Certaines des nouvelles exigences en matière de confidentialité du RGPD (Règlement général sur la protection des données) de l'UE peuvent paraître intimidantes à première vue pour une entreprise qui y est soumise. Contrairement à la loi SOX, par exemple, qui prescrit l'utilisation de contrôles d'accès aux données sans détailler les détails, le RGPD garantit des droits très précis aux citoyens de l'UE concernant leurs données, ce qui impose une nouvelle charge de comptabilité et de responsabilité aux entreprises régies par ce nouveau règlement. De plus, avec des amendes pouvant atteindre 41 TP3T de chiffre d'affaires mondial, les entreprises sont fortement motivées pour trouver des moyens d'automatiser les nouvelles exigences d'accès aux données des personnes concernées.
Les droits des personnes concernées par le RGPD comprennent :
● Le droit d'un individu d'accéder à ses données
● Le droit d'un individu à transférer ses données vers un nouveau fournisseur de services
● Le droit d'un individu à l'effacement et à l'oubli
● Le droit d'un individu à être notifié dans les 72 heures en cas de violation
Pour les entreprises, cela crée un nouvel ensemble de responsabilités concernant les données des résidents de l'UE. Les organisations qui collectent et traitent des données personnelles doivent également être en mesure de rendre compte de ces données jusqu'à un individu précis. Il s'agit d'une rupture significative par rapport aux exigences de conformité antérieures, où les organisations devaient simplement documenter leurs politiques de confidentialité et présenter des contrôles de sécurité généraux. Le RGPD de l'UE souligne qu'en tant que dépositaires des données des consommateurs et des employés, les organisations doivent désormais être en mesure de rendre compte des données de chaque individu stockées en leur sein. La question pour les organisations est donc de savoir comment mettre en œuvre cette approche à grande échelle pour tous les clients et employés résidents de l'UE.
Une nouvelle approche logicielle pour l'accès des personnes concernées aux données
Bien que les droits des personnes concernées soient largement décrits par les dispositions du RGPD — y compris l’accès aux données, la rectification des données inexactes ou incomplètes, le blocage des données dont l’exactitude est contestée et l’effacement des données — la manière dont les entreprises doivent satisfaire à ces exigences n’est pas précisée.
Historiquement, les entreprises qui se portaient volontaires pour honorer les demandes d'accès aux données des personnes concernées le faisaient par le biais de processus manuels : les demandes étaient attribuées à des équipes techniques. découvrir des données et de fournir ensuite un rapport sur la localisation et l'utilisation. Ce processus manuel, cependant, ne se prête pas à une mise à l'échelle, est aléatoire plutôt que précis et manque une opportunité cruciale de mieux protéger les données personnelles grâce à l'intelligence des données.
Les outils traditionnels de découverte de données ne permettent pas aux organisations de comprendre quoi que ce soit au-delà de la classification de base des données. Ils nécessitent généralement un certain niveau de codage manuel pour prescrire les types de données à rechercher, ignorant ainsi les types inconnus ; ils sont optimisés pour les données structurées ou non structurées, mais pas les deux ; ils n'ont pas de connaissance du contexte et ne peuvent donc pas différencier des éléments de données d'apparence similaire ; et, surtout, ils ne révèlent ni la propriété ni la provenance des données. Cela signifie que les outils traditionnels de découverte de données ne peuvent pas identifier à qui appartiennent les données, tout en omettant potentiellement de larges pans de données inconnues ou obscures.
Des outils comme BigID Révolutionnez le processus habituel de découverte de données grâce à une nouvelle approche logicielle Big Data, spécialement conçue pour la recherche et l'inventaire des données personnelles par personne concernée. S'appuyant sur la science des données, l'apprentissage automatique et le contexte d'identité, un outil comme BigID fournit un scanner simple permettant de trouver, d'inventorier et de suivre les données personnelles par personne concernée, au sein de l'entreprise et dans le cloud.
La science des données et l'apprentissage automatique rencontrent la confidentialité des données
Les logiciels d'automatisation de la confidentialité comme BigID automatisent le mappage des données. BigID, par exemple, analyse les sources de données sur site et dans le cloud, identifie les informations personnelles et les catalogue à grande échelle par personne concernée. Alors que les outils traditionnels de découverte de données nécessitent l'instrumentation d'agents et un certain niveau de codage personnalisé utilisant des techniques de programmation complexes comme les expressions régulières, un outil comme BigID utilise l'apprentissage non supervisé pour aider le logiciel à comprendre d'abord les données personnelles connues et la relation associée avec une personne concernée. Le système utilise ensuite cet ensemble d'apprentissage pour rechercher et cataloguer d'autres données personnelles dans les bases de données de l'entreprise.
L'index ainsi obtenu fournit une cartographie des données utilisateur, avec des métadonnées supplémentaires, permettant aux organisations de vérifier les flux, la conservation et la localisation des données. Les demandes des personnes concernées peuvent être traitées en quelques secondes et facilement confiées à un analyste pour un traitement complémentaire, qu'il s'agisse d'accès, de portabilité ou de suppression. Enfin, en cas de violation de données, une organisation peut comparer les données volées à sa cartographie afin de déterminer si elle a effectivement été victime d'une violation et/ou d'identifier les utilisateurs concernés en quelques minutes, bien en deçà du délai de 72 heures imposé par le RGPD.
par @dimitrisirota