Le Règlement général sur la protection des données (RGPD), entré en vigueur le 25 mai 2018, vise à instaurer de meilleures politiques de protection des données et accroît la responsabilité des entreprises traitant des données à caractère personnel. Cela signifie que les entreprises doivent à présent se concentrer sur la gouvernance des données. Pour cela, il est nécessaire de bien comprendre les données à caractère personnel, ainsi que leur stockage, utilisation et protection.

Talend a récemment mis en ligne un webinaire à la demande, Étapes pratiques pour la mise en conformité au RGPD, qui porte sur un plan global en 16 étapes de mise en œuvre d’un programme de gouvernance des données visant à assurer la conformité au RGPD.

L’identification des ensembles de données critiques et des éléments de données critiques est l’Étape 4 de ce plan. Regardez les trois premières étapes du plan ici : instaurer des politiques, normes et contrôles ; créer une taxonomie des données ; et assigner la propriété des données.

Télécharger Comment identifier des ensembles de données critiques et des éléments de données critiques [Étape 4 du RGPD] maintenant
En savoir plus

En quoi l’identification des éléments de données critiques est-elle importante pour le RGPD ?

Les articles suivants du RGPD mettent en avant les éléments de données :

L’Article 4 du RGPD définit les données à caractère personnel comme « toute information se rapportant à une personne physique identifiée ou identifiable (« personne concernée ») …tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. »

L’Article 9 du RGPD limite le traitement portant sur des catégories particulières de données à caractère personnel comme la race, l’origine ethnique ou les opinions politiques.

Afin de respecter ces articles du RGPD, il est nécessaire d’identifier des données à caractère personnel comme les éléments critiques de données, puis de prendre les mesures nécessaires pour les protéger.

Par exemple, si une entreprise collecte des données provenant d’un capteur de véhicule automobile ou enregistre ses coordonnées, et si le véhicule reste à l’arrêt toute une nuit, elle peut raisonnablement déduire que ces coordonnées correspondent à l’adresse du propriétaire du véhicule. Il est alors plus facile de retrouver l’identité de la personne. Les données du capteur et les coordonnées peuvent ainsi devenir des éléments de données critiques, puisqu’elles peuvent révéler indirectement les données à caractère personnel de la personne concernée.

L’identification des éléments de données critiques souligne l’engagement d’une organisation à garantir l’intégrité des données à caractère personnel.

Comment identifier les éléments de données critiques avec Talend.

Les intendants des données jouent un rôle important dans ce processus. Ils doivent identifier les ensembles de données critiques et éléments de données critiques dans leurs catégories de données respectives afin d’identifier leurs tâches prioritaires. Par exemple, l’identité d’un employé se compose d’un nombre d’éléments critiques de données, y compris son nom, son sexe, sa date de naissance et son numéro d’identification national. Les informations de l’employé sur les réseaux sociaux sont composées d’un certain nombre d’ensembles de données critiques tels que les informations de profils Facebook, Twitter et LinkedIn.

L’équipe de gouvernance des données doit déterminer s’il est préférable d’établir des normes de recueil et d’utilisation des données au niveau des datasets critiques plutôt que des éléments de données critiques. Par exemple, il peut être souhaitable d’instaurer des normes d’utilisation et de sécurité acceptables pour les informations Facebook globales (dataset critique) plutôt que pour les ID Facebook (élément de données critique).

Talend Metadata Manager prend en charge un glossaire professionnel ISO 11179 contenant des termes professionnels liés aux données à caractère personnel. Il peut par exemple contenir un inventaire des termes métier correspondant à l’identité d’un client comme le nom, l’adresse e-mail et le numéro de téléphone. Il définira également la sémantique des éléments de données critiques en se servant d’une sémantique prédéfinie (e-mail, prénom, nom, IBAN, etc.) pour que les empreintes de ces éléments de données critiques puissent être saisis automatiquement dans tous les ensembles de données. Cela veut dire que Talend Metadata Manager peut remplir d’autres fonctions que celle de glossaire professionnel. Il sert surtout de point d’entrée unique pour capturer les empreintes des données à caractère personnel dans tous les ensembles de données.

Voici deux approches prises en charge par Talend Metadata Manager pour identifier les éléments de données critiques dans le cadre du RGPD :

  1. Approche descendante — Décrivant le paysage global des données de l’entreprise, cet outil prend en charge le mappage de définitions de données de haut niveau en véritables champs physiques dans les systèmes sources de toute l’entreprise.
  2. Approche ascendante — Dans cette approche, les points de données physiques sont capturés automatiquement, puis reliés aux définitions des données de haut niveau du RGPD, le cas échéant. Les champs physiques seront basés sur des métadonnées techniques recueillies dans des systèmes sources sur la base d’un vaste éventail de connecteurs provenant de Talend Metadata Manager (voir Figure 1).

ensembles de données critiques

Figure 1. Définition ou rétro-ingénierie des modèles de données et des éléments de données avec Talend Metadata Manager.

 

Tel un GPS qui avertirait un conducteur lorsque les conditions de circulation évoluent, le large éventail de connecteurs offre une vue toujours précise du paysage des données.

Cette seconde approche est plus répandue en cette époque de big data, comme les données proviennent de multiples sources et qu’il devient crucial de profiler et d’identifier automatiquement les données, avant de confirmer qu’elles contiennent des données à caractère personnel et de prendre les mesures conséquentes pour assurer la conformité.

Télécharger A 16 Step Data Governance Plan for GDPR Compliance maintenant
En savoir plus

Étapes suivantes de l’identification des données critiques

Le traitement des données à caractère personnel doit être approuvé par les services juridique et de conformité lors de la phase de conception d’un projet. Par conséquent, indépendamment de l’approche adoptée, l’équipe de gouvernance des données doit collaborer avec ces équipes afin d’identifier les « données à caractère personnel » pour le RGPD.

Il est essentiel d’identifier les éléments de données critiques liés aux données à caractère personnel pour prendre les mesures nécessaires aux contrôles du RGPD. Talend Metadata Manager est là pour vous aider. L’étape suivante du plan en 16 étapes consiste à instaurer des normes de collecte des données.

Pour voir l’ensemble des 16 étapes de conformité au RGPD, ne manquez pas notre webinaire à la demande, Étapes pratiques pour la mise en conformité au RGPD. Le webinaire traite ce sujet, ainsi que le développement de normes et de contrôles, l’identification des propriétaires de données, le lignage des données et bien d’autres sujets encore.