Suppression des données 101 : Garder les « restes »

Le succès obsédant de HBO, Leftovers, un événement mondial, a causé la disparition de 2% de la population mondiale. De même, concernant confidentialité des données, le Règlement général sur la protection des données (RGPD) était un événement mondial axé sur la disparition des « données ». 

Depuis le RGPD, le suppression des données est devenue une exigence universelle à laquelle les organisations doivent se conformer aux demandes de suppression de données, minimisation des données pratiques et politiques de rétention. Essentiellement, les données « restantes » permettront aux organisations de rester en conformité. 

Les défis liés à la suppression des données

Les organisations sont confrontées à des exigences rigoureuses en matière de collecte, de gestion, de protection et de suppression des données. La suppression des données nécessite une précision, une perspicacité et un contexte continus pour distinguer la manière dont les données sont traitées dans l'ensemble de l'organisation. 

Voici quelques-uns des défis qui rendent la suppression des données difficile : 

• Découverte et cartographie des données : Sans opérationnaliser découverte de données, trouver, classement, et aligner les données sur l'identité dans tous les systèmes est une tâche monumentale. La cartographie des données permet aux organisations de documenter les activités de traitement des données internes et externes afin de développer une inventaire de données précis et fiable couvrant tous les types de données. 

• Flux de travail et audits de suppression : Développer un workflow de suppression avec un processus de validation permettant aux propriétaires de données d'examiner, d'approuver et de confirmer la suppression est extrêmement complexe. L'avantage de workflows de suppression cohérents est qu'ils fournissent une piste d'audit complète pour garantir la conformité aux exigences réglementaires spécifiques. 

• Suppression de bout en bout : Au-delà du développement d'une stratégie et d'un flux de travail, pour aller plus loin, de nombreuses organisations manquent d'outils automatisés permettant la suppression complète des données par système et par utilisateurs.
• Temps et ressources : Sans une vision adéquate des données qui doivent être effacées, Les processus de suppression de données peuvent consommer du temps, des ressources et de l'argent pour une entreprise.
• Validation constante – Il est également difficile de déterminer de manière continue si les données sont restées supprimées après avoir reçu une demande de suppression de la part de personnes spécifiques. 

La confidentialité des données détermine les normes de suppression des données

Le droit d'être supprimé

Parmi tous les droits des consommateurs en matière de données – comme le droit d'accès, le droit de rectification, etc. – le plus complexe est le droit personnel de demander la suppression des données sur tous les systèmes. De plus, la plupart des nouvelles réglementations exigent la suppression des données à la fin d'un contrat ou d'un accord et lorsque le consentement n'existe plus. Ces dispositions s'appliquent toutes au « droit à l'oubli », aussi appelé « droit à l'effacement ».

Gestion des demandes de suppression

Concernant la gestion des demandes de suppression, la plupart des réglementations exigent que les entreprises proposent aux consommateurs plusieurs méthodes de dépôt. Les méthodes de dépôt les plus acceptables incluent un lien ou un formulaire sur le site web de l'entreprise, un numéro de téléphone gratuit, une adresse courriel spécifique, une soumission en personne ou par courrier.

Réponse à la demande de suppression

• Timing: Toutes les réglementations en matière de confidentialité, mais de nombreuses, exigent que les entreprises confirment la réception d'une demande de suppression dans un délai déterminé (généralement dix jours ouvrables après la réception de la demande) et doivent répondre aux demandes de suppression dans un délai de 30 à 45 jours calendaires. 
• Notifications: Lorsqu'une entreprise supprime des informations personnelles à la demande d'un consommateur, elle doit l'informer de l'aboutissement de sa demande. De plus, certaines réglementations exigent qu'une entreprise informe tous les tiers partageant des informations personnelles de sa demande. 

Minimisation des données

L'article 5 du RGPD de l'UE établit la norme en matière de principes de minimisation des données. et d'autres exigences relatives à la manière dont les entreprises collectent et traitent les données personnelles, y compris la limitation des finalités, l'exactitude, la limitation du stockage et la confidentialité. Le principe de minimisation des données du Bureau du Commissaire à l'information du Royaume-Uni (ICO) stipule que les données personnelles collectées par toute organisation doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire aux fins pour lesquelles elles sont traitées ».

La réglementation fait pression sur les entreprises pour qu’elles ne conservent que les informations ayant un objectif légitime. Cependant, la minimisation des données implique également la suppression des données dupliquées et obsolètes. Par conséquent, les politiques de suppression des données associées aux pratiques de minimisation des données peuvent réduire considérablement les coûts et les risques. 

Politiques de conservation des données

Les réglementations relatives à la confidentialité et à la protection des données, telles que RGPD et CCPA ont établi Directives sur la durée pendant laquelle une organisation doit conserver les données qu'elle collecte, conserve et traite. Lorsque les données ne sont plus utiles, il est dans l'intérêt de l'organisation de les supprimer afin d'éliminer tout risque potentiel de confidentialité. 

Il devrait être prioritaire d’élaborer des politiques de conservation des données dans toute l’entreprise afin de les aligner sur les règles commerciales complexes et les réglementations croissantes. Les programmes de conservation des entreprises doivent également tenir compte des périodes de conservation, des propriétaires de données, de l’autorité de suppression des données et des mesures correctives prises pour corriger les violations.

La suppression des données profite à l'entreprise

Lorsqu'une entreprise applique avec succès ses politiques de suppression de données, l'essentiel est de respecter les demandes de suppression et de supprimer les données inutiles. Cette démarche présente plusieurs avantages :

1. La valeur des données se déprécie rapidement au fil du temps 
2. La conséquence des violations de données est souvent la réputation de la marque, dont le rétablissement est difficile.
3. Le respect des politiques de suppression minimise le risque d’amendes importantes.
4. L'élimination des données réduit le coût global de stockage de toutes ces données
5. Augmentez la productivité car les ressources ne sont pas utilisées pour réexécuter des données inutiles, ce qui crée plus de travail pour le système et les employés.

L’établissement et le maintien de pratiques de suppression des données sont essentiels pour les mesures de confidentialité, de protection et de conformité des données des organisations.

Pour plus d'intimité, limitation de la collecte et de la suppression des données :

• protège la vie privée des individus
• maintient les données à jour et actualisées, améliorant ainsi leur qualité et leur valeur pour l'entreprise
• permet aux entreprises de maintenir la conformité réglementaire — et plus encore.

Pour des raisons de sécurité, suppression des données :

• permet aux entreprises de nettoyer les informations en double, similaires et redondantes qui présentent probablement un risque de sécurité
• réduire la surface d'attaque de l'entreprise — ou son nombre de points de contact vulnérables en cas de violation
• des coûts de stockage réduits — et bien plus encore.

Comment BigID aide à la suppression des données

Avec BigID, les organisations peuvent gérer, déléguer et exécuter les demandes de suppression pour répondre à la gestion des droits sur les données, accélérer les initiatives de minimisation et appliquer les politiques de rétention.  

Les organisations peuvent exploiter l'application BigID Deletion pour une suppression automatisée des données de bout en bout, et les supprimer en quelques secondes.

• Répondez rapidement et facilement aux demandes de suppression de données des utilisateurs et des applications
• Supprimez les données en quelques secondes – partout MySQL/MSSQL, Google Drive, Snowflake, Oracle, S3 et plus encore 
• Valider les demandes de suppression grâce à la collaboration et aux pistes d'audit
• Mettre en œuvre des stratégies de minimisation des données en purgeant le ROT Données (redondantes, obsolètes, triviales)
• Exécutez les politiques de conservation des données pour les supprimer à temps
• Automatisez les règles de conservation des données telles que la conservation légale pour empêcher la suppression
• Réduisez la surface d'attaque et atténuez les risques liés à la confidentialité

Pour en savoir plus sur la façon dont BigID peut aider à supprimer efficacement les données rencontrer plusieurs exigences réglementaires en matière de confidentialité, mettre en place un Démonstration 1:1 avec nous pour le voir en action.

Auteur

Verrion Wright

Stratégie et développement du contenu

Verrion Wright est un spécialiste du marketing très expérimenté et ambitieux, avec plus de 20 ans d'expérience dans le marketing produit, le développement de contenu et la stratégie numérique. Il a occupé des postes de direction dans divers secteurs, notamment les services informatiques, la confidentialité des données, le marketing et la publicité (planification des médias), en mettant l'accent sur les connaissances fondées sur les données et le marketing intégré. Chez BigID, Verrion est le directeur de la stratégie et du développement de contenu, qui aide à élever le contenu à travers tous les piliers, les régions et les acheteurs, en créant systématiquement un contenu convaincant sur plusieurs supports - y compris la vidéo, les articles, les listes de contrôle, les livres blancs et les guides.