French

Dans le cadre de la GDPR, les outils technologiques mis à disposition dans l'organisation doivent viser à répondre aux besoins des responsables de la vie privée pour tout ce qui concerne les systèmes d’information informatiques. On peut de manière globale discerner trois types de profils qui auront un rôle à tenir dans la mise en conformité de leur organisation:

  1. Le DPO : il est le correspondant et le garant vis-à-vis des clients du respect de leurs droits. A ce titre, il doit :
    1. avoir une vue exhaustive de l’ensemble des données personnelles gérées par l’entreprise
    2. informer et transmettre aux personnes les données qui les concernent, sur leur demande
    3. répondre aux demandes des personnes en termes de modification ou de suppression des données
    4. s’assurer de la légalité des données collectées par l’entreprise
  2. Le responsable des traitements : il est le garant :
    1. de la conformité de l’usage des données aux finalités déclarées des traitements
    2. de la traçabilité des flux de données au sein des différents systèmes d’information
    3. du respect des règles de conservation des données dans le temps
  3. Le responsable de la sécurité : il est le garant :
    1. de la minimisation des données utilisées dans lesdits traitements
    2. de la protection de la confidentialité des données dans les bases de production
    3. de la protection de la confidentialité des données lors des copies et/ou transfert de données

rgpd rôles

Inventaire des données personnelles

Pour permettre (et faciliter) la mission récurrente de ces 3 métiers, il faut mettre en place des technologies d’analyse automatique des bases de données ou des fichiers afin :

  1. de récupérer et de maintenir à jour une description technique des données (métadonnées) des applications
  2. de sélectionner les données personnelles
  3. de définir des catégories
  4. de classer chacune des données personnelles dans une des catégories définies

Le résultat de cette étape est l’obtention d’un référentiel des données reprenant l’ensemble des descriptions des données des applications analysées.

Inventaire des traitements

La mise en oeuvre des technologies d’analyse automatique des codes sources des programmes permet d’identifier de manière détaillée les programmes qui utilisent les données personnelles. Les résultats de ces analyses viennent compléter le référentiel des données.

Les outils d’utilisation du référentiel permettent de construire une représentation telle qu’illustrée ci-dessous, montrant les liens entre les données personnelles et la finalité des traitements :

Nom <-> Facturation

Date de naissance <-> Renouvèlement

Banques <-> Paiements

Données structurées et non structurées

D’un point de vue technologique, tous les éléments décrits précédemment concernent ce qu’il est convenu d’appeler « les données structurées », c’est-à-dire celles qui sont gérées dans les bases de données classiques. Toutefois, ces dernières ne représentent environ que 40% des informations qui circulent dans les entreprises, les 60% restants étant des informations « non structurées » : textes, images, etc.

Mais pour répondre aux exigences de la réglementation, il faut que les entreprises se préoccupent également de ce qu’elles racontent au sujet des personnes dans les milliers de textes qu’elles produisent ou stockent. Dans ce domaine, les organisations se heurtent à un degré de complexité infiniment plus élevé que dans les bases de données. En effet, par essence les mots des textes sont ambigus : par exemple, le mot « Washington » dans un texte peut désigner une personne, un lieu (état ou ville) ou une organisation lorsqu’il désigne le gouvernement américain.

Pour répondre à ces enjeux et permettre aux entreprises de relever le défi, Rever développe REAL GDPR Software (RGS), une suite logicielle complète qui permet aux organisations une mise en œuvre à la fois souple et fonctionnelle des consignes imposées par le règlement européen.

Ce texte est extrait du Livre Blanc Utilisation des solutions de Rever pour la mise en conformité des entreprises vis-à-vis du Règlement Général sur la Protection des Données.

 

banner white paper rgpd

Mots clés: 

Auteur(s): 

Dominique Orban de Xivry