L’identification des données personnelles : un processus au coeur du projet RGPD

Depuis l’entrée en vigueur du RGPD en mai dernier, l’identification des données personnelles est au coeur de toutes les attentions. Il faut dire que sa bonne réalisation est essentielle à la mise en conformité d’une entreprise avec les nouvelles exigences du Règlement général appliqué au traitement des données personnelles. En cas d’échec, les sanctions peuvent être importantes, jusqu’à 4% du chiffre d’affaires total d’une société, d’où l’importance d’établir une cartographie complète des informations personnelles traitées par un organisme, qu’il soit privé comme public.

 

L’identification des données sensibles : étape-clé du projet RGPD

 

Depuis le 25 mai 2018, les entreprises européennes sont tenues d’assurer une sécurisation renforcée des données personnelles de leurs utilisateurs, ainsi qu’un traitement conforme aux nouvelles exigences du RGPD. Mais comment répondre à cette réglementation stricte sans avoir en amont procédé à l’identification des données personnelles en question ? Cette étape, clé de voûte du projet RGPD, permet à un organisme de s’assurer que les données personnelles ont été correctement recensées, c’est-à-dire que les différentes typologies d’informations relatives aux utilisateurs ont été convenablement listées et que leur flux dans l’entreprise a été identifié et retranscrit de manière fidèle. C’est ce qu’on appelle la cartographie des données. Plusieurs approches, pour la plupart complémentaires, permettent à une entreprise de s’assurer de la bonne conformité de son processus de traitement des données personnelles avec les exigences du RGPD.

 

L’identification des données personnelles, mais également de leurs traitements et de leur localisation exacte dans le système informatique d’une société devra donc recenser plusieurs informations, indispensables pour structurer le projet de conformité RGPD d’une entreprise, à savoir :

 

  • Les différentes catégories d’utilisateurs concernés ;
  • Les types de données personnelles collectées par l’organisme ;
  • Les traitements appliqués à ces données à caractère personnelle ;
  • Le parcours de ces données personnelles dans l’entreprise : les composants du système informatique prenant en charge la collecte, le transfert, le stockage et les traitements des données (assurés par une solution logicielle ou bien physique) ;
  • Les finalités de chaque collecte ou traitement de données.

 

Identifier convenablement les données personnelles grâce à une solution de datamining

 

Facteur-clé dans la réussite du projet d’une société quant à sa mise en conformité avec le RGPD, l’identification des données personnelles permet de définir le périmètre exact des opérations d’application juridique de la nouvelle réglementation, ainsi que des outils à déployer. Une solution de datamining comme celle présentée sur le site https://donnees-rgpd.fr/cartographie-donnees-personnelles-sensibles/ permet à un organisme de s’appuyer sur l’expertise de datascientists expérimentés, qui analyseront convenablement les données personnelles de manière à :

 

  • Recenser l’ensemble des sources de données personnelles, leur flux et leur sortie du système informatique, afin d’identifier s’il y a lieu les sous-traitants, qui devront également se mettre en conformité avec le RGPD ;
  • Identifier la nature des données personnelles afin d’isoler les données dites sensibles et d’en étudier les risques et impacts quant à la vie privée des utilisateurs ;
  • Déterminer la localisation exacte des données personnelles et les ressources sollicitées dans leurs flux et traitements, afin de définir le périmètre concerné par l’audit et renforcer le cas échéant les outils et procédures de sécurisation des données.

 

L’identification des données personnelles, tâche particulièrement sensible, nécessite l’intervention d’experts en la matière, qui pourront accompagner convenablement un organisme dans sa mise en conformité avec les nouvelles exigences du RGPD. En effet, tout écart d’interprétation de la nouvelle réglementation pourrait fausser l’ensemble du projet en conduisant à une mauvaise identification du périmètre des données personnelles et donc, une application erronée des solutions préconisées.