Le bilan des DPO sur le RGPD

Le bilan des DPO sur le RGPD

Depuis mai 2018, le règlement général sur la protection des données (RGPD) oblige les entreprises à assigner un “DPO”, ou Data Protection Officer au sein de leur organisation. Ce nouveau métier consiste à gérer les données personnelles et à informer les autres employés des obligations à respecter au regard de la réglementation européenne.

Plus d’un an après la mise en place de cette réglementation, nous avons animé un atelier avec des DPO de différents secteurs d’activités avec une seule idée en tête : Comment les aider dans la mise en application du RGPD ? Nous vous partageons aujourd’hui leurs retours.

État des lieux

Pour mieux comprendre les Data Protection Officers et leur fonction, faisons déjà un constat de leur situation actuelle.

Les outils

Notre audience confirme que les applications ne sont qu’un moyen à la mise en place d’une gouvernance sur les données.

Les entreprises ont malgré tout adopté de nouveaux outils pour les aider à la mise en place du RGPD. Ces logiciels sont souvent jugés peu intuitifs et difficiles à utiliser. Toutefois, certains arrivent à se démarquer :

Parmi les outils du DPO, nous avons listé les très appréciés catalogues d’applications, principalement pour la vision macro offerte des échanges entre applications et la détection facile et rapide des informations personnelles en leur sein.

En parallèle, les data catalogs, derniers arrivés sur le marché, font mouche auprès de la communauté des DPO. Investir dans ces outils est un choix stratégique que certains participants ont déjà entrepris. La possibilité d’informer et historiser l’information sur les données, en allant recenser les données collectées par l’entreprise, les a en effet conquis !

La gouvernance

Les DPO ont bien conscience que l’effort doit être placé sur l’acculturation et une sensibilisation des collaborateurs pour espérer de meilleurs résultats.

La recherche d’une gouvernance n’a pour but que d’aider les métiers à appréhender et évaluer les risques sur les données qu’ils manipulent. Leur énergie est ainsi placée sur la mise en place d’un pilotage efficace et une communication de règles partagées afin que l’entreprise acquiert les bons réflexes. Car oui, la donnée reste un sujet que peu de collaborateurs maîtrisent en entreprise.

Les systèmes d’information

L’hétérogénéité des systèmes d’information est un environnement “normal” auquel les DPO sont confrontés.

Ils sont ainsi confrontés à essayer par tous les moyens de mettre en conformité des SI qui s’avèrent bien souvent complexes et coûteux à mettre à jour techniquement.

À l’international

Nous associons aux DPO le fameux Règlement Des Données RGPD, en oubliant bien souvent “le reste du monde”.

De nombreux pays ont également leur propre règlements comme la Suisse et les Etats Unis. Les DPO n’y échappent pas et l’entreprise non plus !

Une chose est sûre, l’ampleur du travail est gigantesque et demande une forte priorisation des sujets. Mais au-delà des priorisations liées à l’urgence, cela demande de trouver le bon curseur entre répondre aux normes de conformités et répondre aux exigences business !

Les challenges des DPOs pour 2020

Face à ce précédent constat, l’atelier s’est conclu sur 2020 et ses nouveaux challenges.

Nous avons réalisé avec eux la liste des “résolutions” pour la nouvelle année :

  • Investir plus sur l’amélioration de la qualification et l’exigence de la documentation des données,
  • Intégrer plus d’exemples dans la phase de sensibilisation des collaborateurs sur les bonnes pratiques,
  • Apporter des indicateurs précis sur l’usage et la finalité de la donnée afin de prévoir au plus tôt les risques et impacts de celle-ci,
  • Devenir une partie prenante dans la mise en place d’une gouvernance des données afin de garantir une acculturation efficace sur la donnée en entreprise.
RGPD : Quelles sont les tendances en 2019 ?

RGPD : Quelles sont les tendances en 2019 ?

Le marché du Big Data a beaucoup évolué depuis l’entrée du Règlement Général sur la Protection des Données (RGPD) le 25 mai 2018 : de nouveaux partenariats se sont formés, de nouvelles technologies sont nées et des startups ont décollé.

Néanmoins ce n’est qu’un début ! Cette année 2019, les entreprises continueront à adapter la gestion de leurs données. Cet article vous présentera les prédictions et tendances du RGPD en 2019.

 

Le bilan du RGPD en 2018

Le règlement a certainement été le sujet de l’année ! Le RGPD a profondément changé la manière dont les entreprises traitent les données pour aussi bien les entreprises du CAC 40 que pour les TPE/PME. Globalement, nous constatons que les entreprises ont commencé l’adaptation au RGPD à travers plusieurs changements :

 

La notification des violations de données

Il est maintenant obligatoire de déclarer à la CNIL dans les 72h, toute violation des données personnelles susceptibles à causer des risques pour les individus. Dès réception, la CNIL va enquêter la notification et pourra clôturer votre dossier ou vous imposer d’informer les personnes concernées selon quelques critères.
Rendez vous sur : https://www.cnil.fr/fr/notifier-une-violation-de-donnees-personnelles pour plus d’informations.

 

La mise en place d’une gouvernance sur la protection des données

Très peu d’entreprises avaient une véritable gouvernance autour de la protection des données avant le RGPD ; elles étaient confiées au département juridique ou au CIL (Correspondant Informatique et Libertés). Mais depuis le règlement, selon le dernier rapport annuel IAPP-EY, un peu prêt 50% des entreprises ont mis en place une organisation dédiée sur la protection de données. Selon la CNIL, elle compte plus de 15 000 Data Protection Officers (DPO) contre 5 000 CIL avant le RGPD.

 

La mise à jour des politiques de confidentialités

La plupart des entreprises ont également dû procéder à une révision de leurs politiques de confidentialités et mentions légales.

Toutefois, elles ont dû aussi mettre à jour à des contrats fournisseurs ou partenariats avec de nouvelles clauses “protection de données”. L’inondation de nos boîtes mails autour du 25 mai ont certainement prouvé l’importance du RGPD !

 

La sensibilisation du règlement au sein de l’entreprise

Enfin, vous avez peut être remarqué au sein de votre entreprise, la sensibilisation de la protection des données entre collaborateurs était importante, que ça soit des modules e-learning, des formations ou bien diverses communications internes.

 

Les prédictions et tendances du RGPD en 2019

Afin de se protéger d’une très grosse amende (jusqu’à 4% du chiffre d’affaires ou 20 millions d’euros), les entreprises vont devoir continuer à s’adapter au RGPD. Les autorités de données, comme la CNIL, se sont montrées très indulgentes en 2018 et donc elles pourraient devenir plus strictes en 2019. Les entreprises doivent donc impérativement s’acclimater au règlement, aussi bien en Europe qu’aux États Unis.

Le RGPD est lui même une tendance en 2019; il sera bientôt considéré comme étant une norme globale. Dans l’Oregon par exemple, le sénateur Ron Wyden a récemment introduit le “Consumer Data Privacy Act”. Il y a également le Japon, la Corée et la Tunisie qui adoptent des règlements similaires au RGPD. Mick Levy, Directeur de l’Innovation Business chez Business & Decision dit :

“La data est un actif de l’entreprise, comme son capital humain ou ses moyens de production. Il faut se donner les moyens de l’exploiter et de le protéger.” (orange-business.com)

 

Comment mettre en place une bonne gouvernance des données tout en s’adaptant au RGPD ?

Comme cité ci-dessus, une bonne gouvernance de données est obligatoire aujourd’hui afin de bien les organiser, rechercher, extraire et protéger. Zeenea vous propose un data catalog qui est capable de centraliser la connaissance data de votre entreprise dans une plateforme intuitive pour vous aider à devenir une entreprise data-driven et construire une gouvernance de données en mode lean startup agile.

GPDR : Qu’est-ce qu’un registre de traitements de données personnelles ?

GPDR : Qu’est-ce qu’un registre de traitements de données personnelles ?

Avec l’arrivée de la GDPR dans quelques mois, les entreprises devront répondre à cette « simple » question : Que faisons-nous des données personnelles de nos clients et prospects ?

L’article 30 de la GDPR impose la tenue d’un registre des traitements qui devra contenir un certain nombre d’informations sur les traitements effectués sur les données personnelles.  Ainsi, une entreprise doit être capable de cartographier ces traitements en cas de contrôle de la CNIL. Cette documentation a pour objectif de démontrer la bonne mise en conformité des entreprises avec la règlementation.

 

Les 6 questions d’un registre de traitements

De façon simplifiée, le registre de traitements de la GDPR doit répondre à 6 questions :

  • Qui ? le nom et les coordonnées du responsable de traitement et, le cas échéant, du responsable conjoint du traitement, du sous-traitant, du représentant du responsable de traitement et du délégué à la protection des données ;

  • Pourquoi ? la finalité du traitement des données. Une formulation générale et un descriptif plus complet ;

  • Quoi ? la description des catégories de personnes concernées et des données traitées pour chacune des finalités identifiées;

  • Où ? Le but est de localiser les données, de préciser les destinataires, les transferts de données vers des pays tiers à l’Union et l’EEE ainsi que la documentation corrélée : ce qui implique une gestion dynamique du registre ;

  • Jusqu’à quand ? les informations concernant la durée de conservation des données ;

  • Comment ? Il s’agit d’une description générale des mesures de sécurité techniques et organisationnelles mises en place.

Une opportunité du Big Data

Ce registre de traitement peut être vue comme une opportunité pour le Big Data ! En répondant aux questions ci-dessus, les entreprises pourront créer une traçabilité sur leurs données au sein des environnements Big Data et obtenir ce que l’on nomme un data lineage. Cet outil permettra de s’assurer que les entreprises respectent bien les principes de finalité et de minimisation de la GDPR.

De plus,  être bien organisé et maintenir une traçabilité de ses données est une excellente chose pour la productivité en générale, notamment les data scientists. Ils pourront plus facilement accéder :

 

  • Connaître la documentation sur l’origine et la création des données éventuellement utilisables dans un algorithme prédictif.
  • Se renseigner sur la provenance des données.
  • Maintenir des algorithms prédictifs.
  • Industrialiser des traitements et mettre en production des algorithms.

GDPR – 8 nouveaux droits à garantir aux résidents européens

GDPR – 8 nouveaux droits à garantir aux résidents européens

En décembre dernier, Matthieu Blanc – VP Product de Zeenea – s’est posé la question : Ce que la GDPR va changer dans le monde Big Data ? Dans cette série d’articles, nous revenons sur les aspects légaux explicités durant sa conférence lors de la XebiCon’17.

 

Un des principaux objectifs de la GDPR est de renforcer les droits des personnes physiques.

Les résidents européens se voient attribuer 8 nouveaux droits :

 

1) Droit à l’information (Art. 13 et 14)

Lorsque les données sont collectées auprès  d’une personne physique, plusieurs informations doivent lui être communiquées. Il s’agit notamment des finalités du traitement ou encore des droits dont elle dispose. Il est important que la politique de confidentialité et celle relative à la protection des données soient facilement accessibles et mises à jour.

Un lien vers la politique de confidentialité doit être fourni à chaque fois que des données sont recueillies, à partir de formulaires d’inscription en ligne par exemple.

 

2) Droit d’accès (Art. 15)

Exercer son droit d’accès permet de contrôler l’exactitude de ses données et, au besoin, de les faire rectifier ou effacer. Pour exemple, vous pourrez demander au responsable d’un fichier s’il détient des informations sur vous, et à ce que l’on vous communique l’intégralité de ces données.

 

3) Droit de rectification (Art. 16)

Le droit de rectification complète le droit d’accès. Une personne peut demander que ses données inexactes soient rectifiées, ou incomplètes d’être complétées. Il permet d’éviter qu’un organisme ne traite ou ne diffuse de fausses informations sur vous.

 

4) Droit à la portabilité (Art. 20)

Il s’agit d’un nouveau droit. Le droit à la portabilité offre aux personnes la possibilité de récupérer une partie de leurs données dans un format ouvert et lisible par machine. Elles peuvent ainsi les stocker ou les transmettre facilement d’un système d’information à un autre, en vue de leur réutilisation à des fins personnelles. Cela peut être le cas avec les opérateurs télécoms par exemple.

 

5) Droit d’opposition (Art. 21)

Toute personne a la possibilité de s’opposer, pour des motifs légitimes, à figurer dans un fichier. Elle peut également refuser, sans avoir à se justifier, que ses données soient utilisées à des fins de prospection commerciale.

 

6) Droit à l’effacement ou droit à l’oublie (Art. 17)

Une personne a le droit d’obtenir, dans les meilleurs délais, l’effacement de ses données, lorsque : 

  • la personne a retiré son consentement au traitement,

  • la personne s’oppose au traitement,

  • les données ne sont plus nécessaires au regard des finalités du traitement,

  • ses données ont fait l’objet d’un traitement illicite,

  • ses données doivent être effacées en vertu d’une obligation légale, sauf dans certains cas.

Si le responsable du traitement a rendu publiques les données, il devra informer les autres responsables du traitement qui les traitent qu’il faille effacer ces données ainsi que toutes reproductions de celles-ci.

 

7) Droit à la limitation du traitement (Art. 18)

Une personne a le droit d’obtenir la limitation du traitement lorsqu’elle s’y est opposée, lorsqu’elle conteste l’exactitude des données, lorsque leur traitement est illicite, ou lorsqu’elle en a besoin pour la constatation, l’exercice ou la défense de ses droits en justice.

 

8) Prise de décision automatisée (Art. 22)

La personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant, sauf lorsque cette décision est nécessaire à la conclusion ou à l’exécution d’un contrat, est autorisée légalement, ou est fondée sur son consentement.

 

Visionnez la conférence GDPR & Big Data

À quelques mois de l’entrée en vigueur de la GDPR, les entreprises essaient encore de comprendre les mesures organisationnelles et techniques à mettre en place autour de leurs Big Data. Venez trouver les réponses à vos questions et balayons ensemble les actions à mener pour une mise en conformité du règlement.

GDPR – 7 principes à respecter pour traiter des données personnelles

GDPR – 7 principes à respecter pour traiter des données personnelles

En décembre dernier, Matthieu Blanc – VP Product de Zeenea – s’est posé la question : Ce que la GDPR va changer dans le monde Big Data ? Dans cette série d’articles, nous revenons sur les aspects légaux explicités durant sa conférence lors de la XebiCon’17.

 

Les traitements sur les données personnelles devront obéir à 7 principes : 

 

1) Le principe de licéité, loyauté et transparence

La loi impose que les données soient collectées et traitées de manière loyale et licite, dictant donc de manière implicite au responsable du traitement une transparence lors du traitement auprès de la personne concernée.

Pour rentrer un peu plus dans le détail :

  • La loi garantit aux personnes ayant soumis leurs données, l’information nécessaire relative aux traitements les concernant.

  • Elle les assure de la possibilité d’un contrôle personnel.

  • Le responsable du traitement de données personnelles a l’obligation d’avertir ces personnes dès la collecte des données et en cas de transmission de ces données à des tiers.

2) Le principe de finalité

Les données à caractère personnel doivent être recueillies et traitées que pour un usage déterminé et légitime, correspondant aux missions de l’établissement ou du responsable du traitement. Tout détournement de finalité est passible de sanctions pénales.

 

3) Le principe de proportionnalité

Le règlement exige que les données ne soient collectées que pour un traitement bien spécifique et clairement défini.
Pour exemple : dans le cas d’une opération de marketing direct soumise à ce principe où le nom, prénom et l’adresse email suffisent amplement au traitement envisagé, la collecte pour cette même finalité de l’adresse postale, la situation familiale, financière, etc., sera jugée non proportionnelle et donc coupable d’une sanction.

 

4) Le principe de pertinence des données

Autrement dit, les entreprises doivent faire en sorte que les données soient exactes et mises à jour si nécessaire.

 

5) Le principe de durée limitée de conservation des données

Les informations ne peuvent être conservées de façon indéfinie dans les fichiers informatiques. Une durée de conservation doit être établie en fonction de la finalité de chaque fichier. Passée cette limite, les données doivent être supprimées ou rendues anonymes.

 

6) Le principe de sécurité et de confidentialité

Le règlement prévoit un renforcement des mesures de sécurité. Les entreprises sont responsables de la sécurité des données qu’elles traitent et doivent mettre en place les mesures adéquates pour la garantir (pseudonymisation des données, analyses d’impact, tests d’intrusion, etc.).

Ainsi, le responsable du traitement est astreint à une obligation de sécurité. Il doit faire prendre les mesures nécessaires pour :

  • Garantir la confidentialité des données et éviter leur divulgation. En d’autres termes, le responsable de traitement doit s’assurer que des tiers non autorisés ne peuvent accéder aux données.

  • Empêcher que les données soient déformées ou endommagées.

  • Etc.

Cette responsabilité est  mise en avant par un nouveau principe de « Privacy By Design ». Ce principe désigne  la démarche visant à prendre toutes les mesures permettant de protéger les droits des personnes en amont (c’est à dire dès la conception d’un produit ou d’un service) et tout au long du cycle de vie des données (de leur collecte à leur suppression).

Des mesures de sécurité, tant physique que logique, doivent donc être prises. Par exemple : protection anti-incendie, copies de sauvegarde, installation de logiciel antivirus, changement fréquent des mots de passe, etc.). Les mesures de sécurité doivent être adaptées à la nature des données et aux risques présentés par le traitement.

 

7) Le principe de responsabilité

L’un des changements majeurs est certainement ce principe de responsabilité. Ce principe oblige les entreprises à documenter toutes les mesures et procédures en matière de sécurité des données à caractère personnel.

Cette documentation a pour objectif de démontrer la conformité des entreprises avec la règlementation en cas de contrôle de la CNIL. Cette mesure se traduit par l’obligation de tenue d’un registre des traitements. En effet, ce registre permet de constituer une base de données des traitements, mais pourra aussi servir à centraliser et à suivre toutes les démarches de conformité mises en œuvre par l’entreprise.

La suppression de l’obligation de déclaration préalable à la CNIL. Cette mesure traduit le principe qui gouverne le GDPR : responsabiliser les entreprises, en développant l’auto-contrôle.

Ce n’est plus à l’autorité de régulation de prouver que vous êtes en tort, mais à vous de prouver que vous êtes dans votre bon droit !

Visionnez la conférence GDPR & Big Data

À quelques mois de l’entrée en vigueur de la GDPR, les entreprises essaient encore de comprendre les mesures organisationnelles et techniques à mettre en place autour de leurs Big Data. Venez trouver les réponses à vos questions et balayons ensemble les actions à mener pour une mise en conformité du règlement.

GDPR : l’essentiel du règlement européen

GDPR : l’essentiel du règlement européen

Cet article est une introduction à la General Data Protection Regulation (GDPR) dans le cadre de vos projets Big Data.
Pour plus d’informations, téléchargez notre mini guide > GDPR : où en êtes-vous ?

Attention toutefois ! Il n’est pas destiné à être un conseil juridique, mais plutôt une remise à niveau sur les changements que la GDPR va apporter.

Les GDPR à définir

Données personnelles

Toute information relative à un être humain (ou à une personne concernée) qui peut être utilisée pour identifier directement ou indirectement cette personne.

Avec l’arrivée de la GDPR, cette définition a été élargie puisqu’elle comprend aujourd’hui les données online. Exemples: nom, photos, adresses e-mail, coordonnées bancaires, publications sur les réseaux sociaux, sites Web, informations médicales, adresses IP, données de localisation, etc.

 

Données sensibles

Ce sont les données à caractère personnel qui font apparaître, directement ou indirectement, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives à leur santé ou à leur orientation sexuelle. Elles ne peuvent être traitées qu’avec un consentement explicite des individus.

 

Traitement des données

Ce large terme désigne toute opération effectuée sur des données à caractère personnel, via des moyens automatisés ou non. Figurent parmi les exemples de traitement la collecte, l’enregistrement, l’organisation, le stockage, l’utilisation et la destruction de données à caractère personnel.

 

Responsable du traitement

Le responsable du traitement est la personne qui détermine – seule ou conjointement avec d’autres – les finalités et les moyens du traitement de données (les méthodes de collecte et de traitement).

 

Les émergeants de la GDPR

 

Qui est concerné ?

  • Toutes les entreprises implantées dans l’Union Européenne et procédant au traitement de données à caractère personnel, quelle que soit sa taille.

  • Toutes les entreprises non implantées dans l’Union dès lors qu’elles procèdent à un traitement de données lié à des personnes situées au sein de l’Union Européenne.

Obligation de désigner un Pro

La GDPR prévoit la création d’un poste de Délégué de la protection des données (DPO). Ses missions seront :

  • contrôler le respect de la réglementation par l’entreprise ;

  • être le point de contact avec l’autorité de contrôle et les individus ayant des questions sur le traitement de leurs données personnelles ;

  • conseiller et informer l’entreprise, ses employés et les éventuels sous-traitants.

Responsabilité

Les entreprises doivent s’assurer d’être conforme aux obligations de la GDPR et être en mesure de démontrer le respect de ses principes.

 

Consentement valide

Le responsable de traitement doit être en mesure de démontrer que la personne concernée par un traitement de données a bien donné son consentement.

 

Notifications des violations

En cas de violation, l’entreprise est dans l’obligation d’informer leur autorité de contrôle, et si possible dans les 72 heures suivant sa découverte.

 

Protection de la vie privée dès la conception

Le responsable de traitement doit mettre en œuvre toute mesure de protection des données (pseudonymisation, minimisation, etc.) dès la conception ; c’est à dire, identifier les moyens de traitement.

 

Opposition au profilage

Toute personne peut s’opposer au traitement automatisé de ses données à caractère personnel dans le but d’évaluer certains aspects personnels relatifs à une personne physique (analyse, prédiction, etc.).

 

Portabilité des données

Toute personne concernée par le traitement de ses données peut obtenir, du responsable du traitement, une copie de ses données personnelles traitées et, le cas échéant, le transfert de ces données à un tiers.

 

Sanctions

La violation des principes de bases dont les conditions du consentement ou encore les droits des personnes concernées, seront sujettes à une sanction pouvant s’élever à 20 millions ou 4% du chiffre d’affaires mondial annuel.

GDPR : un fardeau supplémentaire pour l’industrie de la data ?

GDPR : un fardeau supplémentaire pour l’industrie de la data ?

L’inquiétude des entreprises sur les challenges de la mise en place de la GDPR est bien présente. Saurons-nous encore capable de faire du business à partir de mai 2018 ? Quels seront les impacts techniques et, surtout, financiers de cette mise en conformité ?

 

La GDPR, une zone de flou pour les entreprise

Avouons-le, il y a quand même un effet « bug de l’an 2000 » avec l’arrivée de la GDPR… Nombre d’entreprises perçoivent la GDPR comme un fardeau supplémentaire dans une industrie de la data qui est déjà loin d’être facile.

Celles-ci se trouvent dans une zone de flou pour implémenter cette réglementation et éviter les lourdes sanctions prévues pour les entreprises non conformes. Selon nous, elle dépendra fortement de l’interprétation de ces règles, de leurs applications et de la jurisprudence.

 

Oui, mais …

La GDPR doit être vue comme une opportunité d’atteindre une certaine maturité en terme de gouvernance et de maîtrise de la donnée. Il s’agit avant tout d’établir un contrat de confiance entre les data subjects et les responsables de traitements. C’est certain, ce contrat de confiance bénéficiera à tous !

 

Pour preuve, les particuliers sont plutôt réticents à donner des informations personnelles aux entreprises. De nombreuses études montrent que dans le cadre d’un nouveau deal, où des données personnelles sont délivrées dans une finalité bien précise et peuvent être redonnées ou supprimées à tout moment, les utilisateurs sont prêts à partager leurs données personnelles. C’est donc l’opportunité d’offrir des services à valeurs ajoutées aux clients, dans un mode « donnant donnant ».

Pour les organisations, la GDPR va apporter une plus grande confiance, ainsi qu’une meilleure réputation sur le traitement des données personnelles et donc plus d’engagement.

 

Repenser sa gestion des données

La GDPR c’est également l’occasion de faire un check up de la donnée dans les entreprises :

 

  • Nettoyer la mauvaise donnée.

  • Éviter la sur-acquisition (coûteuse) de données.

  • Mettre en place ou améliorer la gouvernance de la donnée.

  • Implémenter les bonnes pratiques autour d’initiatives Big Data et Data Science.

Ainsi, cette nouvelle maîtrise et gouvernance de la donnée entrainera de meilleurs enseignements à partir de cette donnée, et donc une meilleure création de valeur à partir de celle-ci.

 

Responsabiliser les entreprises

Que signifie finalement le jargon legal de la GDPR que nous avons détaillé dans notre série d’articles « GDPR – les bases légales » ? Il s’agit certainement de responsabiliser les entreprises sur les données utilisées. Cette réglementation implique alors de se poser les bonnes questions :

 

  • Quelles sont les données personnelles que je détiens ? Où sont-elles ?

  • Quelles sont les possibilités autour de ma donnée ?

  • Qu’est-ce que je fais avec mes données ?

  • Pourquoi je les collecte ?

  • Quel résultat je cherche à atteindre ?

Mettre en place des initiatives technologiques

Ainsi, l’arrivée de la GDPR fait émerger un certain nombre d’impacts dans nos organisations principalement juridiques et organisationnelles. Cette réglementation sera également l’occasion de mettre en place des initiatives technologiques dans les écosystèmes Big Data, qui certes aideront les entreprises à se mettre en conformité avec la régulation, mais qui auront une valeur intrinsèque. L’une des premières actions, selon nous, est de cartographier les données à caractère personnel utilisées et stockées au sein de votre entreprises. 

Les outils de Data Catalog peuvent être le début d’une réponse.

 

Visionnez la conférence GDPR & Big Data

À quelques mois de l’entrée en vigueur de la GDPR, les entreprises essaient encore de comprendre les mesures organisationnelles et techniques à mettre en place autour de leurs Big Data. Venez trouver les réponses à vos questions et balayons ensemble les actions à mener pour une mise en conformité du règlement.

GDPR : Êtes vous concernés par le règlement ?

GDPR : Êtes vous concernés par le règlement ?

En décembre dernier, nous nous sommes posés la question : Ce que la GDPR va changer dans le monde Big Data ? Dans cette série d’articles, nous revenons sur les aspects légaux explicités durant la conférence de la XebiCon’17.

 

Le périmètre d’application de la GDPR

Si La GDPR s’applique aux “Data Controllers” ou “Responsables des traitements”, à savoir les organismes qui déterminent les finalités et les modalités de traitement de données personnelles, elle s’étend au “Data Processor” ou “ Sous-traitant” également.

Les règles et obligations de la  GDPR s’appliquent au traitement – automatisé ou non – des données à caractère personnel.

 

Définitions des termes de la GDPR

Avant toute chose, mettons-nous d’accord sur la définition de ces termes :

Données à caractère personnel

La GDPR donne une définition précise des données à caractère personnel. Il s’agit de « toute information se rapportant à une personne physique identifiée ou identifiable ».

Par personne physique identifiable, il faut comprendre « une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, une adresse postale, un mail, ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».

Une définition qui a donc été élargie puisqu’elle inclut désormais certaines données online telles que les données de localisation, les identifiants en ligne, les numéros d’identification (identifiants de terminaux, cookies, adresses IP, etc.).

 

Traitement de données

Ce large terme désigne toute opération effectuée sur des données à caractère personnel, via des moyens automatisés ou non. Figurent – parmi les exemples de traitement – la collecte, l’enregistrement, l’organisation, le stockage, l’utilisation et la destruction de données à caractère personnel.

Au final, l’immense majorité des entreprises européennes est concernée par les dispositifs de la GDPR.

 

Visionnez la conférence GDPR & Big Data

À quelques mois de l’entrée en vigueur de la GDPR, les entreprises essaient encore de comprendre les mesures organisationnelles et techniques à mettre en place autour de leurs Big Data. Venez trouver les réponses à vos questions et balayons ensemble les actions à mener pour une mise en conformité du règlement.