La GDPR est active le 25 mai prochain !

 
Le règlement général sur la protection des données (RGPD, ou GDPR en anglais) va entrer en vigueur le 25 mai prochain, soit dans un mois tout juste.
 
Comme décrit dans notre post sur le sujet, ce règlement change pas mal la donne et requiert de la part de toute entreprise active en Europe de revoir comment elle gère les données à caractère personnel qui sont collectées et traitées dans le cadre de ses activités (qu’elles soient commerciales ou pas). Selon l’alinéa 6 de l’article 83, en cas de non-respect, le règlement donne aux régulateurs le pouvoir d’infliger des sanctions financières allant jusqu’à 4 % du chiffre d’affaires mondial annuel d’une entreprise ou 20 millions d’euros (le montant le plus élevé étant retenu). Ce qui est loin d’être une paille…
 
Quant à la Suisse, la révision totale de la Loi sur Protection des Données (ou LPD) lui permettra de ratifier la convention révisée du Conseil de l’Europe sur la protection des données STE 108 et de reprendre la directive européenne (UE) 680/2016 relative à la protection des données (le fameux GDPR) dans le cadre de poursuites pénales. Elle y est tenue en vertu de l’accord de Schengen. La LPD révisée se rapprochera également des exigences du règlement (UE) 2016/679. Ces travaux sont indispensables pour que l’UE continue de reconnaître la Suisse comme un Etat tiers ayant un niveau de protection des données suffisant pour que la possibilité d’échanger des données avec elle soit préservée.
 
En gros, qu’on soit une entreprise européenne ou suisse, il s’agit désormais de se conformer aux directives de la GDPR. Et il s’agit de le faire sérieusement.
 

GDPR, comment faire ?

Comment s’assurer de la conformité du traitement des données à caractère personnel (telles que définies dans la GDPR) quand on est une entreprise ? Si on a des moyens et qu’on est un des GAFAM, ce problème touche directement le core business, ce qui est par essence un vrai problème. Mais cela fait longtemps que des équipes entières tentent de résoudre la quadrature du cercle et y sont a priori parvenus.
 
Dans tous les cas, cela reste compliqué et il est plus que probable que les revenus directement issus du traitement du profiling des utilisateurs (notamment pour la publicité ciblée) soient quelque peu impactés en fin de compte (petite pensée à FaceBook et ses récentes déconvenues). Mais bon, qui va les plaindre compte tenu de leurs moyens financiers, techniques et humains. Ceux-là devraient donc s’en sortir et réussir leur « conversion », d’une façon ou une autre.
 
Mais pour toutes les autres ? En fait ce n’est pas si simple. D’abord il convient de déterminer si des données à caractère personnel sont effectivement collectées, si oui lesquelles, par quel biais, comment sont-elles traitées et stockées. Premier défi.
 
Une fois tout ceci établi, pour respecter l’esprit de la GDPR, il faut être en mesure de pouvoir tracker les données (devoir d’annonce en cas de fuite), de les lister et de les discriminer en fonction d’un utilisateur ou un autre, de les extraire et de les transmettre à tout utilisateur le demandant (droit à la portabilité) et, si nécessaire, de les supprimer en garantissant à l’utilisateur que c’est le cas (droit à l’effacement). Deuxième défi, autrement plus compliqué que le premier si l’entreprise a cédé aux sirènes du « as-a-service ».
 
Mais s’il est relativement aisé de lister les données directement collectées par l’entreprise (du moins en théorie), comment vérifier que toutes les données collectées aient un caractère sensible (ou pas), comment savoir quelles sont celles collectées par les entreprises tierces (telles celles gérant le ciblage publicitaire ou l’analyse de l’utilisation), comment savoir où elles les stockent et du coup comment les récupérer et/ou les supprimer si nécessaire. Troisième défi, et pas le moindre.
 

CALYPS peut aider

Pour relever ces défis il est nécessaire de passer par un système du type Master Data Management (ou MDM) qui décrit un ensemble de concepts et de processus visant à définir, stocker, maintenir, distribuer et imposer une vue complète, fiable et à jour des données référentielles au sein du système d’information de l’entreprise, indépendamment des canaux de communications, du secteur d’activité ou des subdivisions métiers ou géographiques.
 
Avec un MDM on résout au moins deux défis sur trois : on tracke, on liste, on centralise et on normalise les données de référence ; et on peut les transmettre à qui de droit, à tout moment. Quant à les supprimer, c’est un peu plus complexe si une partie tierce est dans la boucle, mais cela simplifie déjà grandement la donne car on peut agir précisément et facilement cibler le fournisseur incriminé (si nécessaire). Cherry on the cake, on répond aussi à la contrainte de la protection des données dès la conception (ou security by design) qu’impose la GDPR.
 
Avec une technologie comme Qlik, tracker et collecter les données, les analyser, les normaliser, les centraliser et les visualiser n’est pas compliqué (bien au contraire). Gérer une gouvernance et s’assurer qu’elle est suivie non plus. Grâce au moteur associatif QiX, il est facile d’identifier les données qui « se perdent » et d’agir en fonction. Enfin, grâce au savoir-faire CALYPS et à ses services, il devient aisé de rapidement monter un MDM et de l’exploiter sans toucher aux systèmes existants. Ce qui permet de le faire évoluer ensuite jusqu’à pouvoir résoudre tous les défis. Tout ça avec une seule plateforme et l’aide de CALYPS.
 
N’attendez donc pas qu’il soit trop tard et prenez le taureau par les cornes, sinon c’est lui qui vous surprendra. Et vu les tarifs, ça peut faire très mal…
 
KABE

Vos données ont de la valeur !

La Data Intelligence est destinée aux gestionnaires, décideurs et dirigeants d’entreprise. Il s’agit de la mise en œuvre des moyens, outils et méthodes destinés à fournir l’information utile pour décider et agir en toute connaissance de cause. Mettez-toutes les chances de votre côté en vous appuyant sur des professionnels de la donnée.

Les experts CALYPS sont là pour vous aider