Comment s’assurer des mesures permettant de répondre aux principaux risques et menaces qui pèsent sur la vie privée des personnes concernées par vos traitements ?
La numérisation croissante explose la production de données. Le volume, la variété et la vitesse à laquelle elles sont produites impactent profondément les modes de collecte, d’exploitation et d’interprétation.
Le Big Data devient, ainsi, une opportunité pour les entreprises qui sauront décrypter et réagir dans leur écosystème en générant de la valeur à partir des données.
Cependant, l’existence d’un cadre juridique harmonisé défini par le Règlement Général sur la Protection des Données (RGDP / GDPR), exige de préserver l’innovation tout en respectant la protection des données personnelles de « toute information concernant une personne physique identifiée ou identifiable, directement ou indirectement, notamment par référence à un numéro d’identification. Par exemple : le numéro de sécurité sociale », ou plusieurs facteurs spécifiques à son identité physique, physiologique, psychique, économique, culturelle ou sociale (par exemple : nom et prénom, date de naissance, la biométrie les données, les empreintes digitales, ADN …).
Le Règlement Général sur la Protection des Données (RGDP/GDPR) entre en application le 28 mai 2018. Or, de nombreuses entreprises n’ont pas encore initié leur programme de transition nécessaire pour être en conformité à temps avec la réglementation.
> À LIRE AUSSI : Comment structurer une gouvernance des données efficace ?
A ce juste titre, sensibiliser sur les enjeux juridiques ainsi que les exigences en matière de réglementation sur le Big data, élaborer une démarche pragmatique de mise en conformité et urbaniser les systèmes d’information en matière d’outils de gouvernance et de sécurité, constituent les enjeux majeurs d’une offre de prestation Big Data.
Au-delà de la mise en conformité initiale, c’est bien une démarche globale, constante et systématique qui doit être mise en œuvre selon les principes suivants :
- Définir et déployer un catalogue de bonnes pratiques à destination du délégué à la protection des données (DPO – Data Protection Officer). Un focus est porté d’une part, sur le mode de coopération avec l’autorité de contrôle ; et d’autre part, sur le contrôle du respect du règlement y compris en ce qui concerne la répartition des responsabilités, la sensibilisation, la formation et les audits.
- Définir un plan d’actions basées sur des études d’impact, sur la vie privée (EIVP / PIA – Privacy Impact Assessment). Cette roadmap stratégique hiérarchise les actions selon le niveau de criticité des données inspectées sur différents angles de vue : politiques de confidentialité, règles de gestion, processus et analyses métiers.
- Evaluer la maturité du cadre de gouvernance : capacité de changement, gestion de la sécurité, gestion des risques, gestion de la qualité de la donnée…
Par Rostand Nya Djiki
Chief Innovation Officer chez DataValue Consulting
