Big Data, Science des données, aide à la décision en entreprise, business intelligence, data warehouse, reporting, OLAP, web analytics, data visualization, data mining, internet des objets, informatique cognitive, intelligence artificielle...

Abonnez-vous gratuitement à Decideo !


Decideo

 


Le règlement européen général sur la protection des données et l'art de la gestion du consentement


Rédigé par Stéphane Mahmoudi, MarkLogic le 8 Octobre 2017

Avec le consentement, les entreprises se retrouvent face à un véritable casse-tête. Les nouveaux droits accordés aux individus par le Règlement européen général sur la protection des données (GDPR), qui entrera en vigueur le 25 mai 2018, indiquent que les particuliers auront le droit de demander que les sociétés suppriment toute information les concernant simplement en retirant leur consentement.



Stéphane Mahmoudi, Sales Director MarkLogic France
Stéphane Mahmoudi, Sales Director MarkLogic France
Nous avons vu à quel point le processus a été complexe pour Google lorsque des particuliers de l’Union Européenne ont obtenu le droit à l'oubli en 2014. Bien sûr, lorsque les données des clients étaient simplement enregistrées dans un Rolodex, cette tâche aurait été simple. Aujourd'hui, le processus est ultra complexe. En effet, dans la plupart des entreprises, les données sur les individus (ou données personnelles) sont dispersées dans plusieurs systèmes cloisonnés : applications e-commerce, bases de données marketing, systèmes CRM et de facturation, etc.

Le problème des silos de données
Imaginez le scénario suivant : un commerçant en ligne est victime d’une violation de données et plusieurs de ses bases de données sont compromises. Cela déclenche la réaction de nombreux clients ou d'employés mécontents qui décident d’unir leurs forces et d’émettre des requêtes de portabilité des données, exigeant une exportation complète de toutes leurs données à caractère personnel dans le délai prescrit par le GDPR, c'est-à-dire 2 mois. Avec des données stockées dans de multiples systèmes informatiques, cela revient à chercher une aiguille dans une botte de foin. Et tandis que les demandes ponctuelles peuvent probablement être contrôlées en accédant aux systèmes et en recueillant les données manuellement, cette approche ne suffira pas en cas de dizaines ou de centaines de requêtes simultanées.

Même ce qui semble être une simple requête de « droit à l'oubli » signifie que le client doit être retiré de toutes les bases de données, et ce n’est pas vraiment aussi simple que cela en a l'air. L’équipe marketing peut supprimer le client de sa base de données relativement facilement, mais les données sur ce client sont susceptibles de se trouver également dans d’autres systèmes. Et si un de ces systèmes est modifié en interne, les données de ce client peuvent soudainement, et involontairement, revenir dans la base de données marketing. Les clients mécontents auraient alors une autre raison d’engager des poursuites.

Une cible mouvante
Cette situation est compliquée en raison d'autres facteurs « mouvants » à prendre en compte. Tout d’abord, le GDPR est encore en constante évolution d’un point de vue réglementaire, et continuera à l'être même après sa mise en application. De plus, certaines de ces données personnelles ont probablement été partagées et stockées par des tiers, et pourraient donc être situées dans des lacs de données ou dans des lecteurs partagés quelque part. Il est probable que personne ne sache vraiment où.

Aux problèmes de manque de clarté, il faut répondre par la souplesse
Face à ce manque de clarté, que peuvent faire les entreprises ? Le GDPR exige des entreprises qu'elles prouvent qu'elles ont pris toutes les mesures raisonnables en matière de conformité. La situation est néanmoins préoccupante : selon un nouveau sondage de Veritas, seuls 2% des entreprises « prêtes pour le GDPR » sont réellement en conformité.

Certaines grandes entreprises ont engagé des consultants, moyennant des frais importants, pour entreprendre un exercice de cartographie manuelle des données. Il peut s'agir d'une première étape utile mais ce n’est pas une approche durable, car le résultat consiste souvent en des documents statiques tels que les fichiers PDF. Ainsi, en réponse aux changements dans les demandes d’exportation de données ou de consentement, un examen manuel de cette documentation est nécessaire à chaque fois, ce qui rend l'adaptation aux règlements en évolution difficile et coûteuse.

La plupart des entreprises aujourd'hui ne savent pas comment s'y prendre parce qu’elles n’ont procédé à aucun mappage de données ou possèdent des PDF statiques avec toutes les données mappées qui seront probablement périmées la semaine prochaine. Pour résoudre ce dilemme, de nombreuses entreprises optent pour une approche automatisée.

Un hub de gestion du consentement
C'est là qu'intervient le hub de gestion du consentement. Imaginez un Rolodex numérique superpuissant ou un classeur numérique. Il s’agit essentiellement d’un magasin de métadonnées sécurisées et évolutives qui peut être utilisé pour gérer activement le résultat de n’importe quel exercice de cartographie des données et pour automatiser les aspects opérationnels de la gestion du consentement.

Les contrats des clients, les conditions générales du site et toutes les données personnelles peuvent être ajoutées dans le hub, puis consultées et interrogées, ce qui facilite l'identification des consentements obtenus. Une fois que les agents de la protection de données voient où se situent les « failles » de consentement, ils peuvent travailler sur l’obtention d'un consentement supplémentaire et en consequence la mise à jour du magasin de métadonnées.

Perfectionnement du hub NoSQL Enterprise
Du point de vue de l'architecture informatique, une plate-forme de base de données NoSQL est optimale pour créer un hub de gestion du consentement, parce qu’elle peut gérer le problème de la diversité des données. Les bases de données relationnelles ne peuvent pas s’accommoder de vastes étendues de données non structurées et les modifications de schémas sont coûteuses et peuvent durer de 4 à 18 mois. Les lacs de données ne sont pas non plus une option viable parce qu’ils sont ouverts et donc non sécurisés par définition. Dans le domaine de la gestion des données, une plate-forme sécurisée est essentielle. Une leçon que de nombreuses entreprises ont malheureusement appris à leurs dépens.

Un hub de gestion du consentement offre également une bien plus grande agilité pour pouvoir gérer des données non structurées (des documents JPG, PDF, Word, etc.) ainsi que des données structurées. Et il peut gérer les requêtes multiples de données, par exemple, rechercher tous les propriétaires d’un ensemble particulier ou d'un type de données, trouver le nombre de consentements client par région, et afficher les données sur les tendances du consentement (par exemple, si le consentement augmente ou diminue au fil du temps).

Les bases de données NoSQL peuvent également accueillir les modifications apportées au GDPR et autres règlements. De plus, la modification et l’ajout du schéma peuvent être effectués en quelques jours ou semaines, plutôt qu'en plusieurs mois.

Conseils et avantages en matière de hub de gestion du consentement

• Automatiser l’exercice d’inventaire des données : intégrer n’importe quel fichier contenant même un soupçon de données à caractère personnel provenant des systèmes cloisonnées tel quel dans le hub et appliquer certaines règles (par exemple rechercher les adresses e-mail, nom, adresse et numéro de police).
• Procéder à une analyse poussée de comparaison de données : il est essentiel de comprendre comment les coordonnées de chaque système correspondent à chaque personne concernée. Sans cette étape, il n’est pas possible de savoir quelles données sont directement pertinentes pour chaque demande ou documentation de consentement.
• Une fois cette analyse initiale terminée, conserver l' « entité du citoyen » dans le hub (nom d’une personne ou un identificateur unique). Des pointeurs vers les données des silos originaux sont inclus, ce qui signifie que le reste des données à caractère personnel peuvent être retirées du hub.
• Du point de vue opérationnel, le hub peut également servir à stocker les « entités de consentement » (tous les documents relatifs au consentement). Ces entités contiennent des informations qui pointent vers les documents pertinents dans les bases de données et applications (par exemple une base de données marketing) et incluent les métadonnées décrivant le propriétaire du réseau, etc. Cela garantit que toutes les données client ayant besoin d’être supprimées sont gérées par le propriétaire du système spécifique plutôt qu’au niveau de la direction du hub.
• Ces entités aident à identifier exactement quelles données se rapportent à quelle personne et sont utiles pour les demandes de portabilité de données ou d’accès aux données. Elles peuvent aussi aider à résoudre le problème des situations de type « Comment puis-je me souvenir de ce qu'on m'a demandé d’oublier ? »
• Assurer la prise en charge de l'exécution des requêtes sémantiques, ce qui facilite la mise en corrélation des données personnelles et la documentation de consentement pour vérifier que vous disposez du consentement nécessaire pour utiliser les données. Si vous n’avez pas de consentement, vous devez le demander ou supprimer les données pour assurer la conformité.
• Utiliser une base de données qui prend en charge le « voyage dans le temps numérique », ou la bitemporalité, de sorte qu'il est possible de revenir en arrière pour voir, par exemple, à quoi ressemblaient les conditions générales du site il y a un an, lorsque les clients mécontents aujourd'hui avaient accepté de recevoir des e-mails marketing.
• Choisir une base de données disposant d'une sécurité avancée telle que la rédaction intégrée pour supporter le GDPR, pour assurer la conformité au GDPR, un gestionnaire de centre d’appels peut voir le nom et le numéro de téléphone de l’appelant sur son écran, mais aucune autre information personnelle. En outre, la base de données doit supporter le cryptage des données dont la mise à jour est peu fréquente (data at rest) pour empêcher qu’elles soient soumises à des violations de données.
• Construisez un ensemble d’interfaces utilisateur intelligentes sur le hub de gestion du consentement que les représentants du service clientèle, ou les clients eux-mêmes, par l’intermédiaire de portails libre-service, peuvent utiliser pour gérer facilement le consentement.
• Utiliser le hub pour stocker toutes les versions de contrats avec des entreprises tierces qui manipulent des données à caractère personnel en votre nom (processeurs de données) pour en assurer la conformité.

Conclusion
L’échéance du GDPR étant imminente, le risque de ne pas développer un hub de gestion du consentement est plus important que les coûts que ce dernier entraîne. De plus, une fois que vous avez mappé ces données à des fins réglementaires, vous disposez d'un tremplin pour accéder à de nouveaux et précieux services basés sur les connaissances approfondies que vous aurez acquises en intégrant avec souplesse tous les types de données des clients.




Nouveau commentaire :
Facebook Twitter

Vous pouvez commenter ou apporter un complément d’information à tous les articles de ce site. Les commentaires sont libres et ouverts à tous. Néanmoins, nous nous réservons le droit de supprimer, sans explication ni préavis, tout commentaire qui ne serait pas conforme à nos règles internes de fonctionnement, c'est-à-dire tout commentaire diffamatoire ou sans rapport avec le sujet de l’article. Par ailleurs, les commentaires anonymes sont systématiquement supprimés s’ils sont trop négatifs ou trop positifs. Ayez des opinions, partagez les avec les autres, mais assumez les ! Merci d’avance. Merci de noter également que les commentaires ne sont pas automatiquement envoyés aux rédacteurs de chaque article. Si vous souhaitez poser une question au rédacteur d'un article, contactez-le directement, n'utilisez pas les commentaires.