Depuis l’arrivée de du RGPD, l’identification des données personnelles est au centre des attentions. Il est à dire que la bonne réalisation est cruciale pour la mise en conformité d’un site Internet d’entreprise portant sur les nouvelles exigences appliquées au traitement des données personnelles. En cas de manquement, les sanctions se trouvent importantes pouvant aller jusqu’à 4% du chiffre d’affaires total. Ainsi, c’est pour cela qu’il est important d’établir une cartographie des informations personnelles traitées par tout organisme, que celui-ci soit privé ou bien public.
Identification des données sensibles : les étapes clefs du de la mise en place du RGPD
Depuis la date du 25 mai 2018, les entreprises de l’Union Européennes doivent assurer une sécurisation complète des données personnelles transmis par leurs utilisateurs. De plus, il faut également assurer un traitement en conformité aux nouvelles exigences du RGPD. Alors, comment répondre aux exigences de cette nouvelle réglementation, ceci sans avoir préalablement procédé à l’identification des données personnelles ? Cette étape est la principale du dispositif RGPD. Elle permet à tout organisme d’être sûr que les données personnelles ont été correctement traitées. Plus précisément, il s’agit des différentes typologies d’informations concernant les utilisateurs pour que le flux de leurs données soit identifié et retranscrit de façon fidèle. C’est ce qu’on appelle la cartographie des données. pour cela, plusieurs approches sont possibles. Elles permettent à une société de s’assurer que son processus de traitement des données personnelles soit en conformité et répondent aux exigences du RGPD.
Outre l’identification des données personnelles, il faut également prendre en compte le traitement et la localisation exacte dans les systèmes informatiques de l’entreprise. Il faudra en conséquent recenser plusieurs informations visant à structurer le projet de conformité RGPD d’une entreprise. Entre autres il s’agir de :
- Les traitements appliqués des données à caractère personnelle
- Les catégories d’utilisateurs
- Les types de données personnelles collectées par l’entreprise
- Le parcours de ces données personnelles : les composants du système informatique prenant en charge la collecte, le transfert, le stockage et les traitements des données (assurés par une solution logicielle ou bien physique) ;
- et, les finalités de chaque collecte ou traitement de données.
Identifier les données personnelles convenablement avec une solution de datamining
L’identification des données personnelles est un facteur de réussite pour la mise en conformité du RGPD dans toute société. Cela permet de définir l’environnement exact des opérations et des outils à déployer pour appliquer la nouvelle réglementation :
- Recenser l’ensemble des sources de données personnelles, leur flux et leur sortie du système informatique, afin d’identifier s’il y a lieu les sous-traitants, qui devront également se mettre en conformité avec le RGPD ;
- Identifier la nature des données personnelles afin d’isoler les données dites sensibles et d’en étudier les risques et impacts quant à la vie privée des utilisateurs ;
- Déterminer la localisation exacte des données personnelles et les ressources sollicitées dans leurs flux et traitements, afin de définir le périmètre concerné par l’audit et renforcer le cas échéant les outils et procédures de sécurisation des données.
L’identification des données personnelles, tâche particulièrement sensible, nécessite l’intervention d’experts en la matière, qui pourront accompagner convenablement un organisme dans sa mise en conformité avec les nouvelles exigences du RGPD. En effet, tout écart d’interprétation de la nouvelle réglementation pourrait fausser l’ensemble du projet en conduisant à une mauvaise identification du périmètre des données personnelles et donc, une application erronée des solutions préconisées.