porter à la qualité des données :
- exhaustivité.
- pertinence.
- exactitude.
- gouvernance des données.
Les organismes doivent mettre en place un dispositif de gouvernance des données : art. 48 sur la fonction actuarielle et art. 19, 20, 244 et 265 du règlement 2015/35 qui précisent notamment les critères de qualité de données, la gouvernance, le répertoire des données…
B – Les objectifs à inclure obligatoirement dans la gouvernance des données :
- Responsabilisation et transversalité : intégration dans la gouvernance globale de l’organisme en associant plusieurs directions (DSI, Métiers).
- Harmonisation et cohérence de l’utilisation des données dans l’entreprise.
- Agilité : permettre une prise de décision rapide.
C – Les dispositifs de contrôle interne et de conformité contribuent également au contrôle de la qualité des données (combinaison des art. 41, 46 de la directive et art. 256 du règlement 2015/35).
Je vous invite à consulter la présentation d’ATOS Consulting and Technologies Services au sein de l’EIFR (European Institute of Financial Regulation) 15/09/2015 » Qualité des données dans le cadre réglementaire : Les enjeux de conformité et de performance. Développer et promouvoir une « smart regulation » à travers l’échange entre régulateurs et régulés » http://www.eifr.eu/files/file5059961.pdf
Le règlement général sur la protection des données (RGPD) impose aux entreprises françaises et européennes de revoir leurs pratiques de traitement des données clients, internes et externes.
A l’heure du big data, les entreprises sont amenées à gérer des flux de données de plus en plus importants ; la mise en place d’une réglementation se révèle une mesure nécessaire pour la préservation des données sensibles. Le RGPD se substitue à la directive sur la protection des données et prévoit de nouvelles conditions concernant la collecte, l’exploitation et le transfert des données, dont le non-respect entraînera de lourdes amendes. Toutefois, dans certains domaines, ses exigences restent vagues et il peut être complexe à mettre en œuvre. Pour y pallier, plusieurs entreprises ont nommé un délégué à la protection des données personnelles (DPO, Data Personal Officer), afin d’assurer son application. Le big data implique pour les entreprises la mise en oeuvre de moyens parfois difficiles à appliquer en interne : le délégué à la protection des données est un intermédiaire clé pour maîtriser les risques.
Le RGPD va modifier en profondeur le fonctionnement de tous les départements de l’entreprise (marketing, services RH, services juridiques, etc.). Il concerne les avis de confidentialité, les notifications de consentement ou encore les notifications de faille de sécurité. Dans les RH, l’indication « données personnelles » désignera désormais toute information permettant d’identifier une personne de façon directe ou indirecte (date de naissance, adresse IP ou nom). Les entreprises devront rendre ces données accessibles aux personnes concernées, permettre leur suppression – sous conditions –, et les informer sur leur durée de conservation et leurs mouvements. Les dirigeants cherchent à réajuster en conséquence leurs règles internes. Source : Undernews https://www.undernews.fr/libertes-neutralite/les-donnees-personnelles-en-entreprise-le-delegue-a-la-protection-des-donnees-comme-garant-de-leur-securite.html/amp
A consulter également :
Le délégué à la protection des données : un rôle essentiel — Cybercriminalité
Data Protection Officer : un gardien pour les données personnelles
Portrait Hélene Legras DPO AREVA « Le DPO est plus un profil du savoir être que du savoir faire »
La protection des données dans le monde
Les chief digital officer se multiplient, surtout en France
Data protection officer (DPO) : définition, formation et salaire
La fonction de DPO attise les convoitises et déclenche des luttes de pouvoirs dans les entreprises