1 an après, l’application de la RGPD depuis le 25 mai 2018 a bouleversé le paysage de la gouvernance des données dans les entreprises.
La RGPD fonctionne bien, beaucoup d’entreprises se sont mises en conformité et si ce n’est pas le cas, toutes affirment l’être, car les sanctions “tombent”.
Les entreprises se sont donc approprié le texte et elles sont déjà près de 45 000 à avoir nommé un DPO, qui est le pilote de gouvernance des données.
Mais attention, 1 an après la mise en application de la RGPD, la présidente de la CNIL Marie-Laure Denis annonce qu’en 2019 « La CNIL sera plus ferme envers les entreprises » et que les sanctions « vont pleuvoir ».
Attention le « pas vu pas pris » ne fonctionne plus !
Il va de soi que toutes les entreprises sont conforment à la RGPD. Ce qui est certain c’est que toutes les entreprises affirment l’être ! Il est vrai que, depuis 1 an, les amendes encourues pour non-conformité à la RGPD incitent à ne surtout pas avouer l’inverse. Mais en vérité qu’en est-il de la réalité ? Les entreprises se sont-elles mises totalement en conformité ? Et, surtout, le plus important, leurs pratiques quotidiennes sont-elles désormais véritablement en conformité à la RGPD ?
La plupart des organisations se sont dotées d’un DPO (Data Privacy Officer), souvent une fonction supplémentaire pour des collaborateurs déjà en poste. Pourtant les missions d’un DPO au quotidien sont très lourdes. Celui-ci doit notamment travailler au plus près avec le RSSI pour garantir la sécurité des données sensibles et personnelles et ainsi notifier les différents incidents mais aussi avec le DSI pour connaître les données traitées et leur stockage.
Les problématiques liées à la RGPD sont souvent sous-évaluées
La question du stockage des données est un point très sensible. Surtout si l’entreprise a recours à du cloud public, ce que l’on retrouve tout de même fréquemment. La localisation et le stockage des données doit être maîtrisée. On a pu voir récemment que l’utilisation d’un stockage sous un contrôle américain pose de nombreuses questions et problèmes à cause du Cloud Act. Notons également que le Brexit implique que la Grande Bretagne est en dehors de l’Union Européenne : tout stockage sur son sol ou transfert de données entre l’UE et son territoire est donc par défaut non-conforme.
Nous assistons aujourd’hui à une autre mode qui est le développement des systèmes à base d’algorithmie ou d’intelligence artificielle, de deep learning, etc… La RGPD impose donc une transparence très forte sur les algorithmes utilisés. Cela nous impose de connaître les IA utilisées et leurs différents raisonnements. La portabilité des datas et/ou leur communication imposent une réelle maîtrise des flux des données. Savoir où sont les données n‘est simplement pas suffisant : il faut pouvoir les extraire, les cartographier, les inventorier…
Une solution clé en main
Comment l’intelligence artificielle et la sémantique peuvent-elle devenir un levier d’identification des données personnelles et comment mettre en place son processus de mise en conformité ?
Dans ce processus, l’IA et notamment l’analyse sémantique prend en charge l’étape d’identification et de classification des données personnelles en détectant et en marquant les données sensibles à partir des contenus non structurés de l’entreprise. Les entreprises doivent, en effet, disposer d’une cartographie globale et exhaustive de leurs données soumises à conformité. A savoir les données structurées mais aussi celles dissimulées dans les espaces de stockage dans le cloud, les logs ou les adresses IP… Les solutions d’intelligence artificielle fondées sur la sémantique permettent en effet l’identification automatique de n’importe quelle donnée personnelle (nom de personne, n° sécurité sociale, adresse, maladie, …) mais aussi de relations (distinction des rôles et des interactions entre les entités nommées).
L’analyse sémantique permet également d’aller plus loin dans le processus de mise en conformité RGPD en opérant les phases d’anonymisation / pseudonymisation qui peuvent être une option très pertinente pour la mise en œuvre de l’étape de masquage des données.
En ce sens, INNOPRAG a développé une démarche complète et outillée avec une solution de cartographie automatique et perpétuelle des données à caractère personnel que votre organisation doit gérer dans le cadre de la nouvelle réglementation européenne. Cette solution basée sur un moteur d’intelligence artificielle sémantique vous accompagne vers la mise en conformité de votre Système d’Information et permet d’optimiser la gouvernance de vos données, le renforcement de leur sécurité et d’en développer la valeur.
Notre solution inspecte toutes les sources de données de votre système d’information (bases de données, CRM, comptabilités, fichiers bureautiques, messageries, flux et Interfaces … ) pour établir la traçabilité et la chaîne de responsabilités indispensables à la tenue du registre RGPD.
Pour en savoir plus.
INNOPRAG,
Cabinet, digitale génération.