Alors que la poussière se dissipe depuis le RGPD de l'UE est entré en vigueur et la plupart des entreprises ont compris comment gérer leurs processus de collecte de consentement. Nombre d'entre elles se retrouvent de plus en plus confrontées à la difficulté de transformer ces accords de consentement en un contrôle pratique pour le traitement des demandes et les détenteurs de données.
L'accent mis sur le consentement a principalement porté sur le processus de collecte et de stockage du consentement afin de répondre aux exigences de conformité de base en matière de journalisation. Malheureusement, cela a détourné l'attention des aspects plus fondamentaux. ingénierie de la confidentialité questions liées à la but pour recueillir les consentements – comment cartographier et corréler les multiples accords de consentement de chaque personne concernée dans une vue consolidée et évaluer en permanence que les consentements sont valides et appropriés pour la collecte et le traitement des données.
Entrez dans la gouvernance du consentement : en étendant notre capacité unique à comprendre quelles données sont associées à quels sujets de données spécifiques, BigID permettra aux entreprises d'effectuer, par sujet de données et par attribut, une inspection du traitement des données pour vérifier la conformité du consentement.
Notre première étape pour concrétiser la finalité du consentement consiste à fournir une vue centrée sur la personne concernée de tous les accords de consentement recueillis via de multiples applications et sources. Notre objectif ultime est de transformer le consentement, d'un simple artefact juridique (et isolé) en un outil pratique et vérifiable. confidentialité des données contrôle qui fait partie intégrante de la protection de la vie privée dès la conception (PbD).
Mec, où est mon consentement ?
Lors de leurs premiers préparatifs pour se conformer au Règlement général sur la protection des données (RGPD), de nombreuses organisations se sont attachées à obtenir le consentement de leurs clients et consommateurs. En témoigne la vague d'e-mails envoyés par les fournisseurs, dans la panique, avant l'échéance.
Mais une fois le consentement recueilli et enregistré, que se passe-t-il ensuite ? Le nombre de produits de gestion du consentement, qui servent essentiellement de bases de données pour les accords de consentement et les préférences, a proliféré en réponse à GDPRCes outils sont généralement cloisonnés et les entreprises peuvent collecter plusieurs instances de consentement pour une seule personne concernée, qu'il s'agisse du consentement à l'utilisation de cookies et d'autres dispositifs de suivi en ligne dans le cadre des exigences de confidentialité électronique, à partir de plusieurs applications mobiles ou Web, ou d'une pléthore d'appareils connectés.
Sous le Loi californienne sur la protection de la vie privée des consommateurs qui entrera en vigueur en 2020, les entreprises couvertes par la loi devront toujours capturer les décisions de retrait et aligner ces préférences sur les actions de traitement réelles - même si la loi n'intègre pas à terme une exigence équivalente de consentement explicite sur le modèle du RGPD.
Les approches existantes en matière de collecte de consentement posent plusieurs défis aux organisations lorsqu’elles tentent de les opérationnaliser et d’intégrer les préférences et les conditions aux décisions de traitement et de transfert des données :
Les approches existantes présentent un certain nombre de défis pour opérationnaliser le consentement et intégrer les préférences et les conditions de consentement aux décisions de traitement et de transfert des données.
• Chaos du consentement
- Le consentement est recueilli à partir de sources multiples – avec des mécanismes limités pour consolider ou regrouper plusieurs actions de consentement par la même personne concernée
• Évaluation de la politique de consentement
• Les gestionnaires de la confidentialité souhaitent pouvoir définir et évaluer de manière centralisée les politiques de conformité par rapport à tous les enregistrements de consentement corrélés
• Validité du consentement
- Les outils se concentrent sur l’enregistrement du consentement lorsqu’il a été recueilli, mais qu’en est-il de l’identification des applications où le consentement n’a pas été recueilli, de la date de la dernière collecte du consentement et de la conformité de l’utilisation des données aux conditions de consentement ?
• Rapports d'activité DSAR et de traitement
- Pour les équipes opérationnelles et de confidentialité, la gestion du consentement ne prévoit pas de mécanisme permettant d'intégrer la preuve du consentement aux demandes d'accès aux données des personnes concernées. Cela rend le processus, au mieux, manuel et augmente le risque de non-conformité.
• Intégration du consentement pour la protection de la vie privée dès la conception
- Les développeurs ont besoin d'un mécanisme programmatique pour intégrer les politiques de confidentialité dès la conception, mais il n'existe aucun mécanisme pour intégrer le consentement dans leurs modèles d'application.
De plus, et c’est peut-être plus important pour l’avenir de la confidentialité des données, ces produits et services sont isolés du traitement réel des données et des activités de conformité associées.
Gouvernance du consentement – Mettre l'objectif au centre des préoccupations
BigID offre déjà la possibilité d'effectuer des vérifications des journaux de consentement dans les systèmes de gestion du consentement et d'intégrer les informations sur l'objectif d'utilisation à notre inventaire de données, les enregistrements des activités de traitement pour le RGPD. Article 30 rapports sur la documentation et les demandes d'accès des personnes concernées.
Notre première fonctionnalité de gouvernance du consentement sera désormais une console conçue pour offrir une vue par personne concernée sur la collecte, l'état et la validité du consentement. En corrélant les consentements recueillis à différents moments par différentes applications et de portées différentes avec une personne concernée, les équipes chargées de la confidentialité et l'informatique disposeront désormais d'un outil pour gérer, valider et rendre compte de l'état des politiques de consentement pour toutes les personnes concernées et toutes les sources de consentement.
Cette fonctionnalité étend notre capacité à répondre aux exigences du RGPD relatives aux droits des personnes concernées grâce à des rapports intégrés indiquant quand et comment le consentement a été recueilli pour des actions spécifiques de collecte de données par la personne concernée. De plus, les consommateurs peuvent utiliser cet indicateur proactif individualisé et consolidé si des applications collectent des données sans accord de consentement valide. De plus, cette vue corrélée nous permet d'identifier les cas où le consentement a été retiré et où les données doivent être supprimées.
De même, en intégrant la gouvernance du consentement à notre cartographie des flux de processus axée sur les données à travers les sources de données connectées, nous pouvons identifier et documenter le consentement par application pour les enregistrements ou activités de traitement de l'article 30 du RGPD et signaler les cas où le consentement est obsolète, incompatible avec l'objectif déclaré ou n'est tout simplement pas capturé.
Grâce aux nouvelles capacités de gouvernance du consentement de BigID, les organisations bénéficient :
Surveillance proactive de la conformité et politiques
- Identifier les applications qui ne recueillent pas le consentement
- Identifier les personnes concernées dont le consentement n'est pas valide, à jour et cohérent avec la finalité d'utilisation
Inspection de l'expiration du consentement
- Trouver tous les enregistrements des personnes concernées avec un consentement en retard
Demande d'accès aux données personnelles
- Fournir une preuve de consentement
- Comparez le consentement aux finalités réelles d'utilisation et si les finalités ne correspondent pas au consentement dans la politique de confidentialité
Cartographie des données / ROPA
- Preuve de collecte de consentement par demande
- Alerter sur les écarts et lancer le flux de travail de correction
L'avenir de la gouvernance du consentement
Lorsque nous passons du processus de collecte du consentement à sa validation, l'accord de consentement lui-même constitue également un enregistrement des attributs spécifiques que la personne concernée a accepté de partager et des actions spécifiques qu'elle a autorisées à effectuer sur les données. À mesure que la nature des accords de consentement évolue pour intégrer ces paramètres logiques explicites, notre capacité à fournir des informations détaillées sur la conformité des actions individuelles sur les attributs de chaque personne concernée avec les paramètres de consentement évoluera également.
Parallèlement, BigID a l'intention de fournir les bases pour que le consentement devienne un ensemble vivant et respirant de contraintes et d'entrées pour le cycle de vie du développement via un ensemble d'API et un SDK de politique de confidentialité pour l'intégration de l'analyse du consentement dans les applications et les pipelines de données.
Ces capacités initiales, qui seront davantage développées dans les prochaines versions, permettront aux organisations d'aller au-delà de la collecte du consentement vers la gouvernance du consentement, une approche consolidée de l'inspection programmatique, basée sur la machine par personne concernée et par enregistrement/attribut du traitement pour la conformité du consentement.
Auteur
