L’effacement des données à caractère personnel dans le contexte du RGPD (ou d’autres règlementations internationales comparables)
Les contraintes réglementaires pesant sur les entreprises en matière de traitement des données personnelles sont de plus en plus étendues. Les autorités en charge de ces réglementations assurent par ailleurs des contrôles de plus en plus fréquents auprès des entreprises, et les sanctions (financières, administratives, voire pénales) encourues en cas de non-respect de ces cadres réglementaires sont de plus en plus lourdes.
En Europe plus spécifiquement, depuis la mise en application du RGPD (Règlement Général sur la Protection des Données) le 25 mai 2018, les entreprises doivent se soumettre à de multiples exigences afin de protéger les données personnelles des individus.
Si l’ensemble de ces obligations n’est pas sans soulever des difficultés pour les entreprises, le domaine spécifique de la gestion des demandes d’exercice des droits à l’oubli et plus globalement de l’effacement des données personnelles constitue souvent une véritable gageure. Cela inclut la réception et le traitement des demandes, la qualification des demandes avec vérification de l’identité du demandeur, la transmission d’une réponse dans les délais imposés (généralement un mois), l’effacement des données personnelles et la gestion des preuves de conformité (traçabilité).
L’effacement des données personnelles soulève des questions majeures en termes de stratégie d’effacement. Quels sont les systèmes dont les données personnelles peuvent être supprimées ? Quels sont, a contrario, les systèmes nécessitant une préservation des données (à des fins de reporting et de statistiques) et pour lesquels la notion d’effacement doit être réalisée par anonymisation des données personnelles ? Quelles conventions et techniques seront appliquées pour l’anonymisation des données ? Une première période de pseudonymisation est-elle souhaitable avant anonymisation définitive ?
L’effacement des données personnelles nécessite pour l’entreprise de disposer d’une vision précise des données personnelles stockées dans chaque système. Les entreprises les plus matures pourront s’appuyer sur un référentiel de type Catalogue de Données pour identifier et qualifier les données personnelles traitées par chaque système, voire pour coupler dynamiquement ce Catalogue de Données au processus technique d’effacement.
Enfin, l’effacement des données personnelles implique la définition d’une architecture technique pouvant être complexe pour apporter le niveau d’automatisation requis ainsi que pour répondre aux besoins de robustesse et de traçabilité des traitements d’effacement. Plusieurs modèles d’architectures peuvent être envisagés : un modèle centralisé où une structure applicative centrale assure l’ensemble des transactions d’effacement (mise à jour par pseudonymisation/anonymisation ou suppression) sur les différentes briques applicatives du SI ; ou un modèle distribué où le processus d’effacement génère des instructions d’effacement qui sont distribuées aux systèmes cibles, lesquels procèdent à l’effacement de leurs propres données et génèrent un log individuel qui doit faire l’objet d’une consolidation.
L’ensemble des connaissances et savoir-faire pour mener un tel projet entre dans le champ d’une nouvelle discipline décrite sous le terme de « Data Protection Engineering » par l’ENISA (European Union Agency for Cybersecurity) et comme sous-ensemble du domaine plus vaste que constitue la « Data Protection by Design and by Default ».
Pour les entreprises, et en l’absence de ressources expérimentées dans le domaine, la mise en œuvre d’un processus d’effacement des données personnelles permettant de répondre aux exigences de conformité au RGPD constitue un projet à la fois complexe et risqué face auquel elles sont souvent désemparées. Il n’est par ailleurs pas toujours facile de trouver sur le marché des sociétés disposant de l’ensemble des compétences requises : connaissance des solutions digitales front-to-back de gestion de processus et de traitement des demandes clients (Salesforce, Pega…), expertise RGPD (réglementaire, gouvernance..), maîtrise des architectures SI complexes, expertise dans les référentiels clients (EDP/CDP, RCU…), compétences transversales sur la data et solide expérience dans le pilotage de projets transverses au sein de SI complexes…
TechAndTrust Consulting regroupe l’ensemble de ces compétences et expériences pour vous accompagner dans vos projets en lien avec la minimisation de la donnée dans le cadre du RGPD et d’autres règlementations similaires à l’international.
Nous sommes à votre disposition pour partager cette expérience et pour échanger sur vos enjeux.
