À l’heure où les organisations se préparent à l’entrée en vigueur en 2018 de GDPR (Règlement Général sur la Protection des Données, ou RGPD en français), la première étape pour nombre d’entre elles consistera à obtenir une vue complète de l’ensemble de leur chaîne d’information. Il s’agit du premier pilier en termes de meilleures pratiques de gestion des données que les entreprises doivent mettre en place lorsqu’elles se préparent à la nouvelle réglementation.
Connaître la source des données relatives à la vie privée
Pour être pleinement préparées, les organisations doivent donc savoir quelle est la source des données relatives à la vie privée ; d’où proviennent-elles, où vont- elles, comment sont-elles traitées et qui les consomme ? Compte tenu de l’environnement de plus en plus exigeant d’aujourd’hui en matière de gestion des données, la navigation dans ces données nécessite la mise en œuvre d’une capacité de cartographie de plus en plus complexe.
Pour employer une analogie : avant l’avènement des technologies mobiles, on achetait des cartes routières lorsque l’on visitait une nouvelle région, car c’était en effet la seule façon de se repérer dans des lieux inconnus. Mais ces cartes étaient statiques. Elles sont rapidement devenues obsolètes en l’absence de capacités d’analyse dynamique du contexte. En d’autres termes, il n’y avait pas moyen d’actualiser les travaux routiers, les problèmes de circulation, les routes fraîchement construites, etc. Tout changement au niveau des infrastructures nécessitait de créer une nouvelle carte.
Il y avait également le problème du manque de transparence. Par exemple, sans capacité de géolocalisation, les passagers n’avaient aucun moyen de savoir si leur chauffeur de taxi prenait bien le chemin le plus rapide pour atteindre leur destination. L’avènement du GPS a tout changé. Les voyageurs disposent désormais d’une vue plus précise et dynamique d’une région, avec des détails constamment à jour sur la circulation, les routes et les conditions météorologiques. Aujourd’hui, on utilise même son GPS sur des itinéraires connus afin de s’informer de tout problème qui pourrait être rencontré sur le parcours.
La nécessité d’une vision précise des données
Nous assistons, à l’heure actuelle, à un changement similaire sur le plan de la gestion des données. Auparavant, beaucoup d’entreprises n’avaient pas besoin d’effectuer une cartographie dynamique de leurs données. Il leur suffisait d’avoir une représentation globale de leur structure sur papier. Mais dorénavant, avec l’explosion des données, les choses évoluent, et ce changement devrait s’accélérer encore plus avec l’entrée en vigueur de GDPR.
>> LIRE AUSSI : [LIVRE BLANC] GDPR : en route pour la conformité <<
Conséquence : les entreprises devront avoir une vision plus précise de leurs données. Elles devront notamment savoir où elles sont stockées, mais aussi connaître le contexte global ; en d’autres termes, une vue dynamique et en temps réel de l’emplacement de toutes les données. Elles devront également faire preuve de transparence vis-à-vis des droits des personnes concernées, tels les droits à l’oubli, à l’accessibilité ou de rectification.
Navigation en profondeur dans la gestion des données
Après avoir expliqué l’intérêt de la gestion des métadonnées, à partir de cette vue à 360°, intéressons-nous désormais à la gestion approfondie des données pour découvrir comment le concept s’applique dans le monde concret. Une fois de plus, un thème récurrent se distingue : l’importance cruciale de pouvoir faire correspondre des jeux de données hétérogènes afin d’assurer une gestion conforme aux exigences de la GDPR.
L’un des principaux effets de ce règlement sera de contraindre les entreprises à adopter une vision plus globale de leurs données privées et de leur gestion. Auparavant, les organisations géraient ces éléments en fonction de leur confidentialité, puis traitaient les consentements spécifiques des utilisateurs, mais à une échelle limitée. En règle générale, les départements marketing, services clients ou RH peuvent être tenus responsables de la gestion des données privées et en informer les autorités locales.
Mais avec GDPR, les entreprises seront désormais tenues d’avoir une vision globale des données privées qu’elles gèrent. Une entreprise peut connaître un individu sous une multitude de contextes : en tant que cible marketing, client dans leur système de CRM, un abonné à des produits ou services numériques ou utilisateur connecté via un objet connecté (IoT). Le recoupement de ces profils permet de suivre leurs activités ou leurs mouvements.
L’ensemble de ces éléments met en évidence la vision globale que les entreprises devront avoir sur les données, dans un but de conformité avec GDPR.
Dégager une vue complète des données
Pour obtenir une vue aussi globale, il faut commencer par les données privées, en effectuant ce que l’on appelle une taxonomie des données. Appliquée aux employés, par exemple, celle-ci implique de regrouper des informations sur leurs performances, leurs salaires, leurs avantages sociaux, voire même des données de santé ou familiales. Tous ces renseignements servent à remplir un glossaire (potentiellement à l’aide d’outils professionnels haut de gamme).
Ensuite, il est possible d’attribuer des responsabilités en fonction du domaine dont relèvent les données, en définissant par exemple une entité chargée des données de santé des employés, ou du suivi de leurs performances. Puis, les responsables peuvent décider des bases de leur politique relative aux données, notamment en définissant une stratégie de rétention (en d’autres termes, combien de temps elles doivent conserver certains types de données avant de les archiver ou de les supprimer).
À partir de ce point, il est possible d’assurer un traitement approfondi des éléments de données critiques (numéros de passeport, dates de naissance, sexe, nombre d’enfants, statut matrimonial et autres données d’identification, par exemple).
Une fois l’ensemble de ce processus enclenché, il sera facile pour l’entreprise de déterminer quels jeux de données doivent être contrôlés. Bien que ne sachant pas précisément où résident toutes ces données, elle pourra au moins repérer les informations devant être gérées et celles devant être prises en compte en cas de demande de modification ou de suppression de la part d’un client.
Établir les connexions adéquates
L’étape suivante consiste à connecter les points de données devant être protégées à l’aide d’une technique de gestion des métadonnées connue sous le nom de « stitching » (ou « couture », littéralement). Cette méthode consiste à connecter les éléments de données en question au système physique qui les gère. Si l’organisation concernée s’intéresse à des données relatives aux identités, il lui faudra se connecter au système RH, mais aussi éventuellement au système de gestion de la paie.
Elle devra sans doute également tenir compte du fait que dès les données d’identité peuvent se trouver au sein du système de recrutement, puisque l’individu en question était un candidat avant d’être un employé. Enfin, il lui faudra également jeter un œil au système de gestion des frais professionnels et de déplacement, qui peuvent contenir des informations sensibles, notamment des numéros de cartes de crédit.
Dans un souci de conformité, les entreprises devront donc mettre en œuvre le processus de « stitching » décrit ci-dessus pour profiter d’une vue complète du cycle de vie de leurs informations. Ainsi, lorsqu’un candidat deviendra un employé, l’entreprise sera en mesure de réconcilier l’ensemble des informations le concernant au sein de son environnement de données.
Des fondations stables
Arrivée à ce stade, l’entreprise a déjà parcouru un long chemin en matière de gestion de métadonnées :
- Elle a développé un mode de cartographie dynamique, comme décrit dans notre analogie avec le GPS ;
- L’ensemble des éléments ont été définis et reliés au système qui les utilise, et les relations et dépendances entre chaque système ont été établies.
Les mêmes principes s’appliquent en matière de masquage de données. Ici, l’organisation s’appuie sur ses capacités de cartographie et d’intégration des données pour appliquer des recommandations aux données. L’objectif peut être de déguiser (voire de masquer complètement) la date de naissance exacte d’un individu au sein du système, ou d’éviter la ségrégation entre candidats de différentes générations au sein du système de recrutement.
Comme vu à plusieurs reprises, une bonne gestion des métadonnées nécessite une vision dynamique des données. Pour poursuivre l’analogie avec le GPS, il est nécessaire d’être en mesure de voir le parcours client. Mais les entreprises doivent également pouvoir réagir chaque fois qu’une exception se produit. La gestion des métadonnées n’est pas juste une question de cartographie et de visualisation de données. Elle permet également de savoir quelles mesures prendre en cas de problème, conseils à l’appui. Après tout, les systèmes GPS les plus récents ne se contentent pas de vous informer de la présence d’embouteillages. Ils vont jusqu’à suggérer également un nouvel itinéraire. C’est précisément le genre de bénéfices que la gestion des métadonnées peut offrir aux entreprises.
Une technologie arrivée à maturité
Auparavant, et malgré l’explosion des volumes de données enregistrée dans une multitude de secteurs, le marché de la gestion des métadonnées restait limité à des industries fortement réglementées telles que la banque, les services financiers ou la santé. Mais avec GDPR ce besoin est désormais étendu à bien plus grande échelle.
Le moment est peut-être venu de considérer la gestion des métadonnées comme un étape pour opérationnaliser les processus de protection des données, que ce soit pour cette nouvelle réglementation ou une autre.
Votre adresse de messagerie est uniquement utilisée par Business & Decision, responsable de traitement, aux fins de traitement de votre demande et d’envoi de toute communication de Business & Decision en relation avec votre demande uniquement. En savoir plus sur la gestion de vos données et vos droits.