- Le blog et les actualités de Witik
- RGPD et purge des données : le nouveau cauchemar des DSI
RGPD et purge des données : le nouveau cauchemar des DSI
Le RGPD, entré en vigueur en mai 2018, modifie en profondeur les exigences liées à la collecte, l’exploitation et le stockage des données personnelles. L’article 6.5 du RGPD dispose que pour faire l’objet d’un traitement, les données personnelles doivent être « conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées ».
En d’autres termes, la durée de conservation des données à caractère personnel ne saurait être illimitée. Les entreprises se retrouvent ainsi confrontées à une problématique qu’elles ont occultée depuis de nombreuses années : la suppression des données de leur système d’information.
Quelles sont les difficultés majeures de mise en œuvre pour les grands groupes ?
Aujourd’hui, un bon nombre de grandes entreprises après une ou deux années de travail se retrouvent dans l’impasse. En effet, les entreprises ne savent pas par quel angle aborder le sujet et les premiers essais ne permettent souvent pas d’aboutir à une mise en œuvre opérationnelle. En cause :
Une sous-estimation de l’aspect transverse du projet et des moyens nécessaires pour mettre en œuvre une phase de cadrage et d’analyse d’impacts pertinents.
Une méthodologie d’approche pas suffisamment aboutie, souvent en cours de maturation. Les équipes sollicitées s’épuisent d’une collecte d’information désorganisée, redondante, et inefficace.
Une priorité haute, celle de sécuriser les données. Les efforts budgétaires consacrés aux opérations de purge se retrouvent sans cesse en bout de chaine, repoussés.
Une politique liée à la gouvernance des données en cours de transformation. C’est aussi un élément clé de réussite. Mais, sur le terrain, de nombreuses entreprises n’ont pas encore fini de mettre en place les bonnes pratiques et les bons mécanismes de gestion autour de de la donnée.
Une définition des durées de conservation qui se révèle être un travail de longue haleine. Elle implique un nombre conséquent de parties prenantes et requiert des compétences pluridisciplinaires, au carrefour du juridique, de la gestion de projet et de la compréhension des systèmes d’information.
Une panoplie d’outils dotés de fonctionnalités de purge non suffisante pour répondre au devoir de suppression des données. Assurément, la problématique de purge est confrontée à l’accumulation de données non purgées, l’interconnexion des systèmes existants, et à l’inexistence des modes opératoires opérationnels.
On peut donc légitimement se demander comment aujourd’hui, un citoyen peut disparaitre totalement d’un système d’information s’il en exprime le désir ? Tout comme on peut se poser la question sur la mise en application réelle des exigences de la directive européenne, de limiter la conservation des données personnelles proportionnellement aux usages qu’ils en sont fait.
Notre expérience de terrain démontre que les processus d’exécution ne sont pas toujours au rendez-vous.
Comment opérer la purge des données ?
Pour cadrer le sujet, il faut adopter une démarche structurée qui permet d’aboutir à des résultats et des actions concrètes :
Identifier, documenter, cartographier les données personnelles et leur sensibilité.
Définir et lotir les périmètres d’analyse au regard des zones de risque et de la mécanique de circulation de la donnée.
Corréler la roadmap liée à la définition des durées de conservation à la roadmap d’analyse des solutions
Mener l’analyse d’impact méthodiquement.
Proposer des solutions prenant en considération le traitement des impacts liés aux applications en amont et en aval.
Veiller à traiter les systèmes de sauvegardes.
Diminuer le risque par étape, en étant pragmatique, en privilégiant les possibilités existantes des outils et au travers de successions d’actions concrètes réalisables le plus tôt possible.
Veiller à traiter la modification des processus métiers, sans oublier de tracer la réalisation des opérations de purge.
Veiller à ne pas dégrader la qualité du service pour les personnes.
Au sein des entreprises, la prise de conscience est en bonne voie, la sensibilisation infuse toutes les strates de l’entreprise, jusqu’au SI. La route vers la mise en conformité est longue, mais les organisations doivent soutenir les efforts pour que les exigences en matière de conformité ne restent pas lettre morte.