Le RGPD impose aux entreprises un certain nombre d'obligations complexes, allant des droits des personnes concernées à la gestion du consentement. L'une des obligations les plus exigeantes en main-d'œuvre est l'obligation, prévue à l'article 30, pour les sous-traitants et responsables du traitement des données personnelles de tenir des registres des activités de traitement. Généralement appelée « obligation de tenue de registres au titre de l'article 30 », cette obligation impose aux entreprises la responsabilité de comptabiliser avec précision les données. données d'identité Si l'un des objectifs de l'obligation de tenue de registres est de fournir aux régulateurs de la DPA les preuves de conformité nécessaires, l'objectif plus large est d'aider les entreprises à mieux gérer les données de leurs clients et de leurs employés.
En tant qu'exigence de conservation des données, l'article 30 est souvent associé à des « cartes de flux de données » qui documentent et schématisent le traitement des données personnelles, de leur collecte à leur suppression. Correctement réalisées, elles permettent aux régulateurs et aux entreprises soumises au RGPD de codifier les activités de traitement et de garantir la bonne saisie des éléments nécessaires, tels que la finalité d'utilisation et la catégorie de données. De plus, le règlement encourage les organisations à exploiter la conservation des données afin de recueillir les informations complémentaires nécessaires à la protection des résidents et citoyens de l'UE. L'objectif de l'article 30 est de créer un registre clair de la manière dont les données personnelles sont traitées par une organisation. Cependant, une ambiguïté importante subsiste : d'où provient réellement la connaissance des données traitées ?
Rêves numériques et compromis analogiques
Le moyen le plus simple pour une organisation d'obtenir des informations détaillées sur ses activités de traitement de données est d'interroger les parties prenantes responsables de ces traitements. Après tout, elles devraient être en mesure de fournir une attestation sur les données collectées, la finalité de leur collecte, de leur utilisation, de leur conservation, etc. Si les humains disposaient d'une mémoire infaillible et d'une connaissance parfaite, cette méthode de collecte et d'archivage des informations représenterait un compte rendu précis du traitement réel des données. Malheureusement, les gens ne se souviennent pas parfaitement de l'endroit où ils ont rangé leurs clés de voiture, et encore moins de l'endroit où ils ont conservé leurs données.
Les gens oublient. Ils changent de travail. Ils interprètent mal. Ceux qui possèdent des applications de traitement de données comptent sur d'autres pour les développer. « Les gens sont des gens », comme l'a justement observé Depeche Mode. Ce ne sont pas des ordinateurs.
S'appuyer sur des entretiens et des enquêtes pour déterminer quelles données personnelles une organisation collecte et traite est peut-être mieux que rien, mais ce n'est pas l'objectif visé par l'article 30 du RGPD. À l'ère de l'information, une méthode précise pour déterminer où les informations numériques sont réellement collectées et traitées est indispensable. Déterminer quelles données sont stockées et traitées sur un ordinateur devrait être déterminé par un ordinateur réel. Et, comme dirait Depeche Mode : « Les gens ne sont pas des ordinateurs ».
Ne faites pas confiance, vérifiez
Dans une certaine mesure, le RGPD est analogue à la réglementation financière. Cependant, au lieu de se concentrer sur l'intégrité des transactions financières et des institutions concernées, l'accent est mis sur l'intégrité du traitement des données et des personnes concernées. Les données sont au RGPD ce que les transactions financières sont à Bâle III. Cela est tout à fait logique à l'ère de l'information, où les données sont la monnaie d'échange du commerce et de la communication. Et, comme toute réglementation financière dont la mesure de la conformité dépend d'une comptabilisation précise de la substance qui la sous-tend, le RGPD exige une comptabilisation précise des données pour être à la fois efficace et mesurable.
Les souvenirs ne sont pas des archives. Sans comptabilité précise des données, il n'y a pas d'audibilité, et sans audibilité, comment vérifier la conformité ? Pour qu'une réglementation sur la protection des données comme le RGPD soit utile, la vérification doit être basée sur les données. Après tout, on ne peut pas protéger ce qu'on ne trouve pas. BigID est le premier produit du marché à permettre aux organisations non seulement de trouver toutes les données personnelles d'un individu, mais aussi d'utiliser ce mappage de données pour enregistrer les flux de données en fonction du traitement réel des données. Grâce à BigID, les organisations peuvent créer et maintenir des enregistrements de traitement de données qui reflètent des données réelles grâce aux dernières avancées en matière d'apprentissage automatique, et non plus seulement à des questionnaires papier.
Le RGPD exige des entreprises qu'elles protègent les informations de leurs personnes concernées. L'article 30 exige des organisations qu'elles fournissent des preuves que chaque processus numérique nécessitant la collecte et le traitement de données personnelles est dûment comptabilisé. Cependant, pour que cette responsabilité soit véritablement engagée envers les personnes concernées, la tenue des registres de traitement des données doit s'appuyer sur des données réelles. BigID, pour la première fois, offre aux entreprises un moyen de satisfaire à cette obligation en s'appuyant sur des données réelles, et non pas simplement sur des données récupérées.
Auteur
