Big Data, Science des données, aide à la décision en entreprise, business intelligence, data warehouse, reporting, OLAP, web analytics, data visualization, data mining, internet des objets, informatique cognitive, intelligence artificielle...

Abonnez-vous gratuitement à Decideo !


Decideo

 


Les données personnelles en entreprise : Le délégué à la protection des données comme garant de leur sécurité


Rédigé par Florian Douetteau, Dataiku le 19 Juillet 2017

Le règlement général sur la protection des données (RGPD) impose aux entreprises françaises et européennes de revoir leurs pratiques de traitement des données clients, internes et externes. A l'heure du big data, les entreprises sont amenées à gérer des flux de données de plus en plus importants ; la mise en place d'une réglementation se révèle une mesure nécessaire pour la préservation des données sensibles. Le RGPD se substitue à la directive sur la protection des données et prévoit de nouvelles conditions concernant la collecte, l'exploitation et le transfert des données, dont le non-respect entraînera de lourdes amendes. Toutefois, dans certains domaines, ses exigences restent vagues et il peut être complexe à mettre en œuvre. Pour y pallier, plusieurs entreprises ont nommé un délégué à la protection des données personnelles (DPO, Data Personal Officer), afin d'assurer son application. Le big data implique pour les entreprises la mise en oeuvre de moyens parfois difficiles à appliquer en interne : le délégué à la protection des données est un intermédiaire clé pour maîtriser les risques.



Florian Douetteau, CEO, Dataiku
Florian Douetteau, CEO, Dataiku
Le RGPD va modifier en profondeur le fonctionnement de tous les départements de l'entreprise (marketing, services RH, services juridiques, etc.). Il concerne les avis de confidentialité, les notifications de consentement ou encore les notifications de faille de sécurité. Dans les RH, l'indication « données personnelles » désignera désormais toute information permettant d'identifier une personne de façon directe ou indirecte (date de naissance, adresse IP ou nom). Les entreprises devront rendre ces données accessibles aux personnes concernées, permettre leur suppression – sous conditions –, et les informer sur leur durée de conservation et leurs mouvements. Les dirigeants cherchent à réajuster en conséquence leurs règles internes.

Règles internes : quels changements à amener ?

Il est impératif pour les entreprises d'évaluer les risques potentiels liés à leurs pratiques courantes et de modifier les règles actuelles.
1. Vérifier les processus de données en contrôlant les pratiques de conservation (type de données stockées, durée), de traitement et de transfert (en France, en UE ou à l'international).
2. Communiquer de façon compréhensible sur l'utilisation des données personnelles.
3. Tenir compte du droit des individus à l'information en élaborant un processus standard, pour les demandes d'accès aux données et de suppression, par les particuliers concernés.
4. Réviser les avis de confidentialité sans tarder, pour qu'ils soient conformes aux nouveaux paramètres de confidentialité (privacy notices) en vue de les préparer à l'application de la RGPD prévue l'année prochaine :
a. de façon concise, transparente, intelligible et facilement accessible ;
b. en langage simple et clair, en particulier s'il s'adresse à un enfant ;
c. et sans frais.
5. Anticiper les risques et les failles de sécurité de façon immédiate afin de protéger les données individuelles.

Comment se définit le rôle de délégué à la protection des données ?

L'article 37 (1) du RGPD exige la nomination d'un délégué à la protection des données (DPO) dans l'un de ces trois cas :
1. le traitement est effectué par une autorité publique ou un organisme public ;
2. les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui exigent un suivi régulier et systématique à grande échelle des personnes concernées ;
3. les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données ou de données à caractère personnel relatives à des condamnations pénales et à des infractions.
Après examen des lignes directrices du RGPD, les entreprises pourront nommer un délégué à la protection des données : une mesure encouragée par le RGPD.

Quel est son champ d'action ?

Garant de l'application du RGPD, dont le non-respect peut coûter jusqu'à 4% du chiffre d'affaires et entraîner l'interdiction de traiter les données personnelles, le délégué à la protection des données intervient en dehors du management. Il exerce une activité à plein temps qui requiert une parfaite connaissance des données de l'entreprise et de leur politique de traitement. Son rôle évoluera en fonction de l'émergence de nouvelles réglementations. Sans cet intermédiaire, nécessaire à la compréhension des directives de la RGPD, la gestion du traitement des données s'ajoutera aux attributions déjà nombreuses du Chief Digital Officer (CDO) ou du DSI, ce qui sera impossible à gérer.
Les entreprises doivent donc impérativement envisager d'intégrer cette compétence à leur personnel.

Florian Douetteau est CEO et co-fondateur de Dataiku. Diplômé de l'Ecole Normale Supérieure, il débute sa carrière chez Exalead, qu'il rejoint en 2000 pour mener une thèse sur le développement du langage de programmation Exascript. Il y restera jusqu'en 2011, occupant successivement plusieurs postes de direction et de vice-président dans les domaines de la recherche, du développement et du management de produits. Après un passage chez Is Cool Entertainment en tant que Chief Technology Officer, il intègre Criteo pendant quelques temps comme Data Scientist freelance, avant de se lancer dans l'aventure Dataiku en 2013.




Nouveau commentaire :
Facebook Twitter

Vous pouvez commenter ou apporter un complément d’information à tous les articles de ce site. Les commentaires sont libres et ouverts à tous. Néanmoins, nous nous réservons le droit de supprimer, sans explication ni préavis, tout commentaire qui ne serait pas conforme à nos règles internes de fonctionnement, c'est-à-dire tout commentaire diffamatoire ou sans rapport avec le sujet de l’article. Par ailleurs, les commentaires anonymes sont systématiquement supprimés s’ils sont trop négatifs ou trop positifs. Ayez des opinions, partagez les avec les autres, mais assumez les ! Merci d’avance. Merci de noter également que les commentaires ne sont pas automatiquement envoyés aux rédacteurs de chaque article. Si vous souhaitez poser une question au rédacteur d'un article, contactez-le directement, n'utilisez pas les commentaires.