[Étape 7 du RGPD] Comment instaurer des normes de masquage des données
Le Règlement général sur la protection des données (RGPD), introduit par l’Union européenne, est entré en vigueur le 25 mai 2018. Avec l’introduction du RGPD, les entreprises ont une plus grande responsabilité en matière de protection des données à caractère personnel des personnes concernées telles que les clients, les employés et les prospects. Cette responsabilité inclut l’anonymisation des données pour une protection contrôlée de la confidentialité.
Nous avons récemment mis en ligne un webinaire à la demande, Étapes pratiques pour la mise en conformité au RGPD, qui porte sur un plan global en 16 étapes de mise en œuvre d’un programme de gouvernance des données en vue d’assurer la conformité au RGPD.
L’instauration de normes de masquage des données est l’Étape 7 de ce plan. Pour en savoir plus sur les six premières étapes, consultez les liens dans la barre latérale !
Que dit le RGPD sur le masquage des données ?
Le RGPD reconnaît que si certaines données à caractère personnel révèlent directement l’identité d’une personne, d’autres peuvent être traitées ou stockées tout en préservant la confidentialité.
Minimiser les obligations pour les données anonymes
La Raison 26 du RGPD indique qu’il y a lieu d’appliquer les principes relatifs à la protection des données à toute information « concernant une personne physique identifiée ou identifiable ». Ainsi, ces principes ne s’appliquent pas aux informations anonymes ou aux données à caractère personnel qui ne permettent pas d’identifier la personne concernée.
L’Article 11 du RGPD concerne le traitement ne nécessitant pas l’identification. Si un responsable du traitement (une entité qui détermine la finalité et les moyens du traitement des données à caractère personnel) n’a pas besoin de l’identité de la personne concernée, les obligations du responsable du traitement sont considérablement réduites en vertu du RGPD.
Effectivement, la Raison 26 et l’Article 11 du RGPD reconnaissent la présence d’informations anonymes et libèrent les entreprises d’obligations plus strictes en matière de sécurité lorsque les données à caractère personnel demeurent cachées.
Masquage des données à caractère personnel pour des raisons de sécurité
L’Article 32 du RGPD concerne la sécurité du traitement. Dans le cas de données à caractère personnel sensibles, le RGPD recommande aux entreprises d’appliquer les mesures organisationnelles et techniques appropriées (par exemple, l’anonymisation, la pseudonymisation, etc.) afin de garantir un niveau de sécurité adapté au risque.
Le bureau de la gouvernance des données doit mettre en place des contrôles afin de masquer ou chiffrer les données à caractère personnel sensibles de façon adéquate. Les normes de masquage des données doivent garantir que les données ne pourront pas être reconstituées lorsque plusieurs champs seront combinés.
Par exemple, les data scientists peuvent demander que le champ du nom de l’employé soit masqué avant toute analyse. Toutefois, un data scientist expérimenté pourra probablement déduire l’identité d’un employé en associant son poste, sa rémunération et son sexe (par exemple, « une femme responsable des RH avec un salaire de base de 200 000 $ »). Dans cette situation, il peut être plus judicieux de masquer également le poste et de donner une fourchette de salaire, par exemple « plus de 100 000 $ ».
Utiliser Talend pour masquer les données
Talend Data Quality offre un masquage des données et un brassage des données, des composants clés qui peuvent être appliqués à n’importe quelle étape d’un pipeline de données (voir Figure 1).
Le brassage des données est un type de masquage qui consiste à mélanger aléatoirement une colonne (ou un ensemble de données plus complexe comme un groupe de colonnes ou une partition) afin de dissimuler l’identité tandis que les valeurs pertinentes subsistent. La confidentialité est ainsi conservée mais il est toujours possible d’analyser et de tester les données à l’aide des valeurs de données initiales.
Figure 1 : Le masquage et brassage des données peuvent être appliqués à des flux de données en batch et en temps réel, grâce à des fonctions préconfigurées ou personnalisées.
Grâce à Talend Data Preparation, le masquage des données peut également être appliqué de façon ponctuelle, ce qui permet aux utilisateurs des différents secteurs d’activité de protéger les données sensibles avant de les partager avec leurs collègues. Par exemple, un responsable de campagne marketing qui souhaite rendre compte du succès d’une campagne à un partenaire, peut partager l’ensemble de données pour analyse après l’anonymisation de celles qui pourraient malencontreusement révéler des informations liées à la vie privée (Figure 2).
Figure 2 : masquage des données en libre-service pour les utilisateurs métiers dans Talend Data Preparation.
Cela est possible car l’outil de masquage des données est sensible à la sémantique et est pré-configuré pour les données IPI (informations personnelles identifiables) comme les identifiants e-mail, numéro de téléphone, etc. Dans le cas des identifiants e-mail, l’outil peut masquer la première partie (avant « @ »), mais en affichant quand même le nom de domaine.
Étapes suivantes de conformité au RGPD
Le masquage des données était autrefois un domaine de spécialité, qui n’était utilisé que par des applications de niche. Le RGPD a changé la donne en faisant du masquage des données une partie intégrante de tous types d’applications. Cela implique aussi que cette fonctionnalité doit être simple pour les développeurs et les utilisateurs professionnels qui ne sont pas des experts du masquage de données. C’est exactement dans cette optique que nous avons conçu les solutions Talend pour le RGPD.
En appliquant les Étapes 1 à 7 du plan global en 16 étapes, vous devriez avoir de bonnes bases pour assurer la conformité au RGPD. À ce stade, les entreprises devraient avoir une bonne compréhension de leurs données et disposer d’un ensemble de normes bien définies en matière de collecte, traitement et protection des données. L’étape suivante consiste à mener des analyses d’impact relatives à la protection des données.
← Étape 6 | Étape 8 →
Plus d'articles connexes
- Tout comprendre au RGPD grâce au guide Talend
- Qu'est-ce que la minimisation des données ?
- Se préparer au RGPD
- [Étape 14 du RGPD] Comment contrôler le cycle de vie des informations
- [Étape 15 du RGPD] Comment établir des accords de partage des données
- [Étape 16 du RGPD] Comment assurer la conformité au RGPD avec les contrôles
- [Étape 13 du RGPD] Comment gérer l’End User Computing
- [Étape 11 du RGPD] Comment reconstituer le lignage des données pour le RGPD
- [Étape 9 du RGPD] Comment mener des évaluations du risque lié au prestataire
- [Étape 12 du RGPD] Comment contrôler les modèles analytiques
- [Étape 10 du RGPD] Comment améliorer la qualité des données
- [Étape 8 du RGPD] Les Analyses d’Impact relatives à la Protection des Données
- [Étape 3 du RGPD] Comment confirmer les propriétaires des données
- [Étape 6 du RGPD] Comment définir des normes d’utilisation acceptable pour le RGPD
- [Étape 2 du RGPD] L’importance de créer une taxonomie des données
- [Étape 4 du RGPD] Comment identifier des ensembles de données critiques et des éléments de données critiques
- [Étape 1 du RGPD] Comment développer des politiques, normes et contrôles
- [Étape 5 du RGPD] Comment établir des normes de collecte des données