Les données sont considérées comme le pétrole moderne, et la comparaison ne se limite pas à la valeur. Tout comme les réglementations définissent la sécurité du stockage et de l'utilisation du carburant, il existe des lois pour les informations personnelles identifiables (IPI) et des données sensibles également.
Le problème, c'est qu'on ne peut pas appliquer de règles et de politiques à ce qu'on ignore. Pour gérer ses données, vous devez savoir où il est stocké, son utilisation et sa sensibilité. C'est pourquoi la cartographie des données est si importante en matière de gouvernance et de conformité.
Qu'est-ce que la cartographie des données ?
En gouvernance, la cartographie des données est le processus de documentation de l'écosystème de données de votre organisation. Elle indique les informations personnelles identifiables collectées, leur emplacement de stockage, leur circulation entre les systèmes et leur utilisation.
En bref, le mappage des données crée une visibilité afin que les politiques, les exigences de conformité et les mesures de sécurité puissent être appliquées de manière cohérente.
Prenons l'exemple d'un détaillant. Pour traiter une commande, il a besoin des éléments suivants :
- Le nom et l'adresse du client pour la livraison
- Leur e-mail pour la confirmation de compte
- Un enregistrement des achats passés à des fins de marketing
Ajoutez les dossiers des employés, les détails des fournisseurs et les transactions financières, et vous pourrez voir à quelle vitesse les données deviennent complexes.
Une cartographie axée sur la gouvernance classe ces différents types de données (publiques, personnelles ou sensibles). Elle indique le lien entre les informations personnelles identifiables et les finalités commerciales, ainsi que la base juridique de leur traitement.
Grâce à cette vue unifiée, vous êtes mieux en mesure d'appliquer les politiques appropriées à vos données. Vous pouvez sécuriser vos informations personnelles et garantir qu'elles ne sont utilisées qu'à des fins légitimes. Vous pouvez également garantir que les données personnelles et sensibles sont conservées ou supprimées conformément aux réglementations telles que la Le RGPD dans l'UE ou le CCPA en Californie.
De plus, les cas d'utilisation avancés, comme l'analyse ou l'entraînement de modèles d'IA, nécessitent des données précises et cohérentes. La cartographie prépare vos informations à ces fins.
L'application de politiques de confidentialité aux données est en soi un exercice purement intellectuel. Son application pratique repose largement sur la cartographie des données. Celle-ci vous indique où se trouvent vos données et comment elles circulent. Elle classe les informations selon leur sensibilité, ce qui vous informe ensuite des politiques à appliquer.
Dans l’ensemble, ce processus n’est pas seulement un exercice de conformité ; il contribue à améliorer la qualité de vos données.
Principaux avantages de la cartographie des données pour la gouvernance et la conformité
Des pratiques efficaces de cartographie des données peuvent être bénéfiques pour votre entreprise de plusieurs manières. En voici quelques-unes :
Conformité réglementaire et préparation à l'audit
Le RGPD exige des organisations qu'elles conservent un registre de la manière dont elles utilisent et traitent les données. Certes, cela n'est pas exigé par d'autres lois sur la protection des données, telles que la CCPA et HIPAA. Cependant, ils ont également besoin que vous sachiez quelles données personnelles votre entreprise détient, pourquoi vous les traitez et comment elles circulent.
De plus, les auditeurs et les régulateurs ne fonctionnent pas sur la confiance. Vous devez fournir plus que votre simple parole concernant le respect des pratiques de données conformes. Une cartographie des données bien entretenue fait partie intégrante de vos preuves détaillées. Elle vous aide à démontrer et à prouver votre responsabilité.
Réduction des risques
Faits saillants de la cartographie données fictives et le shadow IT, qui comprend les bases de données, les feuilles de calcul ou les applications fonctionnant en dehors des systèmes approuvés. Comme vous l'avez sans doute entendu, l'ignorance de la loi ne constitue pas une excuse pour enfreindre la loi. De même, ignorer que vous possédez des données ne vous dispense pas de respecter la réglementation relative à leur stockage ou à leur utilisation.
L’identification des données fantômes est la première étape pour les placer sous gouvernance et réduire le risque de perte ou de violation de données et les amendes qui en découlent.
Efficacité opérationnelle
Savoir où se trouvent vos données et comment elles circulent vous aide à éviter les doublons et les redondances. Comprendre le mouvement des données vous permet de revoir vos processus et de réduire les goulots d'étranglement.
Lors de la collecte d'informations personnelles identifiables, vous devez permettre aux personnes concernées d'accéder à leurs données, de les consulter ou d'en demander la suppression. Si vous savez où ces données sont stockées, vous pouvez compléter le formulaire. DSAR plus rapidement et plus efficacement.
Avec toutes vos données soigneusement organisées, vous êtes également moins susceptible d’avoir des informations anciennes ou obsolètes qui encombrent votre espace de stockage.
Prise en charge des DPIA et des RoPA
Évaluation de l'impact sur la protection des données (AIPD) Il s'agit d'un processus requis par le RGPD pour les activités de traitement à haut risque. Il analyse les risques auxquels sont exposées les données personnelles identifiables lors de leur utilisation.
AIPD et RoPA (Nous y reviendrons plus tard) s'appuient sur des inventaires de données précis et une documentation des flux. Une cartographie des données rend ces tâches plus rapides, plus précises et plus faciles à gérer.
Amélioration de la qualité des données
La cartographie est un excellent moyen d'éliminer les données incohérentes et redondantes. Elle nécessite de les étiqueter systématiquement pour qu'elles soient contextualisées et facilement compréhensibles par les machines. Des données propres et validées renforcent non seulement les rapports de conformité, mais garantissent également la fiabilité des analyses et de l'IA.
Surveillance des fournisseurs et des tiers
Les organisations modernes dépendent de écosystèmes de fournisseurs complexes Où les données sont partagées pour offrir plus de valeur aux utilisateurs. La cartographie révèle comment les données personnelles sont partagées en externe. Elle vous permet de vérifier que les fournisseurs appliquent les mêmes normes de protection et respectent leurs obligations contractuelles et légales.
Conformité transfrontalière
Données commerciales qui traverse les frontières réglementaires doivent être conformes à tous les niveaux. Par exemple, le RGPD stipule que les données personnelles des résidents de l'UE ne peuvent être transférées vers un pays hors Union européenne que dans des circonstances spécifiques.
Si votre entreprise opère dans plusieurs juridictions, une cartographie des données indique où les données sont transférées et stockées. Cela vous permet de savoir où appliquer les règles de transfert international et de garantir la transparence avec vos clients et les autorités de régulation.
Bien entendu, ces avantages ne sont possibles que si vous effectuez le processus de cartographie avec diligence.
Processus et concepts de cartographie des données
Le processus de cartographie des données peut être grossièrement divisé en deux processus : l’inventaire des données et la création d’une cartographie des données.
L'inventaire est un catalogue de vos données et de leur localisation, organisé par sensibilité. La cartographie des données est une représentation visuelle de leur utilisation et de leur circulation. Ensemble, ces deux éléments vous aident à gérer les informations de votre entreprise.
Pour comprendre comment fonctionne la cartographie des données dans la gouvernance, vous devez comprendre certains de ses concepts clés :
Types de données
Une cartographie des données doit recenser toutes les informations collectées par l'entreprise, notamment les données relatives aux clients, aux employés et à l'entreprise.
Les données client incluent (mais ne sont pas limitées à) :
- Noms
- Adresses domicile/professionnelles/e-mail
- Numéros de téléphone
- Informations de paiement, telles que les coordonnées de carte de crédit ou bancaires
- Historique des commandes
- Historique de navigation
Les détails de l'employé peuvent être :
- Coordonnées pour les dossiers RH
- Informations sur la paie et les opérations bancaires pour le paiement des salaires
- Informations sur l'inscription aux régimes de santé et aux avantages sociaux à des fins d'assurance et de conformité
- Résultats des évaluations de performance et dossiers de formation pour gérer le développement et la progression
- Coordonnées d'urgence pour les exigences de sécurité au travail
Les informations commerciales comprennent :
- Contrats et accords avec des fournisseurs, des partenaires ou des clients
- Les documents financiers tels que les factures, les grands livres et les déclarations fiscales
- Propriété intellectuelle, y compris les conceptions de produits, le code source ou les données de recherche
- Informations sur la chaîne d'approvisionnement, telles que les manifestes d'expédition ou les prix des fournisseurs
Chaque élément d’information peut nécessiter différents niveaux de protection, en fonction de la confidentialité des données applicable et des réglementations sectorielles.
Sources et systèmes de données
Votre organisation collecte des données à partir de divers points de contact. Les données clients peuvent être collectées et stockées dans des plateformes CRM, comme Salesforce, ou d'autres outils marketing. Les dossiers des employés peuvent être stockés dans les systèmes RH et les systèmes de paiement.
Vous avez peut-être stocké des informations dans le cloud, voire dans des feuilles de calcul ou des bases de données existantes. Le format de stockage de ces enregistrements peut être tout aussi varié. Les formats de données les plus courants incluent les bases de données SQL, JSON, XML et les fichiers CSV.
Les formats répertoriés sont tous des sources de données structurées. Vous pouvez également stocker des informations dans des formats non structurés, tels que des e-mails, des PDF, etc.
Registres des activités de traitement (RoPA)
Si votre entreprise est couverte par le RGPD, vous devez conserver un journal interne de vos activités de traitement de données en vertu de l’article 30.un registre des activités de traitementAutrement dit, vous devez savoir quelles données votre entreprise possède, ainsi que comment et pourquoi elles sont utilisées à des fins internes.
Les cartographies de données sont essentielles à l'élaboration et à la maintenance de ces règles de protection des données. Elles enregistrent les données personnelles traitées, leur finalité, leur fondement juridique et leur auteur.
Flux de données et lignée
Votre entreprise collecte des informations personnelles identifiables pour une raison précise ; elles ne restent donc jamais inactives dans une base de données. Elles doivent circuler dans les systèmes et les applications pour remplir leur fonction.
La cartographie dans la gouvernance montre comment les données circulent de la source à la destination, que ce soit en interne entre les applications ou en externe vers les fournisseurs.
Il documente la lignée afin d'éliminer les angles morts. De plus, il vous aide à identifier les données fantômes ou l'informatique fantôme en comparant votre inventaire de données aux exigences de votre système.
Politiques et contrôles
Toutes les données que vous collectez sont soumises à certaines règles. Les politiques de gouvernance des données précisent pourquoi vous avez besoin de ces informations, comment les détruire une fois leur finalité atteinte, et tout le reste.
En vertu du RGPD, le traitement des informations doit reposer sur une base légale. Si le consentement en est une, ce n'est pas la seule. D'autres bases légales sont possibles : la nécessité contractuelle, l'obligation légale, les intérêts vitaux, les missions publiques et les intérêts légitimes.
Chaque élément de données d'une carte de gouvernance doit être lié à sa base légale et à sa finalité commerciale. Par exemple, vous pourriez en avoir besoin pour « exécuter une commande » ou « gérer la paie ». Documenter la finalité et la base garantit la responsabilité et facilite la démonstration de la conformité lors des audits.
Maintenant que vous avez collecté des informations personnelles et sensibles, vous devez les protéger en utilisant des mesures de sécurité et de protection de la vie privée adéquates. Ces données doivent être chiffrées lors de leur stockage et de leur transmission. Leur accès doit être limité aux personnes autorisées à les consulter.
De plus, vous ne pouvez pas conserver indéfiniment des données personnelles. Elles doivent être détruites une fois leur finalité atteinte. Vos politiques de données doivent inclure les déclencheurs de suppression et les instructions pour éliminer ces informations en toute sécurité.
Métadonnées
Les points de données en eux-mêmes n'ont aucune valeur. Les métadonnées (données sur les données) fournissent le contexte qui rend une carte exploitable. Elles expliquent la nature de chaque élément de données, sa provenance, sa classification et son propriétaire.
Les métadonnées sont essentielles à la cartographie des données. Sans elles, vous ne disposez que d'une multitude de champs inutiles. De plus, elles ne servent pas uniquement à cartographier les données ; elles sont également essentielles si vous souhaitez utiliser vos informations commerciales pour entraîner l'IA ou réaliser des analyses.
Qualité et validation des données
Au fil du temps, vos données d'entreprise peuvent se dégrader. Vous pourriez modifier les formats, rendant les anciennes entrées incompatibles avec les nouvelles. Différents services pourraient en faire des copies pour leur propre usage, créant ainsi plusieurs versions des mêmes informations. Certains anciens enregistrements, devenus inutiles mais non supprimés, aggravent la situation (et vos risques).
La cartographie des données améliore également la qualité en signalant les données incohérentes, les redondances et les enregistrements obsolètes. Des données propres et validées sont plus faciles à gérer. Elles permettent également des rapports, des analyses et un entraînement de l'IA précis.
Techniques de cartographie des données
Il n'existe pas de méthode unique pour cartographier vos données, et la meilleure méthode peut dépendre de la taille de votre organisation et de la complexité de votre écosystème de données. En général, la cartographie peut être abordée de trois manières :
Cartographie manuelle
Les organisations dépourvues d'outils automatisés ont souvent recours à des méthodes manuelles. Elles peuvent utiliser des feuilles de calcul, des organigrammes ou des questionnaires structurés remplis par les unités opérationnelles ou les fournisseurs. Les approches manuelles sont rentables et flexibles. Leur maintenance est également chronophage et elles laissent souvent passer des données cachées ou fantômes.
Cartographie hybride ou cartographie semi-automatisée
De nombreuses organisations combinent techniques manuelles et automatisées. Les outils automatisés mettent en évidence l'emplacement des données et leur circulation. Les équipes ajoutent ensuite le contexte que la technologie ne peut déduire seule. Cette approche hybride allie efficacité et précision.
Cartographie automatisée
Les outils automatisés nécessitent peu d'intervention manuelle. Ils utilisent l'analyse des métadonnées, la reconnaissance de formes et, de plus en plus, l'IA/ML pour découvrir et classer les données dans les environnements cloud, SaaS et sur site. Vous bénéficiez d'une vue en temps réel des données personnelles et sensibles. Cela facilite la mise à jour des inventaires, la réalisation des audits et le respect des délais de conformité.
La cartographie automatisée réduit les erreurs humaines. Elle s'adapte également facilement à votre entreprise, à mesure que son environnement se complexifie.
Automatisation du mappage des données avec la plateforme d'intelligence des données de BigID
BigID automatiquement découvre et classe les données sensibles à travers environnements structurés, non structurés et cloudLa plateforme crée des RoPA, prend en charge les DPIA et cartographie les flux de données, y compris les données fantômes, afin que vous puissiez rester conforme, réduire les risques et simplifier la gouvernance.
Mais ce n'est pas tout. La plateforme vous offre tout ce dont vous avez besoin pour gérer vos données, y compris la découverte et la classification, l'accès et la sécurité, et bien plus encore.
Vous souhaitez découvrir comment BigID peut aider vos données d’entreprise ? Planifiez une démo aujourd'hui.
Auteur
