Yves Pellemans, CTO d'Axians France
La GDPR, une suite logique aux mesures déjà en vigueur
Alors que nombre d'entreprises cèdent à la panique de la GDPR, il faut savoir raison garder. Inutile de crier au feu, la GDPR ne fait que renforcer la loi de confidentialité des données personnelles à laquelle toute entreprise française devait déjà se conformer dans le cadre de la loi informatique et libertés. Ainsi, le consentement et la transparence sur l'utilisation des données déjà requis dans la loi de 1995 sont accentués, le nouveau règlement exigeant la mise à disposition d'une information claire, intelligible et aisément accessible aux personnes concernées par le traitement de données.
En revanche de nouveaux droits apparaissent comme l'effacement des données et leur portabilité, c'est-à-dire le droit à toute personne de récupérer ses données ou de les transférer à un tiers. Autre nouveauté : la conduite d'une étude d'impact complète sur les données sensibles, faisant apparaître les caractéristiques du traitement, les risques et les mesures adoptées.
Mais relativisons. Si la GDPR présente des nouveautés, elle n'est pas, pour les entreprises françaises, le big bang annoncé par certains. En effet, pour la majorité d'entre elles le traitement, le stockage et la conservation des données à caractère personnel répondaient déjà aux normes iso 27000 et aux conditions de la CNIL. Enfin, la digitalisation entamée par les entreprises les a déjà contraintes à entreprendre tout un travail sur la gestion de la data.
Cartographier la donnée structurée et non structurée
Aussi pour répondre au renforcement des exigences et aux nouveautés de la GDPR, les entreprises vont devoir accroitre leur connaissance de la data. Concernant la donnée structurée, c'est-à-dire celle contenue dans les applicatifs métiers, les entreprises vont devoir mettre en place des outils et des bonnes pratiques pour identifier la donnée personnelle et garantir, en cas de demande d'un utilisateur, son extraction, son annulation, sa suppression et son anonymisation. Cette donnée, qui représente 20% de la data d'entreprise, est facilement auditable par les métiers ou par les éditeurs des applications.
En revanche, les nouvelles exigences de la GDPR sont plus complexes à mettre en œuvre sur les données non structurées. Totalement dispersées dans les entreprises, elles sont gérées par les métiers (RH, commerciaux, marketing, services généraux, etc.), par les utilisateurs internes et externes et sont stockées sur des serveurs de fichiers, dans des Dropbox, sur des disques durs externes, et autres. Il est donc très difficile de connaître leur lieu de stockage et d'identifier les personnes autorisées à les consulter. Les audits menés sur ces données non structurées sont généralement réalisés par des professionnels de l'infrastructure informatique qui, à l'aide d'outils, déterminent la nature des données présentent sur les serveurs de fichiers ou dans les PDF que ce soit à l'intérieur ou à l'extérieur de l'entreprise. Ils cartographient l'ensemble des datas, déterminent la nature de la donnée et identifient les droits d'accès. A l'issue de cet état des lieux, ils procèdent à des plans de remédiation définissant les droits d'accès selon la data. Par exemple, seules les RH pourront être autorisées à manipuler les données de permis de conduire des salariés provenant du service des véhicules de fonction de l'entreprise.
Aujourd'hui, ces données non structurées, qualifiées de ventre mou de la GDPR, représentent 80% des données de l'entreprise.
S'il ne reste plus que quelque mois pour se conformer à la GDPR, les organismes de contrôle devraient être cléments, en cas de non conformité, avec les entreprises qui auront engagé des plans d'actions et mis en place des outils pour réaliser tous les trois ou six mois des audits sur la gestion des données.
Et à ceux qui crient haro sur la GDPR, il est important de rappeler que contrairement au grand libéralisme américain sur la donnée, l'Europe a toujours eu une attitude protectionniste. La GDPR ne fait que renforcer sa culture !
Alors que nombre d'entreprises cèdent à la panique de la GDPR, il faut savoir raison garder. Inutile de crier au feu, la GDPR ne fait que renforcer la loi de confidentialité des données personnelles à laquelle toute entreprise française devait déjà se conformer dans le cadre de la loi informatique et libertés. Ainsi, le consentement et la transparence sur l'utilisation des données déjà requis dans la loi de 1995 sont accentués, le nouveau règlement exigeant la mise à disposition d'une information claire, intelligible et aisément accessible aux personnes concernées par le traitement de données.
En revanche de nouveaux droits apparaissent comme l'effacement des données et leur portabilité, c'est-à-dire le droit à toute personne de récupérer ses données ou de les transférer à un tiers. Autre nouveauté : la conduite d'une étude d'impact complète sur les données sensibles, faisant apparaître les caractéristiques du traitement, les risques et les mesures adoptées.
Mais relativisons. Si la GDPR présente des nouveautés, elle n'est pas, pour les entreprises françaises, le big bang annoncé par certains. En effet, pour la majorité d'entre elles le traitement, le stockage et la conservation des données à caractère personnel répondaient déjà aux normes iso 27000 et aux conditions de la CNIL. Enfin, la digitalisation entamée par les entreprises les a déjà contraintes à entreprendre tout un travail sur la gestion de la data.
Cartographier la donnée structurée et non structurée
Aussi pour répondre au renforcement des exigences et aux nouveautés de la GDPR, les entreprises vont devoir accroitre leur connaissance de la data. Concernant la donnée structurée, c'est-à-dire celle contenue dans les applicatifs métiers, les entreprises vont devoir mettre en place des outils et des bonnes pratiques pour identifier la donnée personnelle et garantir, en cas de demande d'un utilisateur, son extraction, son annulation, sa suppression et son anonymisation. Cette donnée, qui représente 20% de la data d'entreprise, est facilement auditable par les métiers ou par les éditeurs des applications.
En revanche, les nouvelles exigences de la GDPR sont plus complexes à mettre en œuvre sur les données non structurées. Totalement dispersées dans les entreprises, elles sont gérées par les métiers (RH, commerciaux, marketing, services généraux, etc.), par les utilisateurs internes et externes et sont stockées sur des serveurs de fichiers, dans des Dropbox, sur des disques durs externes, et autres. Il est donc très difficile de connaître leur lieu de stockage et d'identifier les personnes autorisées à les consulter. Les audits menés sur ces données non structurées sont généralement réalisés par des professionnels de l'infrastructure informatique qui, à l'aide d'outils, déterminent la nature des données présentent sur les serveurs de fichiers ou dans les PDF que ce soit à l'intérieur ou à l'extérieur de l'entreprise. Ils cartographient l'ensemble des datas, déterminent la nature de la donnée et identifient les droits d'accès. A l'issue de cet état des lieux, ils procèdent à des plans de remédiation définissant les droits d'accès selon la data. Par exemple, seules les RH pourront être autorisées à manipuler les données de permis de conduire des salariés provenant du service des véhicules de fonction de l'entreprise.
Aujourd'hui, ces données non structurées, qualifiées de ventre mou de la GDPR, représentent 80% des données de l'entreprise.
S'il ne reste plus que quelque mois pour se conformer à la GDPR, les organismes de contrôle devraient être cléments, en cas de non conformité, avec les entreprises qui auront engagé des plans d'actions et mis en place des outils pour réaliser tous les trois ou six mois des audits sur la gestion des données.
Et à ceux qui crient haro sur la GDPR, il est important de rappeler que contrairement au grand libéralisme américain sur la donnée, l'Europe a toujours eu une attitude protectionniste. La GDPR ne fait que renforcer sa culture !