RGPD : leçon 1, CONNAISSEZ vos données

Dans mon article précédent, nous avons vu comment Veeam, une entreprise basée en Suisse et comptant de nombreux clients européens, doit être conforme au RGPD tout comme la multitude d’autres sociétés qui traitent les données de citoyens de l’UE.

J’avais aussi promis de partager avec vous ce que nous avons appris pour vous aider dans votre propre processus de conformité. Les leçons que nous avons retenues peuvent se résumer à 5 principes fondamentaux :

  1. Connaissez vos données
  2. Administrez vos données
  3. Protégez vos données
  4. Documentation et conformité
  5. Amélioration continue

Aujourd’hui, je souhaite approfondir le premier principe : connaissez vos données.

La première étape essentielle que vous devez franchir consiste à déterminer si votre société détient des informations d’identification personnelle (PII) de résidents européens. J’ai eu plusieurs conversations avec des entreprises qui croyaient ne pas posséder de telles données. Cependant, après avoir gratté la surface, nous avons vite constaté qu’elles détenaient ces informations et étaient directement concernées par la conformité au RGPD.

Les PII représentent une vaste catégorie d’informations. Elle englobe TOUTES les données qui peuvent être utilisées pour identifier un individu. On pense naturellement à des informations évidentes telles que le nom, les coordonnées ou les images, mais les PII peuvent inclure de nombreuses autres formes de données. Sans essayer de dresser une liste exhaustive, les PII comprennent aussi les adresses IP, les données de localisation renvoyées par une application, les formulaires de commentaires, les données issues des programmes de fidélisation et bien plus encore. L’article 2(a) du RGPD définit les PII de la manière suivante :

Les données à caractère personnel désignent toute information se rapportant à une personne physique identifiée ou identifiable (la « personne concernée ») ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

C’est non seulement important pour déterminer la présence de PII, mais le RGPD comprend également des règles encore plus strictes pour les informations classées comme PII critiques. Les PII critiques comprennent les données personnelles révélant la race ou l’origine ethnique, les opinions politiques, les croyances religieuses ou philosophiques, l’adhésion à un syndicat et les données relatives à la santé ou à l’orientation sexuelle. Ces données appartiennent une catégorie spéciale de PII soumise à des protections supplémentaires.

Sachez également que vous devez voir au-delà des seules données des clients ou des données externes. Dans votre entreprise, les données de vos collaborateurs (principalement détenues par les RH) sont aussi catégorisées comme PII. Si vous employez des citoyens européens, vous devez connaître leurs données.

Dernier point, mais non moins important, vous devez savoir qui a accès à ces données et dans quel emplacement elles se trouvent.

Évidemment, c’est plus facile à dire qu’à faire. Une approche possible consiste à utiliser une solution technique capable de cartographier vos données. L’efficacité de ces solutions dépend des définitions qu’elles utilisent. Certaines solutions apprennent au fil du recueil et de l’analyse des données en ajoutant de nouvelles définitions pour améliorer les résultats, alors que d’autres dépendent de paramétrages manuels. Dans les deux scénarios, il est essentiel que ces solutions soient capables de détecter et de mapper TOUTES vos données.

Veeam a conçu des questionnaires spécifiques (adaptés à différents types d’unités opérationnelles) et les a envoyés à tous ses bureaux dans le monde. Nous vous fournirons certains exemples de ces questionnaires dans notre prochain livre blanc afin que vous puissiez les transposer à votre contexte et les utiliser en interne pour effectuer le même exercice.

Un conseil important : vous devez inclure toutes vos unités opérationnelles, y compris les unités régionales et celles qui se trouvent hors de l’UE. Par exemple, notre équipe marketing régionale d’Amérique du Nord a également dû répondre au questionnaire. Étant donné qu’elle est responsable de l’organisation d’événements en Amérique du Nord, elle détient des données de citoyens européens qui se déplacent pour participer à ces événements.

Un autre facteur à prendre en compte lorsque vous concevez des processus pour connaître vos données est le suivant : il est utile de créer des diagrammes pour mapper le flux de PII dans l’ensemble de votre entreprise ET vers vos partenaires extérieurs. Il est possible que certaines solutions technologiques déployées en interne soient en mesure de faire ça pour vous de manière automatique. Dans le cas de Veeam, la Veeam Availability Platform vous fournira une image complète de votre environnement de sauvegarde et du flux de ces données.

Conclusion

Connaître vos données est la première étape et probablement une des plus importantes. De nombreuses entreprises n’ont pas connaissance des données qu’elles possèdent, de leur variété, de leur portée ou de leur emplacement. Si vous avez une bonne visibilité et une compréhension approfondie de vos données, les étapes suivantes seront plus faciles.

Exit mobile version