[Étape 11 du RGPD] Comment reconstituer le lignage des données pour le RGPD

Le Règlement général sur la protection des données (RGPD), introduit par l’Union européenne (UE), est entré en vigueur le 25 mai 2018. Avec l’introduction du RGPD, les entreprises doivent faire attention au lignage des données des personnes concernées, telles que les clients, les employés et les prospects, et comprendre/suivre le flux des données à caractère personnel dans l’ensemble des systèmes.

Talend a récemment mis en ligne un webinaire à la demande, Étapes pratiques pour la mise en conformité au RGPD, qui porte sur un plan global en 16 étapes de mise en œuvre d’un programme de gouvernance des données afin d’assurer la conformité au RGPD.

Reconstituer le lignage des données est l’Étape 11 de ce plan. Pour en savoir plus sur les dix premières étapes, consultez les liens dans la barre latérale.

Le point de vue du RGPD sur le lignage des données

Le lignage des données consiste à comprendre le flux des données : l’origine des données, les systèmes par lesquels elles sont passées et leur destination finale. Pour des raisons de clarté, il est souvent représenté sous forme graphique.

En comprenant ce lignage, les entreprises peuvent suivre précisément les détails des modifications de données (qui a effectué le changement, quels éléments ont été mis à jour, quand ces modifications ont eu lieu, le système utilisé), renforçant ainsi la confiance à l’égard de la qualité des données d’une entreprise.

Fortes de ces connaissances, les entreprises peuvent garantir que les données sensibles ne circulent que dans des systèmes dotés de techniques de protection des données, telles que l’anonymisation et la pseudonymisation. Cela leur permet également d’être mieux préparées pour les rapports réglementaires. Le lignage des données est donc crucial pour le RGPD.

Enregistrer les activités de traitement

L’Article 30 du RGPD oblige les entreprises à tenir un registre des activités de traitement. Les exigences relatives à la tenue d’un registre s’étendent aussi aux sous-traitants, qui traitent des données pour le compte d’une entreprise.

Ce registre doit inclure :

• une description des catégories de données à caractère personnel ;
• une description des catégories des destinataires de données à caractère personnel, y compris ceux qui se trouvent dans des pays tiers ou des organisations internationales ;
• les transferts de données à caractère personnel vers un pays tiers ou une organisation internationale.

Droit à l’oubli

L’Article 17 du RGPD donne aux personnes concernées le droit à l’effacement, communément appelé « droit à l’oubli ». Cela signifie que les entreprises doivent mettre en place des fonctionnalités capables d’effacer totalement du lieu de stockage les données à caractère personnel d’un client. Pour cela, il est avant tout essentiel de connaître l’ensemble des systèmes hébergeant les données du client.

Droit d’accès aux données et à la portabilité des données

L’Article 20 du RGPD confère aux personnes concernées le droit de portabilité des données (par exemple, les clients peuvent demander l’ensemble de leurs données dans un format lisible par machine). Ils peuvent ensuite utiliser ces données à des fins d’information ou pour changer de plateforme. Encore une fois, le lignage des données est fondamental pour rendre ce service au client.

Comment suivre le lignage des données

Pour remplir l’obligation de lignage des données du RGPD, les organisations doivent remplir les conditions préalables suivantes :

• Créer une taxonomie des données
• Identifier les propriétaires de données
• Identifier les éléments de données critiques
• Avoir une bonne compréhension des personnes concernées et de leurs intentions (Étape 5 et Étape 6)
• Identifier les sous-traitants/fournisseurs

Une fois ces étapes fondamentales franchies, les équipes de gouvernance des données doivent renforcer la gestion des métadonnées et les capacités de lignage des données pour se conformer avec cet article du RGPD.

Utiliser Talend pour le lignage des données

Talend Metadata Manager prend en charge le lignage des données sur de nombreuses plateformes, y compris Hadoop et NoSQL. Une fois le paysage de données entièrement défini dans le gestionnaire des métadonnées, les flux de données et dépendances sont présentés à l’utilisateur sous forme graphique via un mécanisme automatisé.

Dans l’exemple présenté à la Figure 1, bien que les données de consentement soient utilisées par le système CRM et le système MDM, le gestionnaire des métadonnées montre clairement que le consentement a d’abord été saisi dans le système CRM.

Figure 1 : Talend Metadata Manager établit un panorama complet des données critiques comme les consentements afin de pouvoir suivre et retracer leur origine et leur destination.

Talend Big Data Platform s’intègre également à Apache Atlas et à Cloudera Navigator pour fournir le lignage des flux de données dans un lac de données. Dans un environnement complexe de big data, avec de nombreuses sources d’informations, cette fonctionnalité est pratique pour isoler des problèmes éventuels.

Étapes suivantes du lignage de données

Le suivi du lignage des données n’est pas seulement utile pour les applications de production : il l'est aussi pour d’autres environnements comme ceux de test et de sauvegarde. Il est utilisé au sein d’une organisation, mais également quand des données de l’UE circulent vers d’autres pays ou fournisseurs. Le RGPD s’applique également aux entreprises qui ne font pas partie de l’UE si les personnes concernées sont basées dans l’UE. Compte tenu de cette exigence, il est nécessaire de traiter le lignage des données d’un point de vue holistique et les outils Talend sont là pour vous y aider.

L’étape suivante du plan global en 16 étapes de Talend consiste à contrôler les modèles analytiques.

← Étape 10  |  Étape 12 →