[Étape 3 du RGPD] Comment confirmer les propriétaires des données
« Qui possède les données ? » a toujours été une question épineuse. Dans le contexte du Règlement général sur la protection des données (RGPD), certaines questions sont plus importantes, par exemple :
- Qui est propriétaire des informations ? La personne concernée ou l’organisation ?
- Au sein de l’entreprise, comment en assigner la propriété ?
- La propriété doit-elle être unique ou partagée ?
Talend a récemment mis en ligne un webinaire à la demande, Étapes pratiques pour la mise en conformité au RGPD, qui porte sur un plan global en 16 étapes pour aider les entreprises à se préparer en vue d’une conformité au RGPD.
Voici les deux premières étapes de ce plan : créer des politiques, des contrôles et une taxonomie des données. L’assignation des propriétaires des données est la troisième étape.
Qu’est-ce que la propriété des données ?
La propriété des données désigne l’assignation explicite de propriétaires à chaque élément de donnée de la taxonomie. Les propriétaires des données peuvent être des individus ou des équipes qui décident qui a le droit d’accéder à et de modifier les données, mais également la façon dont elles sont utilisées. Les propriétaires ne travaillent pas forcément tous les jours avec leurs données, mais sont responsables de la surveillance et de la protection d’un domaine de données.
Dans le cadre du RGPD, les propriétaires des données sont responsables de la qualité, de l’intégrité et de la protection de leur espace de données.
Les propriétaires de données peuvent être directement chargés de résoudre les problèmes liés aux données, ou déléguer ces tâches aux data stewards. Les intendants des données travaillent quotidiennement avec des données et s’assurent qu’elles sont exactes, qu’il n’y a pas de doublons et qu’elles sont consolidées en une version unique de la vérité.
Par exemple, le numéro de téléphone, l’adresse postale et l’adresse électronique d’un client peuvent varier d’un système à l’autre. L’intendant des données peut alors choisir de prendre l’adresse dans le système de commande, le numéro de téléphone portable dans le système des ventes et l’adresse électronique dans le système marketing.
On confond souvent le terme « propriété des données » avec la propriété juridique des données qui, comme le stipule le RGPD, reste celle de la personne concernée. Cependant, la propriété des données dans cet article est comprise dans le contexte interne de l’entreprise et désigne la responsabilité.
L’importance d’assigner des propriétaires des données
Dans la plupart des entreprises, il peut s’avérer fastidieux d’assigner des propriétaires des données, car celles-ci passent par les différentes équipes et les différents systèmes. C’est pourtant une étape critique de la conformité au RGPD.
Voici pourquoi il est important d’assigner des propriétaires des données :
1. Responsabilité — La propriété crée une responsabilité. Comme le RGPD introduit de nombreux contrôles sur les données à caractère personnel, l’assignation de responsabilités permet aux propriétaires de suivre les données en continu pour assurer leur conformité.
2. Définition des politiques — Compte tenu de leur intérêt direct dans l’intégrité de leurs données, les propriétaires s’efforcent de définir des politiques (par exemple des politiques de rétention ou de suppression) et des normes garantissant la conformité de leurs données au RGPD.
3. Création de données fiables — La propriété des données est un élément clé pour gagner la confiance des clients et obtenir des avantages commerciaux significatifs. Des données de mauvaise qualité peuvent facilement entraîner des mauvaises expériences pour les clients, voire une perte de clientèle. Plus particulièrement, quand des données à caractère personnel ne sont pas agrégées en une vue à 360° pour la personne concernée, il devient impossible de respecter totalement les droits d’accès de la personne concernée, tels que le droit de portabilité ou le droit à l’oubli.
4. Élimination des doublons — Alors que les entreprises s’efforcent de mettre en place un cadre de gouvernance approprié pour le RGPD, elles s’agacent souvent de la perte de productivité. Ce problème vient du fait que plusieurs équipes traitent le même problème, soit parce qu’elles ne comprennent pas précisément les données, soit parce qu’elles ne sont pas au courant qu’une autre équipe a déjà résolu le problème. La propriété unie élimine ces problèmes sensibles.
Comment identifier les propriétaires des données : trois questions à poser
Le RGPD oblige la plupart des entreprises à créer un poste de responsable de la protection des données (RPD), établissant de fait un propriétaire des données de référence. Chacun des éléments d’une taxonomie des données nécessite pourtant un propriétaire individuel, et il est peu probable qu’un RPD seul puisse assumer cette responsabilité sur une si grande échelle. De plus, cela pourrait entraîner un problème de sécurité. La délégation et la séparation des tâches sont essentielles.
Il faut donc poser les bonnes questions. Une fois ces questions traitées, l’identité du propriétaire des données devrait être plus claire :
1 Qui est le plus impacté par l’exactitude des données ?
Imaginez qu’un client passe une commande dans une banque d’investissement. Le client s’adresse au commercial, qui passe la commande. La commande est ensuite transmise à l’équipe de négociation, qui se charge de conclure la transaction. Enfin, l’équipe opérationnelle rapproche les transactions conclues et résout les conflits.
Alors, qui est impacté si les données de la transaction sont incorrectes ? Toutes ces personnes, peut-être. Mais laquelle est la plus impactée ?
2 Qui est habilité à décider de l’étape suivante ?
Dans cet exemple, l’équipe commerciale doit informer le client du problème, ce qui peut ébranler la confiance du client. L’équipe qui rapproche les données est chargée de résoudre les problèmes découlant de l’erreur de transaction. L’équipe technique s’occupe des répercussions informatiques de cette erreur de transaction.
Toutefois, c’est l’équipe de négociation qui doit s’approprier et conclure une nouvelle fois la transaction avec les bonnes informations. La fonction centrale de l’équipe de négociation est impactée par cette transaction erronée. C’est aussi cette équipe qui a le pouvoir ultime de décider des changements.
L’équipe chargée de mettre les données en correspondance et l’équipe technique sont peut-être déjà au courant du problème, mais elles n’ont pas le droit de prendre une décision. Elles peuvent jouer le rôle d’intendants des données et peuvent être chargées d’appliquer le changement, mais dans le cas présent, c’est l’équipe de négociation qui est propriétaire des données de la « transaction ».
3 Qui est propriétaire des attributs des données associées ?
Imaginez le cas suivant : une transaction est associée à un client dans cet exemple. Qui est propriétaire des informations personnelles du client ? Bien que le client soit lié à la transaction, l’équipe de négociation n’est certainement pas propriétaire des informations du client. Il est plus probable que le propriétaire soit l’équipe commerciale.
Le flux de données dans une entreprise est complexe. En répétant ce processus pour chaque élément, les entreprises gagnent en clarté sur l’utilisation des données. En examinant les attributs associés et leurs propriétés, et en poursuivant la chaîne d’analyse, on obtient une vision globale de la propriété des données. Une fois le propriétaire assigné, il est plus aisé de veiller au respect du RGPD.
Utiliser Talend pour assigner la propriété
Talend Metadata Manager facilite le catalogage des propriétaires des données et des intendants des données pour les catégories et sous-catégories de données identifiées lors de l’Étape 2, mais aussi l’assignation des rôles et flux de travail associés.
Talend Data Stewardship implique ces propriétaires et intendants des données dans des flux de travail avec des contrôles d’accès sécurisés et vérifiables basés sur les rôles pour rendre opérationnels les processus en libre-service. Ces processus sont notamment l’arbitrage des données, la résolution des erreurs et la validation des normes de données, comme vous pouvez le voir ci-dessous.
Figure 1. attribution de rôles pour l’arbitrage collaboratif, la résolution des erreurs et les campagnes de fusion/regroupement dans Talend Data Stewardship.
Étapes suivantes de conformité au RGPD
Après l’assignation des données vient l’étape importante de l’identification des ensembles de données critiques et des éléments de données.
← Étape 2 | Étape 4 →
Plus d'articles connexes
- Tout comprendre au RGPD grâce au guide Talend
- Qu'est-ce que la minimisation des données ?
- Se préparer au RGPD
- [Étape 14 du RGPD] Comment contrôler le cycle de vie des informations
- [Étape 15 du RGPD] Comment établir des accords de partage des données
- [Étape 16 du RGPD] Comment assurer la conformité au RGPD avec les contrôles
- [Étape 13 du RGPD] Comment gérer l’End User Computing
- [Étape 11 du RGPD] Comment reconstituer le lignage des données pour le RGPD
- [Étape 9 du RGPD] Comment mener des évaluations du risque lié au prestataire
- [Étape 12 du RGPD] Comment contrôler les modèles analytiques
- [Étape 10 du RGPD] Comment améliorer la qualité des données
- [Étape 8 du RGPD] Les Analyses d’Impact relatives à la Protection des Données
- [Étape 7 du RGPD] Comment instaurer des normes de masquage des données
- [Étape 6 du RGPD] Comment définir des normes d’utilisation acceptable pour le RGPD
- [Étape 2 du RGPD] L’importance de créer une taxonomie des données
- [Étape 4 du RGPD] Comment identifier des ensembles de données critiques et des éléments de données critiques
- [Étape 1 du RGPD] Comment développer des politiques, normes et contrôles
- [Étape 5 du RGPD] Comment établir des normes de collecte des données