La cartographie des données et l'inventaire des données personnelles pour en tirer des connaissances figurent parmi les priorités des entreprises souhaitant se conformer au Règlement général sur la protection des données (RGPD) de l'UE. La connaissance des données est essentielle pour garantir la conformité de la collecte et du traitement des données.
Certains vendeurs promettent de faire vie privée La conformité est facilitée grâce à la simplification des enquêtes par courriel auprès des parties prenantes afin de déterminer l'inventaire des données d'une organisation. En fournissant un ensemble de modèles de questionnaires utilisant un langage juridique, ils promettent une collecte d'informations simplifiée pour les évaluations d'impact sur la vie privée et les problèmes de conformité associés. Cependant, la plupart des personnes ont du mal à interpréter les questions juridiques, et se fier à ses souvenirs pour trouver des données est par définition peu fiable.
Mais comment obtenir une connaissance précise des données lorsque l'on part d'enquêtes inexactes ? Si l'objectif premier du RGPD est la protection des données, peut-on protéger ses données si l'on ne sait pas précisément où elles se trouvent ? Probablement pas… Examinons quelques raisons :
Les enquêtes manquent de précision :
Les enquêtes reposent sur l'interprétation et la mémorisation des données. Même dans le meilleur des cas, les individus sont faillibles et imprécis, mais lorsqu'il s'agit de mémoriser l'inventaire, la localisation et l'utilisation des données, ils sont aux antipodes des archivistes. Il est tout simplement impossible de « vérifier » le lieu de collecte, de stockage ou de traitement des données sans un audit des données. Or, un audit des données nécessite une analyse, et non une enquête.
Les enquêtes ne peuvent pas saisir le changement :
On dit que les données sont le nouveau pétrole. Et si cette métaphore est certainement vraie lorsqu'il s'agit de valeur et de la façon dont les données alimentent l'économie numérique moderne, elle l'est tout autant lorsqu'il s'agit de la façon dont elles s'infiltrent et circulent. Les données ne sont pas statiques. Elles se déplacent, sont agrégées, transformées, partagées et analysées. En matière de données, le changement est la seule constante. Malheureusement, personne ne peut fournir une comptabilité complète de l'évolution des données sans les interroger au préalable. Une enquête sans analyse ne peut donc jamais pleinement saisir l'évolution des modes de collecte et de traitement des données.
Les enquêtes ne sont pas complétées :
Outre le manque de fidélité des données, les enquêtes dépendent également de la réactivité et de la motivation des participants. Des réponses incomplètes ou incomplètes constituent un problème pour toute approche par sondage. Mais l'absence de réponse est encore pire. Les gens ont un travail à temps plein, et répondre à des enquêtes utilisant des termes juridiques opaques et sans bénéfice direct est souvent loin de leurs priorités. La confidentialité des données est peut-être une préoccupation pour l'entreprise, mais la communication des données n'est pas forcément celle de tous les employés.
Les enquêtes prennent beaucoup de temps :
La compilation d'une cartographie des données par le biais d'enquêtes, même en supposant, dans le meilleur des cas, leur représentativité, peut facilement s'étendre de plusieurs semaines à plusieurs mois. Accompagner plusieurs parties prenantes dans un processus d'enquête est souvent peu efficace en termes de ressources et a peu de chances de produire des résultats actualisés. Si démontrer aux autorités réglementaires qu'une initiative est en place peut les tenir à distance dans un premier temps, elles n'hésiteront pas si les progrès dans l'élaboration d'une cartographie des flux de données sont inférieurs à ceux de leurs pairs.
Les enquêtes ne peuvent pas satisfaire aux droits relatifs aux données personnelles :
Un inventaire de données basé sur une enquête manque de détails précis pour répondre à la question fondamentale posée par les obligations de confidentialité : où une organisation détient-elle les données de chaque client ou employé ? Si la cartographie des données est déconnectée des activités de traitement des données, elle ne peut servir de feuille de route aux services informatiques et de sécurité pour générer une demande d'accès aux données (DSAR), ni répondre aux modifications ou suppressions. La mise en place d'un processus de traitement des DSAR ne dispense pas le service informatique de la charge de travail liée aux étapes manuelles et à la création de requêtes personnalisées, même lorsque le temps presse pour répondre.
Alors, si une enquête ne peut pas rendre compte avec précision de la manière dont les données sont collectées ou traitées, à quoi sert-elle ? Si l'objectif de l'enquête est de protéger véritablement les données personnelles, la réponse la plus directe est probablement « pas grand-chose ». Les cartographies et inventaires de données générés à partir d'une enquête peuvent alimenter une évaluation de l'impact sur la vie privée, mais la fiabilité de cette évaluation restera toujours sujette à caution.
Les enquêtes ne seront jamais supérieures aux analyses pour une protection précise et efficace des données personnelles et de la confidentialité. La comptabilité des données exige une comptabilité des données. Cela nécessite de générer des inventaires et des cartes précis à partir d'analyses de données vérifiables. Si l'objectif de la conformité au RGPD est de protéger les données et de garantir la confidentialité, elle devra s'appuyer sur une connaissance précise des données ; et dans ce domaine, une enquête ne peut rivaliser avec une analyse.
Auteur
