Le Règlement général sur la protection des données (RGPD), introduit par l’Union européenne, est entré en vigueur le 25 mai 2018. Avec l’introduction du RGPD, la façon dont les organisations utilisent les données à caractère personnel de leurs clients, employés et prospects sera étroitement surveillée. La non-conformité peut être sanctionnée par de lourdes amendes. Il est donc impératif pour les entreprises de comprendre les données qu’elles collectent et de ne pas les utiliser à d’autres fins que celle approuvée par la personne concernée.

Talend a récemment mis en ligne un webinaire à la demande, Étapes pratiques pour la mise en conformité au RGPD, qui porte sur un plan global en 16 étapes pour mettre en œuvre un programme de gouvernance des données en vue d’assurer la conformité au RGPD.

« Définir des normes d’utilisation acceptable » est l’Étape 6 de ce plan.

Télécharger Comment définir des normes d’utilisation acceptable pour le RGPD [Étape 6 du RGPD] maintenant
En savoir plus

Le point de vue du RGPD sur l’utilisation des données

Le RGPD exprime clairement la base sur laquelle les données à caractère personnel peuvent être utilisées. Il apporte un net changement par rapport aux normes existantes, afin de créer un cadre plus restreint pour les entreprises. Nous abordons ici les deux principes de base liés à l’utilisation acceptable des données :

Licéité du traitement

L’Article 6 du RGPD concerne la licéité du traitement des données à caractère personnel. Cet article aborde les situations où le traitement des données à caractère personnel est autorisé, à savoir :

  • La personne concernée a donné son consentement.
  • Le traitement est nécessaire à des fins contractuelles ou juridiques.
  • Le traitement est nécessaire pour protéger les intérêts vitaux de la personne concernée ou d’une autre personne.

Pour cela, l’équipe de gouvernance des données doit établir des contrôles afin de garantir que tout nouveau projet nécessitant l’usage de données à caractère personnel est approuvé par les services juridique et de la conformité au cours de la phase de conception. Une liste précise de ces situations et propre à l’entreprise doit être dressée.

Par exemple, si une banque d’investissement doit traiter des données à caractère personnel à des fins juridiques de lutte anti-blanchiment, il faut d’abord établir si elle en a le droit. Ce type de cas doit être rédigé et approuvé de manière explicite.

Conditions de consentement

En vertu de l’Article 7, paragraphe 1 du RGPD, un responsable du traitement doit pouvoir être en mesure de démontrer que la personne concernée a consenti au traitement de ses données à caractère personnel. L’idée est que les données ne doivent être utilisées qu’avec le consentement de la personne concernée, et uniquement aux fins auxquelles elle a consenti.

Par exemple, si la personne a consenti à recevoir des campagnes d’e-mail, mais pas des appels téléphoniques, ce consentement partiel doit être enregistré et les données ne doivent être utilisées que pour les campagnes d’e-mail.

Pour en savoir plus sur les exigences du RGPD en matière de consentement, reportez-vous à l’Étape 11.

Le RGPD recommande à l’équipe de gouvernance des données de travailler de concert avec les services informatique, juridique et de la conformité pour établir un référentiel des consentements pour l’entreprise. Ce référentiel doit constituer un inventaire unique de l’ensemble des consentements, y compris ceux qui concernent les campagnes d’e-mail, les cookies et les numéros de téléphone.

Enregistrement des activités de traitement

En vertu de l’Article 30, chaque responsable du traitement doit tenir un registre des activités de traitement sous sa responsabilité. Ce registre doit répertorier chaque activité de traitement de données à caractère personnel, ainsi que :

  • son but,
  • la personne responsable,
  • une description des catégories de personnes concernées et des catégories de données à caractère personnel,
  • les catégories de destinataires à qui les données à caractère personnel ont été ou seront divulguées,
  • des informations sur les éventuels transferts de données à caractère personnel vers un pays non européen,
  • leur délai de rétention,
  • une description des mesures de sécurité pour ces données.

Comment utiliser Talend pour définir une utilisation acceptable des données

Talend Master Data Manager (MDM), Talend Big Data et Talend Data Quality prennent en charge la création d’un lac de données RGPD, dans lequel toutes les informations en lien avec une personne concernée, y compris les données à caractère personnel et les consentements, peuvent être rapprochées. En cette époque de big data où les consentements peuvent être enregistrés dans des sources multiples, ce lac de données facilite la récupération et le rapprochement de données à partir de sources diverses.

La Figure 1 montre comment une tâche Talend récupère des données de consentement dans le système marketing d’un tiers et utilise Talend MDM pour publier ces informations de consentement dans toutes les applications qui en ont besoin. Cette tâche s’appuie également sur Talend Data Quality pour rapprocher les données du système externe et du catalogue RGPD géré de façon centrale.

normes d’utilisation

Figure 1. un job Talend associe la qualité, l’intendance et l’intégration des données au sein d’un environnement visuel unifié afin de recueillir, normaliser, rapprocher, certifier, protéger et diffuser des données à caractère personnel.

Cette représentation graphique d’un pipeline de données est entièrement automatisée et peut être effectuée en collaboration avec les équipes de l’entreprise. Par exemple, les utilisateurs professionnels peuvent participer à la définition des contrôles des données en utilisant Data Preparation et/ou au processus de certification et de compilation des données (par exemple, élimination des doublons) en utilisant Talend Data Stewardship.

Talend Metadata Manager peut également servir de catalogue des normes d’utilisation acceptable des éléments de données à caractère personnel. Par exemple, si une nouvelle valeur telle que « halal » est introduite dans l’environnement big data pour l’attribut « préférences alimentaires », les flux de travail Talend permettent d’obtenir les autorisations légales nécessaires, car ce champ peut être utilisé pour déterminer la confession religieuse de la personne concernée. Ce point est expressément régi par l’Article 9 du RGPD.

Talend MDM conserve un journal des mises à jour des données de référence, y compris des consentements. Dans la Figure 2, le journal montre que le consentement du client « Pierre Flores » a été ajouté le 14 juin, tandis qu’une exploration de cet enregistrement donnera le lignage complet de l’enregistrement, qui montrera que l’application ayant recueilli le consentement était le site web.

normes d’utilisation acceptable

Figure 2. Talend MDM fournit un lignage au niveau de l’enregistrement, et donne donc une piste d’audit des consentements et de toute autre information liée à la personne concernée.

Étapes suivantes de conformité au RGPD

Si la raison d’être du RGPD est de réguler le traitement des données à caractère personnel, la définition de normes d’utilisation acceptable en est un pilier. Les outils Talend simplifient considérablement ce processus en offrant des mécanismes d’automatisation, afin de comprendre, stocker et interpréter le paysage des données.

L’étape suivante du plan en 16 étapes élaboré par Talend pour mettre en œuvre un cadre de gouvernance des données en vue de la conformité au RGPD est le masquage des données. Le masquage de données utilise des techniques comme l’anonymisation et la pseudonymisation pour protéger les données.

Pour voir l’ensemble des 16 étapes, ne manquez pas notre webinaire à la demande, Étapes pratiques pour la mise en conformité au RGPD. Cette vidéo comprend des informations sur la création d’une taxonomie des données, l’identification des propriétaires de données, l’identification d’éléments de données critiques, la création de normes de collecte et bien d’autres sujets encore.