Comment la création d'un programme proactif de gouvernance des données peut répondre aux réglementations imminentes en matière de confidentialité
Les données sont un atout précieux. Elles permettent aux organisations de prendre de meilleures décisions, de rationaliser leurs opérations et de réduire leurs coûts d'exploitation globaux. Nombre d'entreprises du Fortune 1000 ont aujourd'hui transformé leur activité en s'engageant dans une transformation numérique qui a fait des données leur actif le plus précieux.
Bien sûr, les choses précieuses doivent être protégées. Les données ont un pouvoir transformateur, car elles contiennent souvent des informations sensibles susceptibles de porter préjudice aux personnes concernées.
Les responsables de la protection des données (CPO) sont confrontés à de nouvelles exigences réglementaires en matière de protection et de reporting des données sensibles. Il est donc urgent pour les entreprises de mieux gérer leurs données. Les organisations jusqu'alors non réglementées améliorent leurs programmes de gouvernance des données pour répondre à ce besoin. Dans ce cadre, il est nécessaire que les CPO et les CDO collaborent plus efficacement pour gérer, protéger et reporting les données de leur organisation.
Le signal d'alarme du RGPD et du CCPA
Avec l'adoption récente du General Data Protection Act (RGPD) et du California Consumer Privacy Act (CCPA), les réglementations américaines en matière de confidentialité vont au-delà des secteurs précédemment réglementés de la finance, de la santé et des données relatives aux enfants pour préciser que toute organisation traitant des « données personnelles » ou des « informations personnelles » (IP) doit respecter de nouvelles normes de conformité dans ses pratiques en matière de données, sous peine d'amendes coûteuses.
Alors que la confidentialité des données est au cœur des préoccupations et que les réglementations évoluent à travers le monde (à ce jour, 61 pays envisagent une réglementation en la matière), les organisations axées sur les données adoptent une approche plus stratégique et prospective en matière de gouvernance des données. Les entreprises ne peuvent plus se permettre de traiter chaque nouvelle réglementation en matière de confidentialité comme un projet isolé, ni de passer des heures à collecter et à agréger manuellement des données pour générer des rapports personnalisés sur les individus. Elles ont besoin de solutions adaptées pour exploiter et automatiser leurs données à grande échelle.
Dévoiler l'angle mort de la gouvernance des données
Entrez dans la gouvernance des données et le rôle du Chief Data Officer (CDO). La gouvernance des données est la gestion de la qualité et de l'intégrité des données au sein d'une organisation. Elle garantit le consensus et la véracité des données, ainsi que leur exactitude et leur exhaustivité pour toutes les fonctions de l'organisation.
Le CDO est chargé d'exécuter les activités nécessaires à la gestion des données et d'élaborer les politiques et les accords de partage de données. Pour toute organisation qui collecte et traite des données sensibles concernant ses clients, ses employés ou son activité, et qui souhaite garantir que ces données restent aussi exactes, complètes et véridiques que possible, le CDO peut être le meilleur allié du CPO. Et dans presque toutes les organisations, leur collaboration est de plus en plus nécessaire pour garantir une conformité continue.
À l'heure actuelle, les entreprises (en particulier celles qui ne font pas partie de secteurs auparavant réglementés comme la santé et la finance) peuvent présenter des lacunes dans leurs programmes de gestion des données. Ces organisations manquent soit de connaissances historiques et de documentation sur l'ensemble de leurs données, soit de données dispersées dans un paysage technologique diversifié. De plus, la quantité considérable de métadonnées générées quotidiennement peut engendrer des difficultés pour répondre efficacement aux demandes (y compris les demandes d'accès des personnes concernées), et seule une meilleure gouvernance des données peut y remédier.
La gouvernance fait son temps
Des données correctement gérées et gouvernées peuvent prendre en charge toutes les fonctions commerciales de l'organisation, y compris la gestion de la confidentialité des données.
Ainsi, si les réglementations sur la protection de la vie privée peuvent être un catalyseur, il s'avère qu'une solution pour se conformer réside dans une gestion responsable des données. Pour de nombreuses entreprises qui n'ont pas encore mis en place de programme de gestion des données durable, la gouvernance des données est désormais au centre des préoccupations. Cela est dû aux financements consacrés à la conformité au RGPD et à la formalisation radicale du traitement des données que la réglementation exige.
Le langage juridique entourant ces réglementations ne parvient pas à saisir l'intégralité de la gouvernance des données d'une organisation. Par exemple, la découverte de données personnelles en vertu du CCPA ne représente qu'une petite partie des activités de gouvernance des données. Les données trouvées à proximité des données personnelles (appelées données de proximité) élargissent le type de données à cataloguer et à catégoriser pour une documentation plus approfondie sur leur disponibilité, leur utilisation et leur contexte.
Les données de proximité peuvent inclure l'adresse IP d'une personne, ses dossiers médicaux et même ses paramètres de cookies, par exemple. Étant donné que ces ensembles de données étendus doivent également être inclus dans le programme de gouvernance spécifique au CCPA, une approche proactive consiste à créer un programme de données flexible et complet, capable de se préparer proactivement aux diverses exigences de reporting liées à la confidentialité.
Globalement, les organisations doivent optimiser l'utilisation de leurs ressources limitées afin de répondre à une variété d'exigences. Cela se traduit par la mise en place d'un cadre mature, doté de processus reproductibles et efficaces, capables de répondre rapidement aux nouvelles exigences réglementaires, parfois contradictoires.
Quand la vie privée et la gouvernance fonctionnent ensemble
Les responsables de la protection de la vie privée et des données peuvent utiliser plusieurs méthodes pour créer des programmes défendables afin de répondre aux menaces imminentes en matière de réglementation et de confidentialité.
Définir et classer.
L'accent doit être mis sur la construction d'une base de données constituée de blocs distincts d'éléments de données. Ces attributs incluent, sans s'y limiter :
- définitions
- but d'utilisation
- règles commerciales
- contrôles des entreprises et des données
- processus d'affaires
- règles et scores de qualité des données
- impacts des risques
- une matrice de propriété
De plus, un catalogue de données est un inventaire des données disponibles et des attributs associés, y compris la classification, qui décrit les paramètres de données comme confidentiels, sensibles, internes, etc.
- Pour le responsable de la gouvernance des données : Cela identifie comment traiter les données classées comme confidentielles en fonction du niveau d'accès ou même de la priorisation des projets de gouvernance.
- Pour le responsable de la protection de la vie privée: Cela permet de préciser le risque associé aux activités de traitement impliquant ces données.
Marquage
La deuxième méthode de gouvernance des données pour la réglementation de la confidentialité est l’inclusion d’une catégorie dans le catalogue de données.
- Pour le responsable de la gouvernance des données : Cet attribut décrit l’objectif d’utilisation des données.
- À l’intention du responsable de la protection de la vie privée : Le RGPD et le CCPA exigent tous deux qu'une entité décrive la finalité de l'utilisation de ces données.
Identifier la lignée des données.
La troisième méthode qui aligne la gouvernance et la confidentialité consiste à documenter la manière dont les données circulent de l’amont vers l’aval.
- Pour le responsable de la gouvernance des données:La lignée de données documente et illustre le parcours complet de bout en bout d'un élément de données, en commençant par la source « faisant autorité » qui a créé les données jusqu'aux sources et applications en aval qui les stockent, les affichent ou les deux.
- Pour le responsable de la protection de la vie privée:Cela révèle la source de données d'origine ou la provenance de l'endroit où les données sont collectées, ainsi que leur cycle de vie tout au long de l'entreprise.
Conformité totale, informations réelles
Toute entité traitant des données doit le faire de manière responsable, en accordant la priorité aux données de ses clients et de ses employés. La confidentialité et la gouvernance des données constituent un point de convergence important pour y parvenir, et offrent d'innombrables opportunités de mise en conformité réglementaire. Si la confidentialité peut être le facteur financier et réglementaire qui motive une entreprise à mieux évaluer ses données, un programme solide de gouvernance des données peut servir de base à la gestion et à la protection de ces données.
Il est donc crucial que les directeurs des données et les directeurs des achats collaborent efficacement et régulièrement afin de développer de nouveaux processus et procédures internes permettant de gérer, de protéger et de communiquer efficacement les données. Les organisations peuvent mettre en œuvre des logiciels pour cartographier les données structurées et non structurées, opérationnaliser et automatiser l'ensemble des bases de données, éliminer les doublons, gérer les enquêtes sur les violations et contribuer aux activités de reporting requises.
En adoptant une approche ascendante des données, le CPO et le CDO peuvent créer ensemble un cadre de confidentialité défendable qui non seulement met son entreprise en pleine conformité, mais apporte également de la valeur en créant de véritables informations dérivées des données.