Skip to content
Voir tous les articles

Opérationnaliser la protection de la vie privée dès la conception : Plaidoyer pour une conformité au RGPD axée sur les données

Le 22 juin 2018 à 11h00 EDT / 17h00 CEST, en collaboration avec des invités d'IBM, de DLA Piper, de la Commission européenne et du régulateur français CNIL, BigID organisera une discussion en ligne sur la manière dont la technologie peut aider à automatiser la conformité au RGPD (https://bigid.com/webinar-gdprcompliance/).

À l'approche de la date d'entrée en vigueur du RGPD, le 25 mai 2018, de nombreuses entreprises promettent des solutions pour répondre aux exigences détaillées et complexes du RGPD, mais seule une poignée d'entre elles, BigID Parmi eux, certains estiment qu'il sera impossible de respecter l'esprit ou la lettre du règlement sans adopter une approche de conformité axée sur les données. Face à un nouvel ensemble de réglementations, la pratique courante consiste à se concentrer sur les processus et le langage juridique. Cependant, il est important de rappeler que le D de RGPD signifie Données et le P signifie Protection. Le RGPD n'est pas un exercice talmudique de confidentialité théorique. Il s'agit essentiellement d'une réglementation relative à l'intégrité d'un élément mesurable : les données d'une personne. Cela nécessite une connaissance des données de cette personne, ce qui nécessite une approche de conformité axée sur les données.

Le respect d'une réglementation régissant l'utilisation et la propriété des données ne sera jamais évolutif et automatisé sans une comptabilité préalable de ces données, un suivi de leur utilisation et la démonstration de la conformité à la politique. Le processus de confidentialité est important, mais la confidentialité ne sera jamais un objectif vérifiable et mesurable sans un produit correspondant pour garantir la conformité.

Cette nouvelle perspective sur le respect de la vie privée, qui va au-delà des politiques et des processus, n’est peut-être nulle part mieux illustrée que par le nouvel impératif du RGPD en matière de respect de la vie privée dès la conception.

Vers la protection de la vie privée dès la conception

Le RGPD de l'UE renforce les concepts de protection de la vie privée dès la conception et par défaut, qui constituent des principes opérationnels fondamentaux. Ces principes obligent les organisations à prendre en compte la protection de la vie privée dès la conception d'un projet et jusqu'à son exploitation complète. Mais comment parvenir à une protection de la vie privée dès la conception lorsque l'organisation responsable de la conformité à la protection de la vie privée n'est pas directement responsable de la création et de l'administration d'une nouvelle initiative informatique ?

Pendant trop longtemps, la fonction Confidentialité de la plupart des organisations a défini des politiques et des processus de confidentialité pour les projets informatiques, mais manquait de solutions technologiques efficaces pour garantir la conformité aux règles internes ou aux réglementations externes. La conformité sans mesure n'est qu'une simple estimation, sans produit efficace pour mesurer le comportement réel et la conformité aux politiques et aux processus prescrits. Lorsque les services informatiques cherchent à mesurer la disponibilité et les performances des applications, ils n'utilisent pas de questionnaires, et il n'y a aucune raison impérieuse de se contenter de moins en matière de confidentialité ou de protection des données.

Le D dans RGPD signifie Données

Ce qui est parfois amusant lorsqu'on discute du RGPD avec des avocats, c'est l'abstraction des données personnelles par rapport à l'objet informatique lui-même. Les données, bien sûr, ne sont pas une notion ésotérique : il s'agit d'une unité d'information précise et quantifiable, stockée et traitée électroniquement. Lorsque l'UE a commencé à débattre du remplacement de la précédente directive sur la protection des données, c'était pour définir plus précisément ce qui devait être protégé et pour être plus exigeante quant aux conséquences en cas de manquement à cette obligation.

Le RGPD de l'UE est avant tout un règlement sur les données. Il sera donc impossible de s'y conformer de manière opérationnelle et respectueuse de la vie privée dès la conception, sans tenir compte des données. Estimer la localisation des données par le biais d'enquêtes n'est guère plus efficace que de naviguer jusqu'en Amérique du Nord à l'aide d'une carte du Xe siècle. C'est au mieux inexact, au pire peu fiable.

Pour protéger efficacement les données personnelles des consommateurs, il est nécessaire de connaître ces données : leur localisation, leur lignée, leur accès, leur propriété, etc. Les données ne peuvent être protégées que si l'objet de la protection est d'abord connu.

Conformité à la confidentialité des données des personnes

Le RGPD est très précis sur toute une série d’obligations, allant des droits des personnes concernées à l’accès aux données, à la portabilité et à l’effacement, en passant par les paramètres de consentement et la pseudonymisation, pour ne citer que quelques exemples.

Toutes ces obligations requièrent une connaissance approfondie et approfondie des données personnelles collectées et traitées par une organisation. Elles nécessitent une opérationnalisation de la protection des données, comparable à celle des systèmes informatiques, : des informations actualisées et ancrées sur les données collectées et traitées.

BigID est à l'avant-garde des entreprises de nouvelle génération qui fournissent des informations de type Big Data sur les données personnelles sans avoir besoin de créer un entrepôt de donnéesLe webinaire du 22 juin examinera le rôle que des entreprises comme BigID peuvent jouer à la fois dans l'automatisation de la conformité au RGPD et dans la fourniture aux consommateurs de véritables garanties basées sur les données pour leurs données.

Contenu