Pilotage

Protection des données personnelles et data management : quelles convergences ?

La mise en œuvre du RGPD d’ici mai 2018, intervient à un moment où, depuis quelques années, les banques et institutions financières ont significativement investi dans le data management. Les progrès réalisés dans ce domaine apportent-ils des éléments de réponse opérationnels pour la mise en place du dispositif de conformité RGPD, ainsi que son contrôle permanent ?

L'auteur

Revue de l'article

Cet article est extrait de
Banque & Stratégie n°360

Les enjeux juridiques et technologiques des données personnelles

La protection des données est un sujet en rapport avec la sécurité des traitements, tandis que le data management s’est essentiellement développé sur la nécessité d’améliorer la qualité des données. Même si ces deux objectifs (sécurité/qualité) correspondent à des critères différents sur les données (par exemple, confidentialité pour la sécurité, fraîcheur pour la qualité), le contrôle et l’amélioration du degré d’atteinte de ces critères passent par une analyse de la circulation des données (data lineage) dans les processus métiers et les traitements informatiques associés.

Il est important que ces processus soient pris en compte et analysés de bout en bout, afin de pouvoir identifier de façon pertinente les points de rupture, générateurs de risques sur la sécurité et/ou la qualité des données. Pour le Règlement général européen de protection des données (RGPD, en anglais « General Data Protection Regulation », GDPR), cette cartographie intégrera la notion de localisation des bases de données et des utilisateurs de données personnelles. C’est notamment ainsi que les travaux sur le data management apporteront une base solide pour la mise en conformité RGPD.

Ainsi, par exemple, le département cybersécurité d’un grand groupe bancaire a fait former ses ingénieurs à cette compréhension de bout en bout de ses processus métiers, leur permettant d’appréhender plus facilement une approche décloisonnée de la sécurité des données. Conduite en 2013, cette formation reflétait déjà une vision très actuelle sur le data management.

De même, la formalisation d’une vision combinée du data lineage entre processus métiers et traitements informatiques, a récemment permis à une banque de détail de visualiser la circulation des données sur les personnes physiques (clients) à travers l’ensemble des traitements associés à un macroprocessus (crédit, garanties, etc.). Initialement, ce travail était destiné à renforcer la qualité des données afin d’améliorer l’efficacité opérationnelle. Mais un tel travail apporte aussi des informations pertinentes pour prioriser les actions sur la sécurité et la protection des données personnelles (laquelle priorisation étant prévue dans la démarche de mise en conformité RGPD).

Ainsi, le lineage combiné entre processus métiers et traitements informatiques associés, « graal » du data management, peut également constituer un outil précieux pour la maîtrise de la sécurité des données et, donc, le contrôle permanent de la conformité RDGP.

Portabilité des données et droit à l’oubli : quels apports du data management ?

La portabilité des données et le droit à l’oubli sont deux nouvelles dispositions importantes prévues par le règlement RGPD. Le droit à l’oubli consiste, pour les entreprises, à être en mesure de garantir aux personnes, qui leur en font la demande, que leurs données seront définitivement supprimées, et ce dans un délai de 30 jours. La portabilité impose aux entreprises de mettre à disposition des personnes, qui le demandent, leurs données personnelles. Et ceci de manière automatisée, dans un format « structuré, couramment utilisé et lisible par machine ».

La mise en œuvre de ces deux dispositions implique une maîtrise de l’architecture applicative identique à celle nécessaire au data management. De plus, dans le cadre de la portabilité, il faudra être confiant quant à la qualité des données envoyées aux clients : les professionnels du data management sont devenus de plus en plus matures sur le sujet, notamment ceux confrontés à la transmission de données aux clients via Internet !

Le privacy by design et le privacy by default : des principes à partager avec le data management ?

Principe de prévention, le privacy by design est un mode de régulation intégrant la protection des données personnelles dès la conception des outils de collecte et de traitement de l’information.

Ainsi, les responsables de traitement (sous-traitants compris) doivent prendre les mesures techniques et organisationnelles appropriées afin de garantir le respect des droits des personnes et de s’assurer de la conformité des traitements envisagés.

Cette disposition privacy by design est complétée par le privacy by default qui, selon le RGPD, fixe les périmètres propres au déroulement d’un traitement de façon à garantir par défaut le plus haut niveau de protection possible des données : quantité et types de données collectées, finalités, modes de conservation ou personnes habilitées à accéder aux données.

Ainsi avons-nous vu apparaître, au cours de ces derniers mois et dans certaines institutions financières, des évolutions sur les questionnaires de conformité auxquels sont soumis les sponsors et chefs de projet (ou, s’ils n’existaient pas, la mise en place de tels formulaires sous les auspices des fonctions conformité ou juridique). Il faut, cependant, considérer que de telles évolutions ne constituent, selon nous, qu’un premier niveau, légal, de mise en conformité RGPD.

En effet, ces principes de privacy by design et de privacy by default apportent une incitation supplémentaire à articuler la mise en conformité RGPD avec le système global de data management, via notamment une gouvernance appropriée.

Le Délégué à la protection des données et la gouvernance du data management

Le règlement RGPD prévoit la mise en place d’un Délégué à la protection des données (ou DPO, acronyme de « Data Protection Officer »), successeur de feu le correspondant CNIL. Il faut envisager avec prudence les liens de subordination entre le DPO et la fonction data management, afin d’éviter les conflits d’intérêts. En revanche, il nous semble intéressant de considérer que le DPO doit non seulement être bien informé, mais aussi associé à la gouvernance du data management.

À titre d’illustration, considérons les propriétaires de données (les data owners) : le DPO devra en avoir une cartographie claire, car ces data owners pourront être appelés à jouer un rôle dans la conformité RGDP, en particulier sur la maîtrise et le contrôle de données entrantes, ainsi que pour la mise en œuvre du droit à l’oubli (exemple : position clé du data owner dans le lineage des données personnelles provenant d’une source externe, fournisseur ou sous-traitant).

En participant aux instances de gouvernance du data management, le DPO apportera sa voix, spécifique sur une catégorie de données (les données personnelles). Cette voix pourra être entendue, notamment pour prendre en compte les priorisations requises par RGPD et contribuer aux arbitrages à faire sur les investissements data management (à commencer par les cartographies et le lineage !). On retrouve ici l’idée du data management comme outil au service du contrôle permanent de la conformité RGPD (entre autres).

Data Protection Officers et Chief Data Officers, même combat ?

Avec RGPD, ce n’est pas la première fois que le data management est confronté à un impératif réglementaire. Dans la banque, BCBS239 [1] a créé un précédent et un historique, diversifié selon les établissements. Ainsi, dans certaines banques, BCBS239 a été le fait générateur pour la création (ou une évolution profonde) de la fonction data management. Dans d’autres, la fonction data management est montée en puissance de façon plus autonome, impulsée par d’autres enjeux métiers, tout en établissant des ponts avec l’impératif réglementaire sur les risques (BCBS239).

Nouvelle sollicitation réglementaire pour nos établissements, RGPD arrive donc dans des institutions qui, pour nombre d’entre elles, ont mûri les complémentarités entre l’impératif réglementaire et une approche globale du data management, empreinte des enjeux métiers. C’est sans doute sous l’angle des complémentarités qu’il faudra envisager les rôles de DPO et CDO, en évitant des liens de subordination contraires à l’esprit du règlement RGPD où « juge » et « parties » doivent être distincts dans le traitement des données.

Malgré cette distinction, Data Protection Officers et Chief Data Officers auront à poursuivre ensemble le long travail d'« évangélisation », dans l’entreprise, sur les enjeux liés à la donnée, qui est loin d’être achevé !

 

[1] Principes aux fins de l’agrégation des données sur les risques et de la notification des risques, publiés par le Comité de Bâle en janvier 2013 (reporting réglementaire).

 

Sommaire du dossier

Les enjeux juridiques et technologiques des données personnelles

Articles du(des) même(s) auteur(s)

Sur le même sujet