French

Comme nous l’avons abordé dans les deux premières parties de notre article sur les Droits des Personnes, en pratique les exigences de la mise en conformité avec le Règlement Général sur la Protection des Données (GDPR) ne sont pas remplies par un simple « registre des traitements ».

En effet, ce dernier ne reprend généralement qu’une description « métier » des traitements et des données : ils n’incluent ni les valeurs des données ni leurs localisations multiples et ne peuvent donc, en aucun cas, produire ce qu’il est convenu d’appeler une « fiche individuelle » reprenant l’ensemble des données, traitements et applications reliés à une personne identifiée.

Pour les entreprises le défi à relever est d’autant plus grand :

  • qu’il s’applique à l’ensemble du périmètre des données concernées par la GDPR : bases de données structurées, documents électroniques, sites web, sons, images fixes et mobiles, documents papier, etc. ;
  • qu’il ne s’agit pas seulement de faire une « photo » de la situation à un instant T, mais également de maintenir en continu les informations de manière à pouvoir répondre à tout instant à une demande d’une personne.

Défi impossible à relever sans outils spécialisés !

Les deux types de données les plus courants

Dans la plupart des entreprises, les besoins d’identification, de localisation et de classification des données personnelles se concentrent sur les environnements techniques contenant des données structurées d’une part et sur les textes d’autre part.

structured architectureLes données structurées
La principale difficulté des données personnelles réside dans le mot « donnée ». En effet, celui-ci ne désigne pas les mêmes objets suivant que l’on se situe dans une perspective « métier » ou dans une perspective « technique » : le métier nomme « donnée » des concepts tels que « coordonnées clients », alors que pour les techniciens « donnée » = « nom », « prénom », « adresse », etc.

Dans la mesure où la GDPR concerne l’entreprise, il convient dans un premier temps d’établir le lien entre les concepts définis par le métier et la réalité technique. Il faut d'abord établir ce lien, puis dans un second temps identifier et localiser les données personnelles dans les S.I.. Ce travail du métier vers le technique permet de s’assurer de l’exhaustivité des résultats de l’identification. Par ailleurs, une même donnée peut être associée simultanément à un traitement spécifié dans le cadre de la GDPR, à un type de donnée, à une application, à un service, etc.

Les textes
Pour valider la conformité des textes à la GDPR, il faut pouvoir identifier toutes les données relatives à des personnes et les classer dans les différentes catégories prévues par la GDPR en fonction du contexte : il est normal de trouver des termes médicaux dans une base médicale, mais pas dans une base de données concernant des livraisons de biens.

On notera que le système de classification peut, en fonction des besoins, être étendu à d’autres catégories que celles prévues par la GDPR.

Les outils disponibles

La solution REAL GDPR Software développée par Rever et son partenaire GEOLSemantics couvre une très large gamme d’environnements techniques et de type de données : elle permet de stocker les résultats produits et l’ensemble des informations permettant de retrouver la source originale visée par la GDPR. Ces informations enregistrées dans une base de données sont exploitées ensuite par d’autres processus, en particulier les processus d’extraction des données utilisés pour répondre aux droits des personnes, ainsi que les processus destinés à la protection des données personnelles.

En savoir plus

Découvrez comment Rever vous accompagne, entre autres, dans votre mise en conformité avec la GDPR. REAL GDPR Software (RGS) est une suite logicielle complète qui permet aux organisations une mise en œuvre à la fois souple et fonctionnelle des consignes imposées par le règlement européen.

Lire les deux premières parties de cet article

Mots clés: 

Auteur(s): 

Dominique Orban de Xivry