Nous vivons à l'ère moderne de la confidentialité des données. Depuis Règlement général sur la protection des données (RGPD) entrée en vigueur en mai 2018, les entreprises sont confrontées à une nouvelle réalité en ce qui concerne leur responsabilité envers les individus et leurs données.
Cela s’accompagne d’une émergence sans précédent de lois sur la protection de la vie privée visant à protection des personnes concernées et leurs informations personnelles et sensibles — et de plus en plus d’organisations élaborent des cadres de confidentialité conçus pour se conformer à ces lois.
La transparence — et pourquoi elle est importante
Dans cette nouvelle réalité, nous envisageons la confidentialité en termes de transparence : dans quelle mesure les organisations sont-elles claires quant à leurs politiques et processus de données, dans les avis qu’elles fournissent aux personnes concernées, dans leur documentation sur la manière dont elles traitent les données et dans leurs capacités de reporting.
Transparence des pratiques et des politiques en matière de données renforce la confiance envers les organisations — et garantit et favorise la responsabilisation. Vous ne pouvez pas prouver ouvertement que vous respectez les préférences des personnes concernées si vous ne pouvez pas localiser et suivre leurs données dans toute votre organisation, ni résoudre les problèmes liés aux informations sensibles si vous ne parvenez pas à identifier l'origine du problème.
Avant le RGPD, la plupart des entreprises manquaient de motivation pour mettre en place des programmes de confidentialité efficaces. Sans l'impulsion des régulateurs et la menace de sanctions en cas de violation, le besoin de responsabilisation des bureaux de protection de la vie privée et des organisations en général était faible.
RGPD, article 30 et ROPA
Entrez le RGPD, qui a mis la responsabilité au premier plan avec Article 30.
L’article 30 stipule que les responsables du traitement et les sous-traitants doivent tenir un registre des activités de traitement. communément appelés ROPACela signifie que les responsables du traitement et les sous-traitants doivent désormais être en mesure de fournir facilement certains détails sur les données qu'ils collectent. Ces détails comprennent :
- nom et coordonnées
- catégories de personnes concernées et les données personnelles qu'elles traitent
- catégories de destinataires auxquels les données seront divulguées
- informations de transfert à des tiers
- politiques de conservation et de destruction
- les finalités des activités de traitement des données
- les mesures de sécurité techniques et administratives mises en place
Cela représente une quantité importante d'informations, de natures diverses, et les entreprises doivent être prêtes à les fournir aux autorités de contrôle sur demande. Certaines autorités recommandent même de fournir des informations supplémentaires.
Le Le Bureau du Commissaire à l'information (ICO) au Royaume-Uni conseille les organisations doivent inclure des enregistrements de consentement, des accords avec les processeurs, des évaluations d'impact sur la protection des données, la localisation des données personnelles, des références aux incidents de sécurité et si les données ont été traitées sur une base légale - en plus de la liste ROPA requise.
Tenir de bons registres donne du pouvoir aux organisations non seulement pour fournir aux autorités les bonnes informations sur la manière dont elles protègent leurs données, mais aussi pour mettre en œuvre des pratiques efficaces qui optimisent en permanence leurs programmes de confidentialité des données. L'APD belge soutient La tenue de registres est un outil de responsabilisation important. « Les organisations qui ne connaissent pas leurs données auront beaucoup plus de mal à se conformer au RGPD. »
Sans données directes, précises et complètes connaissance des donnéesLes rapports sont aléatoires, dispersés et ne peuvent pas démontrer clairement comment une organisation met en œuvre des pratiques de responsabilisation.
Automatiser vos données pour connaître vos données
Vous avez peut-être entendu dire qu'un voyage de mille kilomètres commence par un premier pas. Ainsi, même si documenter l'intégralité du cycle de vie des données de votre entreprise peut sembler complexe, prendre des mesures concrètes pour les connaître est un bon point de départ.
L'ICO recommande une cartographie efficace des données comme première étape du processus pour « s'assurer que rien n'est oublié ». Les organisations peuvent créer un inventaire de données précis, efficace et évolutif grâce à découverte automatisée de données et classification qui offre une visibilité complète sur toutes vos données — personnelles et sensibles, sur tous les types de données et toutes les sources de données.
BigID permet aux entreprises de créer et de mettre à jour en permanence un inventaire indexé de toutes les informations personnelles et sensibles, en intégrant les politiques et le contexte commercial tout en intégrant la perspicacité et la perspectiveCeci est particulièrement important pour que les organisations puissent expliquer non seulement les données dont elles disposent, mais aussi les but derrière la collecte et le traitement de leurs données.
En tant que de plus en plus de réglementations légales émergent Concernant la collecte et l'utilisation des données des personnes concernées par les organisations, les principes de confidentialité tels que la transparence et la responsabilité deviendront encore plus présents. Cela implique davantage d'exigences, comme le respect des RoPA, la soumission à des audits et la mise à disposition d'indicateurs clés aux personnes concernées et aux régulateurs.
Aujourd'hui, la responsabilité implique que les entreprises mettent en place des mesures techniques pour prouver leur responsabilité en matière de données clients. Grâce à la découverte, la classification et la cartographie automatisées, les organisations peuvent établir clairement un programme de confidentialité solide — et rendent compte du quoi, du comment et du pourquoi des données qu’ils traitent.
En savoir plus sur la façon dont BigID peut vous aider votre entreprise automatise la tenue des registres de l'article 30 du RGPD et crée un système précis et efficace ROPA.