Les données sont considérées comme le pétrole moderne, et la comparaison ne se limite pas à la valeur. Tout comme les réglementations définissent la sécurité du stockage et de l'utilisation du carburant, il existe des lois pour les informations personnelles identifiables (IPI) et des données sensibles également.
Le problème, c'est qu'on ne peut pas appliquer de règles et de politiques à ce qu'on ignore. Pour gérer ses données, vous devez savoir où il est stocké, son utilisation et sa sensibilité. Voilà pourquoi cartographie des données est si important en matière de gouvernance et de conformité.
Qu'est-ce que la cartographie des données ?
En gouvernance, la cartographie des données est le processus de documentation de l'écosystème de données de votre organisation. Elle indique les informations personnelles identifiables collectées, leur emplacement de stockage, leur circulation entre les systèmes et leur utilisation.
En bref, le mappage des données crée une visibilité afin que les politiques, les exigences de conformité et les mesures de sécurité puissent être appliquées de manière cohérente.
Prenons l'exemple d'un détaillant. Pour traiter une commande, il a besoin des éléments suivants :
- Le nom et l'adresse du client pour la livraison
- Leur e-mail pour la confirmation de compte
- Un enregistrement des achats passés à des fins de marketing
Ajouter dossiers des employés, les informations sur les fournisseurs et les transactions financières, et vous pouvez constater à quelle vitesse les données deviennent complexes.
Une cartographie axée sur la gouvernance classe ces différents types de données (publiques, personnelles ou sensibles). Elle indique le lien entre les informations personnelles identifiables et les finalités commerciales, ainsi que la base juridique de leur traitement.
Grâce à cette vue unifiée, vous êtes mieux en mesure d'appliquer les politiques appropriées à vos données. Vous pouvez sécuriser vos informations personnelles et garantir qu'elles ne sont utilisées qu'à des fins légitimes. Vous pouvez également garantir que les données personnelles et sensibles sont conservées ou supprimées conformément aux réglementations telles que la Le RGPD dans l'UE ou le CCPA en Californie.
De plus, les cas d'utilisation avancés, comme l'analyse ou l'entraînement de modèles d'IA, nécessitent des données précises et cohérentes. La cartographie prépare vos informations à ces fins.
L'application des politiques de confidentialité aux données est en soi un exercice purement intellectuel. Sa mise en œuvre pratique repose largement sur des outils de cartographie des données pour garantir leur exactitude.
C'est ce qui vous indique où se trouvent vos données et comment elles circulent au sein du modèle de données. Il classe les informations selon leur niveau de sensibilité. Cela vous permet ensuite de déterminer les politiques à appliquer.
En définitive, ce processus n'est pas qu'une simple formalité de conformité ; il contribue à améliorer votre la qualité des données.
Principaux avantages de la cartographie des données pour la gouvernance et la conformité
Des pratiques efficaces de cartographie des données sont bénéfiques à votre entreprise à plusieurs égards, notamment en améliorant l'intégration et l'analyse des données pour une meilleure utilisation de celles-ci. En voici quelques exemples :
Conformité réglementaire et préparation à l'audit
Le RGPD exige des organisations qu'elles conservent un registre de la manière dont elles utilisent et traitent les données. Certes, cela n'est pas exigé par d'autres lois sur la protection des données, telles que la CCPA et HIPAA. Cependant, ils ont également besoin que vous sachiez quelles données personnelles votre entreprise détient, pourquoi vous les traitez et comment elles circulent.
De plus, les auditeurs et les régulateurs ne fonctionnent pas sur la confiance. Vous devez fournir plus que votre simple parole concernant le respect des pratiques de données conformes. Une cartographie des données bien entretenue fait partie intégrante de vos preuves détaillées. Elle vous aide à démontrer et à prouver votre responsabilité.
Réduction des risques
Faits saillants de la cartographie données fictives et le shadow IT, qui comprend les bases de données, les feuilles de calcul ou les applications fonctionnant en dehors des systèmes approuvés. Comme vous l'avez sans doute entendu, l'ignorance de la loi ne constitue pas une excuse pour enfreindre la loi. De même, ignorer que vous possédez des données ne vous dispense pas de respecter la réglementation relative à leur stockage ou à leur utilisation.
L’identification des données fantômes est la première étape pour les placer sous gouvernance et réduire le risque de perte ou de violation de données et les amendes qui en découlent.
Efficacité opérationnelle
Savoir où se trouvent vos données et comment elles circulent vous aide à éviter les doublons et les redondances. Comprendre le mouvement des données vous permet de revoir vos processus et de réduire les goulots d'étranglement.
Lors de la collecte d'informations personnelles identifiables, vous devez permettre aux personnes concernées d'accéder à leurs données, de les consulter ou d'en demander la suppression. Si vous savez où ces données sont stockées, vous pouvez compléter le formulaire. DSAR plus rapidement et plus efficacement.
Avec toutes vos données soigneusement organisées, vous êtes également moins susceptible d’avoir des informations anciennes ou obsolètes qui encombrent votre espace de stockage.
Prise en charge des DPIA et des RoPA
Évaluation de l'impact sur la protection des données (AIPD) Il s'agit d'un processus requis par le RGPD pour les activités de traitement à haut risque. Il analyse les risques auxquels sont exposées les données personnelles identifiables lors de leur utilisation.
AIPD et RoPA (Nous y reviendrons plus tard) s'appuient sur des inventaires de données précis et une documentation des flux. Une cartographie des données rend ces tâches plus rapides, plus précises et plus faciles à gérer.
Amélioration de la qualité des données
La cartographie est un excellent moyen d'éliminer les données incohérentes et redondantes. Elle nécessite de les étiqueter systématiquement pour qu'elles soient contextualisées et facilement compréhensibles par les machines. Des données propres et validées renforcent non seulement les rapports de conformité, mais garantissent également la fiabilité des analyses et de l'IA.
Surveillance des fournisseurs et des tiers
Les organisations modernes dépendent de écosystèmes de fournisseurs complexes Le partage de données permet d'offrir une meilleure expérience utilisateur. La cartographie révèle comment les données personnelles sont partagées en externe et facilite leur transformation. Elle vous aide à vérifier que les fournisseurs appliquent les mêmes normes de protection et respectent leurs obligations contractuelles et légales.
Conformité transfrontalière
Données commerciales qui traverse les frontières réglementaires doivent être conformes à tous les niveaux. Par exemple, le RGPD stipule que les données personnelles des résidents de l'UE ne peuvent être transférées vers un pays hors Union européenne que dans des circonstances spécifiques.
Si votre entreprise exerce ses activités dans plusieurs juridictions, une cartographie des données indique où les données sont transférées et stockées. Cela vous indique où déposer votre demande. règles de transfert international et maintenir la transparence auprès des clients et des organismes de réglementation.
Bien entendu, ces avantages ne sont possibles que si vous effectuez le processus de cartographie avec diligence.
Processus et concepts de cartographie des données
Le processus de cartographie des données peut être grossièrement divisé en deux processus : l’inventaire des données et la création d’une cartographie des données.
L'inventaire est un catalogue de vos données et de leur localisation, organisé par sensibilité. La cartographie des données est une représentation visuelle de leur utilisation et de leur circulation. Ensemble, ces deux éléments vous aident à gérer les informations de votre entreprise.
Pour comprendre comment fonctionne la cartographie des données dans la gouvernance, vous devez comprendre certains de ses concepts clés :
Types de données
Une cartographie des données doit recenser toutes les informations collectées par l'entreprise, y compris les différents champs de données. Cela inclut les données clients, employés et commerciales.
Les données client incluent (mais ne sont pas limitées à) :
- Noms
- Adresses domicile/professionnelles/e-mail
- Numéros de téléphone
- Informations de paiement, telles que les coordonnées de carte de crédit ou bancaires
- Historique des commandes
- Historique de navigation
Les détails de l'employé peuvent être :
- Coordonnées pour les dossiers RH
- Informations sur la paie et les opérations bancaires pour le paiement des salaires
- Informations sur l'inscription aux régimes de santé et aux avantages sociaux à des fins d'assurance et de conformité
- Résultats des évaluations de performance et dossiers de formation pour gérer le développement et la progression
- Coordonnées d'urgence pour les exigences de sécurité au travail
Les informations commerciales se composent de divers ensembles de données :
- Contrats et accords avec des fournisseurs, des partenaires ou des clients
- Les documents financiers tels que les factures, les grands livres et les déclarations fiscales
- Propriété intellectuelle, y compris les conceptions de produits, le code source ou les données de recherche
- Informations sur la chaîne d'approvisionnement, telles que les manifestes d'expédition ou les prix des fournisseurs
Chaque élément d’information peut nécessiter différents niveaux de protection, en fonction de la confidentialité des données applicable et des réglementations sectorielles.
Sources et systèmes de données
Votre organisation collecte des données provenant de divers points de contact. Les données clients peuvent être collectées et stockées dans des plateformes CRM, comme Salesforce, ou d'autres outils marketing. Les dossiers des employés peuvent se trouver dans des systèmes RH, des entrepôts de données ou des plateformes de traitement des paiements.
Vous avez peut-être stocké des informations dans le cloud, voire dans des feuilles de calcul ou des bases de données existantes. Le format de stockage de ces enregistrements peut être tout aussi varié. Les formats de données les plus courants incluent les bases de données SQL, JSON, XML et les fichiers CSV.
Les formats répertoriés sont tous des sources de données structurées. Vous pouvez également stocker des informations dans des formats non structurés, tels que des e-mails, des PDF, etc.
Registres des activités de traitement (RoPA)
Si votre entreprise est couverte par le RGPD, vous devez conserver un journal interne de vos activités de traitement de données en vertu de l’article 30.un registre des activités de traitementAutrement dit, vous devez savoir quelles données votre entreprise possède, ainsi que comment et pourquoi elles sont utilisées à des fins internes.
Les cartographies de données sont essentielles à l'élaboration et à la maintenance de ces règles de protection des données. Elles enregistrent les données personnelles traitées, leur finalité, leur fondement juridique et leur auteur.
Flux de données et lignée
Votre entreprise collecte des informations personnelles identifiables pour une raison précise ; elles ne restent donc jamais inactives dans une base de données. Elles doivent circuler dans les systèmes et les applications pour remplir leur fonction.
La cartographie dans la gouvernance montre comment les données circulent de la source à la destination, que ce soit en interne entre les applications ou en externe vers les fournisseurs.
Il documente la lignée afin d'éliminer les angles morts. De plus, il vous aide à identifier les données fantômes ou l'informatique fantôme en comparant votre inventaire de données aux exigences de votre système.
Politiques et contrôles
Toutes les données que vous collectez sont soumises à certaines règles. Les politiques de gouvernance des données précisent pourquoi vous avez besoin de ces informations, comment les détruire une fois leur finalité atteinte, et tout le reste.
En vertu du RGPD, le traitement des informations doit reposer sur une base légale. Si le consentement en est une, ce n'est pas la seule. D'autres bases légales sont possibles : la nécessité contractuelle, l'obligation légale, les intérêts vitaux, les missions publiques et les intérêts légitimes.
Dans une cartographie de la gouvernance des données, chaque élément doit être associé à sa base légale et à sa finalité métier afin d'exploiter efficacement les données. Par exemple, elles peuvent être nécessaires pour “ honorer une commande ” ou “ gérer la paie ”. Documenter la finalité et la base légale garantit la responsabilisation et facilite la compréhension de la conformité des données lors des audits.
Maintenant que vous avez collecté des informations personnelles et sensibles, vous devez les protéger en utilisant des mesures de sécurité et de protection de la vie privée adéquates. Ces données doivent être chiffrées lors de leur stockage et de leur transmission. Leur accès doit être limité aux personnes autorisées à les consulter.
De plus, vous ne pouvez pas conserver indéfiniment des données personnelles. Elles doivent être détruites une fois leur finalité atteinte. Vos politiques de données doivent inclure les déclencheurs de suppression et les instructions pour éliminer ces informations en toute sécurité.
Métadonnées
Les données brutes sont dénuées de sens. Les métadonnées — des données sur les données — fournissent le contexte nécessaire à l'utilisation d'une carte. Elles expliquent la nature de chaque élément de données, sa provenance, sa classification et son propriétaire, ce qui est essentiel à la gestion des données.
Les métadonnées sont essentielles à la cartographie et à la structuration des données. Sans elles, on se retrouve avec un ensemble de champs dénués de sens. De plus, leur utilité ne se limite pas à la cartographie des données ; elles sont également indispensables pour utiliser les informations de votre entreprise dans l’entraînement de l’IA ou à des fins d’analyse.
Qualité et validation des données
Au fil du temps, vos données d'entreprise peuvent se dégrader. Vous pourriez modifier les formats, rendant les anciennes entrées incompatibles avec les nouvelles. Différents services pourraient en faire des copies pour leur propre usage, créant ainsi plusieurs versions des mêmes informations. Certains anciens enregistrements, devenus inutiles mais non supprimés, aggravent la situation (et vos risques).
La cartographie des données contribue à améliorer leur qualité en signalant les données incohérentes, les redondances et les enregistrements obsolètes. Des données propres et validées sont plus faciles à gérer. Elles permettent également d'obtenir des rapports, des analyses et un entraînement de l'IA plus précis.
Techniques de cartographie des données
Il n'existe pas de méthode unique pour cartographier vos données, et la meilleure méthode peut dépendre de la taille de votre organisation et de la complexité de votre écosystème de données. En général, la cartographie peut être abordée de trois manières :
Cartographie manuelle
Les organisations dépourvues d'outils automatisés ont souvent recours à des méthodes manuelles. Elles peuvent utiliser des feuilles de calcul, des organigrammes ou des questionnaires structurés remplis par les unités opérationnelles ou les fournisseurs. Les approches manuelles sont rentables et flexibles. Leur maintenance est également chronophage et elles laissent souvent passer des données cachées ou fantômes.
Cartographie hybride ou cartographie semi-automatisée
De nombreuses organisations combinent techniques manuelles et automatisées. Les outils automatisés permettent de localiser les données et de comprendre leur flux. Les équipes apportent ensuite le contexte que la technologie ne peut pas déduire seule. Cette approche hybride permet de concilier efficacité et précision des données.
Cartographie automatisée
Les outils automatisés nécessitent peu d'intervention manuelle. Ils utilisent l'analyse des métadonnées, la reconnaissance de formes et, de plus en plus, l'IA/ML pour découvrir et classer les données dans les environnements cloud, SaaS et sur site. Vous bénéficiez d'une vue en temps réel des données personnelles et sensibles. Cela facilite la mise à jour des inventaires, la réalisation des audits et le respect des délais de conformité.
La cartographie automatisée réduit les erreurs humaines. Elle s'adapte également facilement à votre entreprise, à mesure que son environnement se complexifie.
Automatisation du mappage des données avec la plateforme d'intelligence des données de BigID
BigID automatiquement découvre et classe les données sensibles à travers environnements structurés, non structurés et cloudLa plateforme crée des RoPA, prend en charge les DPIA et cartographie les flux de données, y compris les données fantômes, afin que vous puissiez rester conforme, réduire les risques et simplifier la gouvernance.
Mais ce n'est pas tout. La plateforme vous offre tout ce dont vous avez besoin pour gérer vos données, y compris la découverte et la classification, l'accès et la sécurité, et bien plus encore.
Vous souhaitez découvrir comment BigID peut aider vos données d’entreprise ? Planifiez une démo aujourd'hui.
Auteur
