Article réservé aux abonnés Archimag.com

Données personnelles : méthode et outils pour les gérer

  • gerer_donnees_personnelles_outils_methode.jpg

    donnees-personnelles-gerer-methode-outils
    Gérer des données personnelles ne s'improvise pas, surtout face aux exigences du RGPD. Voici avec quelle méthode et quels outils les traiter. (Freepik/jannoon028)
  • Le Règlement général sur la protection des donnés (RGPD) impose aux organisations de garder la main sur les données personnelles qui lui sont transmises. Une tâche qui requiert de la méthode, du temps et des outils dédiés. Voici nos conseils.

    Temps de lecture : 6 minutes

    mail Découvrez le Brief de la Démat, la newsletter thématique gratuite d'Archimag dédiée aux datas et à la transformation numérique des organisations.

    Les cordonniers sont les plus mal chaussés, paraît-il. Lors du salon Big Data 2018, l’ancien secrétaire d’État au Numérique Mounir Mahjoubi s’était amusé à raconter la mésaventure qui lui était arrivée. Désireux de savoir ce que les géants du numérique savaient de lui, il avait demandé la communication de ses données personnelles à Google, Amazon, Uber et Facebook…

    « Sur les quatre, deux l’ont fait extrêmement rapidement, et deux avec qui cela a été extrêmement long ».

    enlightenedLire aussi : RGPD, données personnelles : la Cnil connaît un nouveau pic d'activité

    Des jeux de données "qui font flipper"

    Résultat : Amazon lui a fourni un cédérom représentant douze années de commandes.

    « Mais le jeu de données qui m’a fait vraiment flipper est celui d’une application de transport en voiture ». Uber avait en effet compilé quatre années de déplacements, mais aussi sa position géographique avant la prise en charge.

    « Je ne savais pas que j’avais donné mon accord pour le stockage de telles données », reconnaissait le secrétaire d’État au Numérique.

    Mounir Mahjoubi a rapporté cette histoire au mois de mars 2018. Soit deux mois avant l’entrée en vigueur du RGPD. Le Règlement général sur la protection des données accorde désormais aux internautes de nombreux droits : accéder aux données à caractère personnel détenues à leur sujet, demander que les données à caractère personnel incorrectes, inexactes ou incomplètes soient corrigées, etc.

    enlightenedLire aussi : Données personnelles après la mort : avez-vous pensé à votre héritage numérique ?

    Registre des traitements

    Les organisations, de leur côté, doivent mettre en place un certain nombre de règles. À commencer par la cartographie des traitements des données personnelles.
    Ce recensement doit être réalisé sous la forme d’un registre des traitements.

    La notion de traitement est définie par l’article 4 du RGPD :

    « Toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ».

    Concrètement, les traitements concernent les opérations suivantes : la consultation d’une base de données de contacts contenant des données à caractère personnel, l’envoi de courriels promotionnels, la publication d’une photo d’une personne sur un site internet, la conservation d’adresses IP, l’enregistrement de vidéosurveillance (liste non exhaustive).

    enlightenedLire aussi : Cookies : la recommandation de la Cnil inquiète les acteurs du digital

    Anonymisation et pseudonymisation des données personnelles

    « L’anonymisation est un traitement qui consiste à utiliser un ensemble de techniques de manière à rendre impossible, en pratique, toute identification de la personne par quelque moyen que ce soit et de manière irréversible », rappelle la Commission nationale de l’informatique et des libertés (Cnil) ; elle ne doit pas être confondue avec la pseudonymisation qui « est un traitement de données personnelles réalisé de manière à ce qu’on ne puisse plus attribuer les données relatives à une personne physique sans information supplémentaire ».

    Les organisations qui doivent mettre en place un processus d’anonymisation doivent, entre autres, supprimer les éléments d’identification directe qui pourraient permettre une réidentification aisée des personnes (par exemple, la présence de l’âge des individus peut permettre de réidentifier très facilement les personnes centenaires).

    enlightenedLire aussi : Protection des données personnelles : les Français deviennent vigilants

    Randomisation ou modification de l'échelle des attributs des jeux de données

    À partir de là, elles ont le choix entre deux techniques d’anonymisation. La randomisation consiste à modifier les attributs dans un jeu de données afin de les rendre moins précises. Il est par exemple possible de permuter les données relatives à la date de naissance des individus de manière à altérer la véracité des informations contenues dans une base de données.

    Autre technique, « la généralisation consiste à modifier l’échelle des attributs des jeux de données, ou leur ordre de grandeur, afin de s’assurer qu’ils soient communs à un ensemble de personnes. Cette technique permet d’éviter l’individualisation d’un jeu de données. Elle limite également les possibles corrélations du jeu de données avec d’autres », précise la Cnil. Par exemple : dans un fichier contenant la date de naissance des personnes, il est possible de remplacer cette information par la seule année de naissance.

    enlightenedLire aussi : Archivage électronique : comment (bien) archiver des données sensibles ou confidentielles ?

    Du côté des outils

    Plusieurs éditeurs proposent des outils dédiés à la cartographie des traitements des données personnelles. Le français BMI Systems commercialise la solution Oryga qui prend en charge le processus de cartographie : gestion des droits et des demandes des personnes, gestion des notifications de violations des DCP (données à caractère personnel), tableaux de bord et statistiques, suivi des audits, etc. La solution est disponible en mode Saas et peut être installée sur les serveurs de l’organisation.

    Autre acteur du marché, Varonis propose une solution qui permet de rechercher et de classer automatiquement les données RGPD. Le logiciel est en mesure de générer des rapports sur les données concernées par le règlement européen, de limiter l’accès aux données sensibles, de détecter les fuites et de signaler les activités suspectes et les fuites de données potentielles. Concrètement, le délégué à la protection des données peut à tout moment évaluer l’état de protection des données et verrouiller les données sensibles. Il peut également procéder à l’analyse des comptes dont le comportement est suspect.

    Signalons enfin l’initiative de la Cnil qui met gratuitement à disposition des organisations le logiciel PIA destiné à l’analyse d’impact. Disponible en vingt langues, cet outil permet de réaliser une collecte de données personnelles à large échelle notamment celles qui concernent les personnes vulnérables (patients, personnes âgées, enfants, etc.)

    enlightenedLire aussi : Vidéo : la responsabilité éditoriale sur internet

    Rappel : qu’est-ce qu’une donnée personnelle ?

    « Une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable », rappelle la Cnil ; « mais, parce qu’elles concernent des personnes, celles-ci doivent en conserver la maîtrise ».

    Une personne physique peut être identifiée directement (par son prénom et son nom) ou indirectement (par un numéro de téléphone, une plaque d’immatriculation, un identifiant tel que le numéro de sécurité sociale, une adresse postale ou courriel, mais aussi la voix ou l’image). L’identification d’une personne physique peut être réalisée par une seule donnée (son patronyme) ou par un croisement de données (une femme vivant à telle adresse, née tel jour et membre de telle association).

    En revanche, la Cnil précise que « des coordonnées d’entreprises (par exemple, l’entreprise “Compagnie A” avec son adresse postale, le numéro de téléphone de son standard et un courriel de contact générique « compagnie1@email.fr ») ne sont pas, en principe, des données personnelles ».

    Cet article vous intéresse? Retrouvez-le en intégralité dans le magazine Archimag !
    veille-evaluer-redeployer
    Une veille est installée, elle est en accord avec la stratégie et les besoins exprimés pour les projets en cours. Mais elle peut s’essouffler (baisse des remontées d’informations, baisse d’efficacité pour les usagers…) ou être confrontée à un nouvel événement qui la remet en question. Il est donc temps de faire un bilan pour l’évaluer et définir comment la redéployer.
    Acheter ce numéro  ou  Abonnez-vous
    À lire sur Archimag
    Le chiffre du jour
    1
    est en moyenne signalée toutes les semaines dans les établissements de santé depuis janvier 2021. Les hôpitaux ont subi 27 cyberattaques majeures - qui ont effectué tout ou partie de leurs systèmes d'information - en 2020.

    Catalogue Gestion des Data 2022 Serda Formation