RGPD, big data et gouvernance des données

Des cris, des pleurs, beaucoup d’émotions avec un regard constamment posé sur le calendrier…

Au risque de vous décevoir, on ne parle pas de la prévente des billets de la prochaine tournée mondiale de U2, mais bien du RGPD !

Dans les semaines qui ont précédé le 25 mai 2018, nous avons assisté à une montée en pression autour de cette sacro-sainte conformité qui semblait avoir pris tout le monde par surprise. Pourtant, sa mise en application était prévue depuis au moins 2 ans !

Maintenant que le déferlement de messages sur la mise à jour des conditions d’utilisation s’est calmé et que l’euphorie est passée, il est temps de prendre un peu de recul sur ce sujet. RGPD, big data et gouvernance des données, on démêle tout ça ensemble.

Le RGPD : 1 règlement, 99 articles et 1001 interrogations

RGPD, GDPR… qu’est-ce que c’est exactement ?

RGPD signifie Règlement Général sur la Protection des Données. On voit aussi parfois passer l’acronyme GDPR dans certains articles. C’est la même chose, c’est juste le terme anglais (General Data Protection Regulation). Il s’agit donc d’un texte de loi qui s’applique à toutes les entreprises traitant des données personnelles des citoyens européens, même si ces entreprises ne sont pas européennes. C’est un texte de référence qui vise à donner davantage de contrôle et de transparence à la manière dont les données personnelles sont collectées, traitées et stockées par les entreprises.

En ce sens, le RGPD est une petite révolution, puisqu’il impose des changements importants sur la manière dont les données doivent être utilisées. Cela inclut toute information permettant d’identifier de manière directe ou indirecte, une personne. On pense naturellement à l’email, mais également les coordonnées personnelles, les photographies, les informations bancaires, les adresses IP, les numéros de téléphone, les identifiants à un compte en ligne, etc.

Ce qui change avec le RGPD :

• Les données collectées doivent l’être de manière licite, loyale et transparente;
• Les données doivent être utilisées à des fins déterminées, explicites et légitimes;
• Les données conservées permettant l’identification des personnes concernées ne doivent pas être stockées pour une durée n’excédant pas celle nécessaire;
• Les données doivent être exactes et, si nécessaire, tenues à jour;
• Les données doivent être traitées de façon à garantir une sécurité appropriée.

Data privacy : quel impact sur le traitement des données ?

Des données, toutes les entreprises en gèrent : les informations personnelles des employés, les contacts des clients, les suivis commerciaux des prospects, les informations des fournisseurs, etc. Le RGPD impose donc la création d’une entité ou d’une équipe de “Data Privacy” afin de s’assurer que chaque service, filiale ou entité au sein d’une entreprise respecte le nouveau règlement. Un changement qui nécessite également d’identifier les données stockées auprès de chaque service. Un travail de cartographie pour lequel l’équipe de Data Privacy doit aller à la chasse aux données auprès des managers, des chefs de projet informatique, de la DSI ou de l’équipe commerciale et support.

Pour faire face à ces changements, le RGPD prévoit la création d’un nouveau poste en entreprise : le DPO (Data Protection Officer ou délégué à la protection des données). C’est la personne contact qui doit conseiller, former et informer les employés (mais également accompagner la direction) dans le bon traitement des données. Le DPO doit disposer d’une expertise juridique et technique, maîtriser les rouages de l’organisation et être associé aux projets incluant des données personnelles. Un nouveau poste « tendance » qui peut toutefois être internalisé ou externalisé selon le volume et l’utilisation faite des données.

Et si c’était le moment de faire évoluer votre gestion des données ?

Tout le bruit autour du RGPD a eu le mérite de remettre la question des données personnelles au centre des débats pour une prise de conscience globale et salutaire. Une manière aussi de valoriser les entreprises les plus vertueuses qui n’ont pas attendu le dernier moment pour s’organiser.

En effet, le RGPD nécessite une importante refondation de la gestion des données. Tant sur le plan technique que sur le plan philosophique. Quelle donnée pour quel usage ? C’est la question centrale du RGPD. Et c’est aussi un tremplin utile pour repenser son organisation.

Ce travail sur les données personnelles remet également en lumière les nombreux silos qui sont trop souvent présents au sein des organisations, rendant la cartographie et la gestion des données personnelles chronophage et complexe. Pour y remédier, il est donc nécessaire d’élargir la question de la gestion de données avec l’introduction des données de référence structurées au sein d’un MDM. Un système de métagestion pour des données plus structurées, mieux protégées et plus contrôlées.

Le RGPD a agité toutes les entreprises au printemps 2018, et ce n’est pas encore fini. Ce nouveau règlement nécessitera encore de longues semaines ou de longs mois afin d’être totalement maîtrisé par les entreprises, et en particulier par les PME disposant de ressources limitées. Un travail ayant le mérite d’ouvrir de nouvelles portes pour optimiser et mieux gérer la manière dont les données impactent l’activité quotidienne de l’entreprise.