Demandes d'accès aux données personnelles ou DSAR sont à certains égards l'exigence la plus élémentaire pour émerger de la nouvelle vague de réglementations sur la confidentialité comme le RGPD et le California Consumer Privacy Act (CCPA). Les DSAR affirment que les individus ont un droit légal sur leurs données, même après les avoir partagées avec une organisation. Cette exigence, souvent qualifiée de droit aux données personnelles, confère aux individus un droit fondamental d'accéder aux données ou de les supprimer s'ils le souhaitent. Les entreprises deviennent de fait les gardiennes des informations personnelles. Les consommateurs, les employés et les sous-traitants conservent toujours la propriété de leurs données.
Pour les entreprises, ce bouleversement de la propriété des données personnelles pose de graves défis. Les entreprises collectent des données personnelles à de nombreux endroits, dans les centres de données et le cloud. Les données sont collectées dans toutes sortes de bases de données, puis traitées par toutes sortes d'applications. Et si les organisations ont développé une technologie pour répertorier leurs bases de données et leurs applications, elles n'ont rien de similaire pour les données qui y résident. Pire encore, les DSAR trouvent PII La gestion des données dans les vastes entrepôts ne suffit pas. Pour garantir la responsabilité des données, il est essentiel de prendre en compte toutes les données de chaque personne. Cela implique de pouvoir consulter toutes sortes de données. magasins et les applications, et identifier les données personnelles, leurs propriétaires et l'existence d'un consentement. De plus, cela exige qu'une organisation soit non seulement capable de gérer les demandes, mais aussi d'y répondre, et ce à grande échelle.
Mais pour compliquer encore les choses pour les entreprises soucieuses de se conformer, le risque de manquement ne se limite pas à une éventuelle amende d'un organisme de réglementation. Contrairement à d'autres réglementations sur la protection de la vie privée, comme le RGPD, où la conformité est déterminée par des organismes de réglementation désignés, en matière de droits relatifs aux données personnelles, c'est le consommateur ou l'employé qui décide en dernier ressort de la conformité. Ainsi, dans le cas de GDPR, la motivation pour une approche précise et efficace DSARs Ce ne sont pas les 28 États régulateurs, mais les 500 millions d'habitants de l'UE.
La dure vérité sur les DSAR : la classification ne suffit pas
Le RGPD et les réglementations similaires consacrent le droit aux données personnelles via les DSAR. Pour les entreprises, cette obligation de respecter ces DSAR s'avère toutefois complexe. Elle exige qu'une organisation soit en mesure de localiser toutes les données qu'elle conserve sur un individu, où qu'il soit. En pratique, cela est difficile à mettre en œuvre, car les technologies actuelles ne permettent pas d'identifier les informations personnelles contextuelles (RP), de déterminer automatiquement à qui elles appartiennent et de vérifier partout où une organisation conserve des données personnelles.
Par le passé, les entreprises pouvaient recourir à la recherche manuelle des données d'une personne sur simple demande. Les demandes étaient peu fréquentes, il n'existait aucune norme pour effectuer cette tâche et aucune pénalité n'était appliquée en cas d'inexactitude. Ainsi, chaque demande était acheminée vers une personne qui, à son tour, demandait aux différents propriétaires d'applications et de bases de données de fournir un rapport sur le contenu de chaque système. Ce processus présente l'inconvénient évident d'être fastidieux, imprécis et dépendant d'une recherche qui ne permettait pas de trouver des informations personnelles contextuelles ou des informations personnelles. De plus, il manquait manifestement d'évolutivité.
Cependant, avec l'avènement du RGPD, les organisations commencent à se tourner vers la technologie pour automatiser le processus de demande et de traitement des demandes d'accès aux données (DSAR). Avant l'apparition d'outils dédiés comme BigID, la technologie par défaut était un outil de sécurité basé sur la classification des données ou eDiscovery. Ces produits étaient conçus pour trouver des mots-clés ou des informations personnelles identifiables (IPI) dans des fichiers, des e-mails et des bases de données, en utilisant des expressions régulières. Bien que lents, ils fonctionnaient plutôt bien pour les cas d'utilisation PCI ou HIPAA, où il existait un critère de recherche précis, un volume de données limité à analyser et des systèmes cibles composés de systèmes de fichiers, de messagerie ou de bases de données relationnelles. Cependant, ils se révèlent inadaptés aux cas d'utilisation liés à la confidentialité comme les DSAR, car ils ne peuvent pas examiner tous les aspects, ne peuvent pas identifier les informations personnelles générales et, surtout, n'ont aucun moyen de corréler précisément les données personnelles à un individu, c'est-à-dire qu'ils ne sont pas sensibles à l'identité.
Une grande idée de BigID : l'automatisation des DSAR à grande échelle
Alors que de plus en plus de juridictions introduisent des réglementations sur la confidentialité qui stipulent les droits des individus en matière de données, les entreprises devront impérativement automatiser la gestion des activités de DSAR, de la demande à l'exécution. L'automatisation des DSAR à grande échelle nécessitera deux types d'innovation, jusqu'alors inaccessibles aux anciens outils de classification des données. Premièrement, les organisations devront identifier et inventorier les données dont elles disposent sur chaque individu. Deuxièmement, une fois les données brutes disponibles, elles devront être en mesure d'opérationnaliser les activités de demande et d'exécution afin de prendre en charge divers portails de demande, des types de réponses configurables, des flux de travail pour les analystes, des traitements par lots pour les scénarios à plus grand volume et l'intégration du consentement.
Aujourd'hui, trouver et inventorier les données de chaque individu dont une organisation dispose n'est pas chose aisée. Identifier les données personnelles est un défi, analyser les données structurées et non structurées, le Big Data, le cloud, etc., et pouvoir trier les données par personne est une nécessité évidente. Trouver toutes les informations personnelles est impossible avec la classification traditionnelle, qui ne trouve que des classes de données prédéfinies. Comparer les données personnelles et les données personnelles (PII) nécessite de pouvoir déterminer si les données proviennent ou concernent une personne, car elles reflètent le contexte de cette personne. Examiner également l'ensemble des données, du cloud aux applications, nécessite une nouvelle méthode d'interrogation des bases de données, qui évite les dépendances entre les styles de classification. Cette méthode doit également mapper ou visualiser les données Sans copier ni dupliquer les données. Les informations personnelles sont extrêmement sensibles. La dernière chose que les organisations souhaitent est de centraliser leurs données les plus sensibles et de créer ainsi un piège géant pour les pirates. Enfin, les nouvelles technologies devront être capables de corréler automatiquement les données à une personne. Si cela est assez simple pour les données identifiables de manière unique, comme une carte de crédit, c'est très difficile pour les données semi-identifiables, comme une date de naissance, des coordonnées GPS, une adresse IP, un cookie ou des préférences d'achat, pour ne citer que quelques exemples. De plus, la technologie devra être capable de résoudre les identités pour garantir que chaque demandeur obtienne toutes ses données avec exactitude, mais aussi de lever l'ambiguïté entre les identités similaires afin d'éviter toute confusion entre des personnes portant le même nom.
Il se trouve que BigID a été conçu précisément à cette fin. Premier et sans doute unique outil de découverte de données centré sur l'identité, BigID exploite les dernières technologies de machine learning et de scale-out pour identifier spécifiquement les informations personnelles, analyser toutes les données et les inventorier par personne sans centraliser les données. La résolution d'entités et la capacité de lever l'ambiguïté des personnes sont intégrées.
Mais BigID va au-delà de la simple découverte pour devenir pleinement opérationnel Création et reporting DSARCela comprend des outils permettant d'intégrer les portails de demande de données d'entreprise ainsi que les systèmes tiers de fournisseurs tels que ServiceNow et OneTrustBigID permet la récupération de données et la mise en forme de rapports en temps réel. Il permet également d'inclure des rapports sur le consentement grâce à ses fonctionnalités de gouvernance du consentement. Il propose un workflow permettant aux analystes d'examiner et d'approuver les rapports. Il fournit des outils pour authentifier un demandeur à partir de ses propres données. Il offre également des fonctionnalités de gestion groupée permettant de traiter simultanément des centaines de demandes DSAR. BigID permet même aux administrateurs de confirmer la suppression des données suite à une demande d'effacement.
Obtenir la confidentialité nécessaire
De nouvelles réglementations en matière de confidentialité apparaissent à un rythme effréné partout dans le monde et aux États-Unis. Si elles n'imposent pas toutes les mêmes exigences aux organisations, elles partagent toutes un point commun : les entreprises doivent savoir quelles données elles détiennent sur les individus et si elles les utilisent de manière légitime et approuvée. Pour les individus, ces nouvelles réglementations se traduiront principalement par un ensemble de nouveaux droits en matière de données personnelles, tels que l'accès, la portabilité, la rectification et la suppression de leurs données. Pour les entreprises, le respect de ces nouveaux droits en matière de données personnelles représentera également un défi majeur, car il les obligera à connaître leurs propres données avec un niveau de détail jamais requis auparavant.
La technologie BigID a été spécialement conçue pour aider les organisations à trouver des données personnelles par identité parmi les volumes d'informations importants (plusieurs pétaoctets) que les organisations conservent dans leurs bases de données et leurs applications. C'est pourquoi BigID s'appelle BigID. Cependant, trouver et comprendre les données dans une optique de confidentialité ne suffit pas à répondre aux nouvelles exigences des DSAR modernes. Les entreprises auront également besoin de toutes les capacités opérationnelles nécessaires pour signaler les données à un individu ou agir sur elles. C'est pourquoi BigID a développé la solution d'automatisation des DSAR la plus complète du marché. On ne peut pas protéger ce qu'on ne trouve pas, et BigID aide les organisations à repenser leur façon de trouver et de protéger les informations de leurs clients.
Auteur
