Le RGPD, entré en vigueur en mai dernier, impose désormais aux organismes concernés de veiller à la sécurité des données personnelles de leurs clients, fournisseurs, salariés, etc. La nouvelle réglementation relative à la protection des données individuelles, laquelle est maintenant commune à l’ensemble des pays de l’Union européenne, vient remplacer un texte légiférant en la matière depuis plus de 20 ans. Ce texte, qui avait été adopté alors qu’à peine 100.000 foyers français étaient équipés d’une connexion à internet, se voit donc remplacé par le RGPD. Désormais, les organismes publics comme privés sont contraints par de nouvelles normes en matière de sécurisation et de traitement des données personnelles relatives à leurs utilisateurs. Mais pour protéger correctement ces données sensibles, encore faut-il savoir les localiser et identifier à quel moment elles sont sollicitées et analysées par le système informatique d’un organisme : c’est ce qu’on appelle la cartographie des données, notion essentielle dans l’application de la Réglementation générale relative au traitement des données personnelles.
Les données personnelles soumises à l’application du RGPD
Pour un organisme, qu’il relève donc du public comme du privé, il devient donc essentiel de se mettre en conformité avec les nouvelles exigences de l’Union européenne en ce qui concerne le traitement des données personnelles. Nul besoin de rappeler que les sanctions en cas de violation du RGPD sont particulièrement lourdes, les amendes pouvant aller jusqu’à 4% du chiffre d’affaires mondial total d’une société. Cependant, comment se mettre au diapason avec ce nouveau règlement sans identifier en amont les données personnelles dont dispose un organisme ? Cet étape préliminaire à l’application du RGPD peut être particulièrement laborieuse, d’autant plus si la société en question ne détient aucun catalogue de ces informations sensibles et parfois même, aucune information sur leur traitement. En outre, la multiplication des sources de données et la complexité des applications les traitant (app mobiles, progiciels outils de Data Management), rend parfois difficile leur identification et le traçage de leur parcours dans le système informatique d’une société.
La cartographie des données : un vaste chantier pourtant indispensable
Concrètement, sans cartographie des données, c’est-à-dire sans un inventaire précis des données personnelles, de leurs composants, mais aussi de leurs traitements, de leurs flux et des différents acteurs qui les traitent, il apparaît impossible pour un organisme d’être certain d’être en conformité avec les exigences du RGPD. Le vaste chantier qu’est la cartographie des données, plus ou moins complexe selon la taille des organismes et leurs activités, est pourtant une tâche indispensable pour pouvoir répondre aux nouvelles règles en la matière. De plus, les entreprises étant désormais tenues de fournir rapidement aux utilisateurs en faisant la demande l’ensemble de leurs données personnelles (en vertu de la disposition relative à la portabilité des données), comment procédera-t-elle si elle ne peut localiser rapidement les systèmes de stockage de ces informations ? Idem pour la sécurisation des données, domaine renforcé par les nouvelles dispositions du RGPD. Si l’organisme ne parvient pas à identifier clairement le flux des données personnelles de ses utilisateurs, il lui est alors impossible d’en garantir la sécurité.
Cartographier ses données en s’appuyant sur des solutions de datamining
Il apparaît donc indispensable pour tout organisme de cartographier ses données en s’appuyant sur des solutions de datamining, telle que celle présentée sur le site https://donnees-rgpd.fr/cartographie-donnees-personnelles-sensibles/. Faire appel à des Datascientists permet de réaliser un audit complet des données personnelles d’une société, et de classer par niveau de criticité les termes problématiques renvoyant à des données particulièrement sensibles, dont il faudra assurer un traitement strict et hautement sécurisé. Des Datascientists expérimentés établiront une liste précise des mots sensibles détectés, ainsi que leur fréquence dans le flux de traitement des données personnelles. Il en ressortira une méthodologie de traitement de ces informations sensibles adaptée à l’entreprise en question et son secteur d’activité, indispensable à toute société pour répondre aux exigences du RGPD.