Le Règlement général sur la protection des données (RGPD), introduit par l’Union européenne, est entré en vigueur le 25 mai 2018. Ce règlement va changer la façon dont les entreprises traitent les données à caractère personnel des personnes concernées, qui comprennent les clients, les employés et les prospects. Les entreprises doivent réorganiser leurs processus et leurs systèmes pour se conformer à ces nouvelles normes strictes de protection des données.

Nous avons récemment mis en ligne un webinaire à la demande, Étapes pratiques pour la mise en conformité au RGPD, qui porte sur un plan global en 16 étapes de mise en œuvre d’un programme de gouvernance des données en vue d’assurer la conformité au RGPD. L’instauration de normes de collecte des données constitue l’Étape 5 de ce plan. Nous avons déjà abordé les quatre premières étapes ici : établir des politiques, normes et contrôles ; créer une taxonomie des données ; assigner la propriété des données ; et identifier les éléments de données critiques.

Télécharger Comment établir des normes de collecte des données [Étape 5 du RGPD] maintenant
En savoir plus

Le point de vue du RGPD sur la collecte des données

L’Article 25 du RGPD aborde la protection des données dès la conception et par défaut. Voici trois aspects de cet article qui ont un impact sur la collecte des données :

1 La minimisation des données : collecter uniquement les données nécessaires

Ce règlement oblige les entreprises à appliquer les mesures techniques et opérationnelles appropriées, telles que la minimisation des données, afin de garantir que, par défaut, seules les données à caractère personnel qui sont absolument nécessaires au traitement soient collectées.

Par exemple, un éditeur de logiciels peut utiliser un formulaire en ligne pour permettre aux utilisateurs de télécharger une version d’essai. Dans ce scénario, il serait judicieux que le formulaire demande le nom et l’adresse e-mail du demandeur. Toutefois, il ne serait pas pertinent que l’entreprise demande également sa date de naissance et son identifiant national.

En plus de cette collecte parcimonieuse, le RGPD exige également que les entreprises n’utilisent et/ou ne stockent que les données nécessaires au traitement. Si, passé un certain délai, les données ne sont plus nécessaires, un mécanisme automatique doit supprimer ces données indésirables.

2 Le consentement : recueillir la permission explicite de l’utilisateur

Le RGPD rend obligatoire l’obtention du consentement explicite de la personne concernée à l’utilisation de ses données à caractère personnel. Ce consentement ne peut plus être ambigu ou par défaut. Par exemple, les entreprises ne peuvent pas partir d’un principe de consentement par défaut pour ensuite donner une option de retrait aux clients. À l’inverse, le client doit donner son consentement explicite.

En outre, à chaque fois que les organisations changent leur façon de traiter les données à caractère personnel, elles doivent demander un renouvellement du consentement. De la même manière, si des champs de catégorie spéciaux sont traités, comme la race, l’origine ethnique, l’orientation sexuelle ou les opinions politiques, un autre consentement doit être obtenu (distinct de ceux déjà obtenus pour les données à caractère personnel de base).

3 La protection des données

La phase de collecte des données doit intégrer suffisamment de mesures, comme la pseudonymisation (remplacement des champs identifiables d’un registre de données par des pseudonymes) afin de protéger les données à caractère personnel. Par exemple, des éléments d’un code postal peuvent être cachés en utilisant un pseudonyme pour protéger l’adresse particulière d’une personne. On peut cependant révéler juste assez de chiffres pour indiquer qu’il s’agit d’un code postal des États-Unis.

Comment utiliser Talend pour collecter des données

La collecte des données et la mise en application correspondante des contrôles du RGPD constituent des fonctions clés de Talend. Talend Master Data Manager (MDM), Talend Big Data et Talend Data Quality prennent en charge la création d’un référentiel d’entreprise, dans lequel toutes les informations liées à la personne concernée, y compris les données à caractère personnel et les consentements, sont rapprochées. Ce lac de données relatives au RGPD peut alors être utilisé pour rapprocher les données.

Par exemple, on peut utiliser ces outils Talend pour établir que « Jean-Paul Durand » et « J-P Durand » sont une seule et même personne, même si seul le premier a donné son accord pour recevoir des courriers électroniques.

Le lac de données relatives au RGPD peut également gérer un inventaire unique de tous les consentements, y compris pour les campagnes par courrier électronique, les consentements en matière de cookies et les contrats de téléphonie. Ce référentiel conserve une liste de tous les consentements d’une personne concernée, dans l’ensemble des applications de l’entreprise. Il fournit une piste d’audit et une traçabilité au niveau des enregistrements des données de consentement relatives à une personne concernée spécifique pour telle ou telle application.

Une fois toutes les informations agrégées dans le lac de données relatives au RGPD, l’équipe de gouvernance des données peut offrir des services comme la portabilité des données et le droit à l’oubli.

Le concept de lac de données est efficace pour le RGPD, en particulier en cette époque de big data où les données affluent de toutes parts et non de systèmes conçus et contrôlés de manière centralisée. Dans ces environnements, les données entrantes peuvent ne pas être entièrement structurées et documentées. Cela signifie qu’il est nécessaire de collecter des données à caractère personnel à partir d’ensembles de données brutes, puis de collecter en mode participatif les règles de protection de ces données auprès de spécialistes des données, qui doivent les traiter pour leurs modèles de machine learning.

Étapes suivantes de conformité au RGPD

L’instauration de normes de collecte des données est une étape importante, compte tenu de l’intérêt du RGPD pour la minimisation des données et les consentements. Ces normes doivent être appliquées tant d’un point de vue technologique que du point de vue du traitement. L’équipe de gouvernance des données doit mettre en place des contrôles de façon à ce que les départements juridique et de la conformité approuvent le recueil des données au cours de la phase de conception de tout nouveau projet.

Comme pour l’instauration de normes de collecte, des règles doivent être fixées sur la manière d’utiliser ces données. Ce point est abordé dans l’étape suivante de notre plan en 16 étapes de mise en œuvre d’un cadre de gouvernance des données en vue de la conformité au RGPD.

Pour voir l’ensemble des 16 étapes, ne manquez pas notre webinaire à la demande, Étapes pratiques pour la mise en conformité au RGPD. La vidéo comprend des informations à ce sujet, mais aussi sur le développement de normes et de contrôles, l’identification des propriétaires de données, l’identification des éléments de données critiques et bien d’autres sujets encore.