Cet article vise à guider les personnes en charge de la conformité du Règlement Général sur la Protection des Données. Il explique comment trouver les données personnelles de façon exhaustive.
Tout d’abord, les données personnelles constituent toutes les caractéristiques qui permettent d’identifier un individu : adresse, nom, prénom, … Le RGPD vise à mettre en place des mécanismes de suivi, d’organisation et de sécurisation des données collectées par l’entreprise – sur l’ensemble de la chaine de traitement où transite la donnée : de la personne externe donnant l’information aux sous-traitants. L’idée est de responsabiliser les entreprises face à l’utilisation de données personnelles.
Des nombreuses problématiques soulevées
Les entreprises ont de nombreuses difficultés à détecter tous les emplacements où la donnée personnelle est présente au sein du Système d’Information : la difficulté d’identifier l’ensemble des lieux de stockage ou des processus non-parfaits et donc non-maîtrisés dans leur intégralité.
- L’ancienneté des systèmes empêchent de localiser l’ensemble des flux de données
- Le manque de documentation nécessite de longs travaux de recherches
- La multitude d’interlocuteurs complexifie le travail
- Le faire de manière déclarative provoque parfois un décalage et un manque d’actualisation chez certaines entreprises.
Maîtriser l’infrastructure pour maîtriser les données
Les prérequis / objectifs de la localisation des données :
- Tenir un registre de traitement: expliquant toutes les activités d’une entreprise qui manipulent les données utilisateurs, identifier les flux de données (de la collecte aux emplacements de stockage)
- Sécuriser la donnée(utilisateurs et d’identification) : une donnée non localisée = non-maitrisée = non-sécurisée
Vous pouvez retrouver les prérequis nécessaires ici.
Les méthodes pour identifier tous les lieux de stockage de données pour une mise en conformité RGPD
Concernant les méthodes que vous pouvez utiliser, voici deux possibilités :
- TOP – Down: Partir des services fournis au client et suivre le parcours de la donnée dans les composants de l’IT et des sous-traitants. Par ailleurs, il existe quelques désavantages : comme un risque de non-couverture si la donnée a été copiée ou déplacée en dehors de la chaine de traitement par exemple.
- Bottom – UP: Partir de l’ensemble de mes composants informatiques et identifier où se trouvent des données utilisateurs et potentiellement des données personnelles. C’est un travail plus fastidieux, mais il permet de s’assurer qu’il n’y a pas d’erreurs.
Notre expert vous propose un focus sur la méthode pour le Bottom – Up ici.
Industrialiser la démarche Bottom-UP
Le constat que nous pouvons faire : La démarche Bottom-UP est fiable mais chronophage, laborieux, et risque d’être ratée s’il est fait par un humain.
2 actions permettent de garantir un résultat plus efficace et moins coûteux.
1. Optimiser : prendre appui sur le guide BP RGPD sur la sécurité
Pour accompagner les entreprises dans cette obligation, la CNIL a publié un guide de la sécurité des données personnelles.
Ce guide couvre à la fois les aspects organisationnels et techniques. Le respect de ce guide ne constitue pas une garantie de conformité RGPD, mais apporte un ensemble de bonnes pratiques à respecter pour s’assurer d’une bonne sécurisation des données, entre autres : sécuriser les postes de travail, serveurs, réseaux, sites web, …
Tout ceci aide à la maitrise de son IT et fait donc gagner du temps quand il s’agit d’identifier l’emplacement de la donnée.
2. Automatiser : avec l’audit automatisé Corrium pour la mise en conformité RGPD
La démarche à réaliser pour localiser la donnée personnelle perdue dans le SI peut s’avérer fastidieuse et les risques d’oublis sont élevés. Surtout si la collecte est réalisée manuellement. En effet, elle peut se trouver dans divers lieux de stockage :
- Sur les équipements stockant de la donnée
- Dans les applications
- Dans les bases de données
- Sur les partages réseaux
- Sur les applications Cloud
- Dans l’annuaire des utilisateurs et groupes
- Auprès des sous-traitants avec la même démarche : applications, partages, bases de données, …
L’outil Corrium répond à cette problématique en collectant de manière automatique la donnée sur l’ensemble des équipements et fournit des rapports permettant à l’IT d’agir tout de suite pour traiter ces données personnelles. Enfin, l’offre de contrôle en continu permet de répéter cette opération tous les trimestres pour s’assurer de ne manquer aucune donnée à caractère personnel.