Articles

Le machine learning et NLP, les alliés d’une mise en conformité au RGPD facilitée

Le nouveau Règlement Général sur la Protection des Données (RGPD) va considérablement modifier l’organisation des entreprises et leurs rapports aux données générées notamment par les interactions avec les consommateurs. Applicable dès le mois de mai 2018, le RGPD s’appuie en effet sur la nomination d’un « référent », sur la tenue d’un référentiel de traitement, et sur un accès direct et aisé aux données sur chaque consommateur. Autant de dimensions qui peuvent être facilitées par les technologies de machine learning. Explications.

Un nouveau rôle dans l’entreprise : le DPO

La gouvernance de l’information est déjà un sujet majeur pour les entreprises. Chaque donnée peut en effet constituer la « clé » de la différenciation, que ce soit face à la concurrence, pour aider à la prise de décision, ou encore pour une meilleure maîtrise des risques. Or, avec le RGPD, entré en vigueur à l’été 2016 et applicable en mai 2018, un nouvel enjeu va accompagner cette dimension incontournable de la stratégie de l’entreprise : être en mesure de redonner le contrôle de leurs données à ceux qu’elles concernent directement.

C’est pour cela que le RGPD exige des entreprises la nomination d’un Délégué à la Protection de la Donnée (ou DPO, pour Data Privacy Officer, en anglais) dans les entreprises et les institutions européennes. C’est lui qui aura pour mission d’orchestrer la nouvelle politique relative aux données dans l’entité avec laquelle il collabore. Il devra notamment tenir un registre de toutes les opérations de traitement, comportant notamment :

  • La finalité du traitement des données (par exemple, « Données traitées pour communiquer mensuellement sur nos actualités d’entreprise ») ;
  • La description des personnes et des données personnelles utilisées (par exemple, « Clients ayant commandé au moins une fois un de nos produits », et « nom, prénom et email ») ;
  • Les différentes catégories de destinataires des données (par exemple, « envoi par logiciel emailing », « envoi par courrier » ou encore « appels téléphoniques ») ;
  • Les garanties de sécurité intégrées au traitement des données (certifications obtenues, résultats d’audits ou encore attestations des éditeurs de logiciels)…

De nouveaux droits à faire respecter

Si le DPO doit optimiser la gouvernance de l’information, c’est parce que la maîtrise de ce véritable patrimoine doit permettre de garantir le respect de certains droits des consommateurs via le RGPD. Ainsi, il doit être en mesure d’assurer l’effacement des données dès lors qu’une personne concernée en fait la demande. C’est ce que l’on appelle communément le « droit à l’oubli », institutionnalisé, donc, dans le RGPD. Les consommateurs doivent aussi pouvoir consulter les informations qu’une entreprise possède sur eux pour, au besoin, les modifier (une adresse incorrecte, un nom mal orthographié, une composition du foyer inexacte ou obsolète…). En limiter les usages également, et les anonymiser. Le tout dans un laps de temps assez court, les entreprises devant satisfaire les demandes « dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance », selon les textes officiels !

Toutes ces dimensions posent aussi la question de la portabilité des données. Le DPO doit en effet être en mesure de rendre les informations consultables dans un format couramment utilisé, et lisible par n’importe quel particulier. Sans imposer, donc, le recours à un logiciel peu courant et/ou payant !

Les apports du machine learning pour le RGPD

Autant dire que la tâche peut sembler bien fastidieuse avec des solutions « classiques » et non optimisées. C’est pour cela que le recours à des solutions de gouvernance de l’information intégrant une forte dimension « machine learning » constitue un impératif.

Ce que le machine learning va permettre de faire ? Identifier la donnée, de plus en plus rapidement au fur et à mesure de l’utilisation de la solution, et automatiser les process. Répondre avec plus d’efficacité aux demandes des consommateurs. Leur permettre d’exercer leurs différents droits (limitation, rectification, anonymisation, suppression) prévus dans le RGPD. Enrichir le registre de traitement, que la CNIL doit pouvoir consulter. Assurer, enfin, la portabilité des données, que ce soit en direction des personnes concernées par les données ou d’une autorité de contrôle !

Le machine learning est donc l’allié des futurs DPO (aujourd’hui, simples « correspondants informatique et libertés ») dans la mise en place d’une gouvernance de l’information en accord avec les principes de la nouvelle Réglementation Générale sur la Protection des données. Vous souhaitez en savoir plus sur cette technologie ? Comprendre en quoi une solution d’archivage numérique s’appuyant sur le machine learning peut vous aider à rendre l’utilisation des données plus transparente ? Contactez les experts Everteam !

 

 

InfoGovCon 17 | Everteam remporte le trophée de la Gouvernance de l’Information

La semaine dernière nous avons participé à InfoGovCon 17 en tant que sponsor. Providence, situé dans l’état du Rhode Island aux Etats-Unis est un super endroit pour venir y passer quelques jours et notre équipe a pu discuter de tout ce qui peut toucher à la Gouvernance de l’Information avec les participants et exposants présents à cet événement.

Il y a encore beaucoup de chemin à parcourir pour améliorer la manière dont les entreprises gèrent leur capital informationnel. Pour commencer il faut la retrouver à travers les différentes applications métier de l’entreprise, où l’information est stockée. Il est clairement ressorti de nos discussions, que file analytics est une fonctionnalité clé nécessaire aux entreprises. Si vous ne savez pas quelle information vous avez à disposition et où elle se trouve, comment pouvez-vous décider de la meilleure manière de la gérer ?

Bien entendu, file analytics n’est que le point de départ. Une fois que vous avez cette vision d’ensemble, vous devez commencer à prendre quelques décisions. C’est là que se situe le cœur de la Gouvernance de l’Information.

Bassam Zarkout a fait une présentation sur l’assainissement des serveurs de partage de fichiers, un processus qui consiste à déterminer quelles informations vous avez à disposition dans l’entreprise et comment organiser et gérer cette information de manière adéquate. Selon Bassam, il y a tellement de contenu caché et éparpillé dans les serveurs de partage de fichiers et autres répertoires, dont ceux dans le cloud par exemple, qui doivent être pris en charge par les entreprises avant qu’il ne soit trop tard. (Pensez au RGPD et aux risques de cyber-sécurité). Jetez un coup d’œil à ses slides, ils sont remplis d’informations utiles !

La conférence s’est terminée avec la remise d’un trophée. Everteam a remporté le trophée de « la meilleure entreprise de Gouvernance de l’Information 2017 » et nous ne pouvions être plus fiers. Notre équipe travaille d’arrache-pied  pour concevoir et développer les meilleures solutions accompagnant les stratégies de gouvernance de l’information. Nous travaillons avec un groupe de partenaires pour offrir des solutions adaptées à votre entreprise, quel que soit son secteur ou sa taille.

InfoGovCon Award

 

Si vous souhaitez en savoir plus sur Everteam et notre point de vue sur la Gouvernance de l’Information, commencez par un aperçu de la Gouvernance de l’Information ou laissez-nous tout simplement vos coordonnées et nous vous recontacterons.

RGPD : les 6 étapes de la mise en conformité recommandées par la CNIL et les outils pour y répondre

Dans un monde qui se digitalise, tout devient donnée. Chaque fait, chaque décision, chaque acte devient une information, qui peut être traitée, exploitée, classée. Et ce à des fins commerciales, institutionnelles, réglementaires, statistiques ou encore scientifiques ! C’est pourquoi un nouveau cadre réglementaire, adapté à ces enjeux inédits et au volume de ces données — le fameux Big Data —, est en train de se mettre en place : le Règlement Général sur la Protection des Données, ou RGPD pour les intimes. Il sera entièrement applicable dès le 25 mai 2018, et ce au niveau européen. Comment s’y préparer ? Quels outils mettre en place à chaque étape recommandée par la CNIL ? Décryptons cela ensemble !

  • LE RGPD EN BREF

    Avant de voir en détail les outils qui permettront de satisfaire aux 6 étapes de la mise en conformité établies par la CNIL, commençons par un rapide point sur ce qu’est le Règlement Général sur la Protection des Données. Ce nouveau texte de référence européen, promulgué en avril 2016 et applicable en mai prochain, a pour ambition d’encadrer la protection des données à caractère personnel, et de renforcer les droits des consommateurs en la matière.

    Il repose notamment sur un consentement explicite et positif de ceux dont les informations sont récupérées, sur un droit à l’effacement et à la portabilité, ainsi que sur un cadre (enfin !) harmonisé au niveau européen. Il impose donc aux acteurs économiques de répondre à de nouvelles exigences, à même de renforcer la confiance que les consommateurs peuvent leur accorder.

LES 6 ÉTAPES DE LA MISE EN CONFORMITÉ

Le nouveau RGPD sera prochainement une réalité pour les entreprises, quel que soit le secteur d’activité. Il convient donc de s’y préparer dès maintenant. Pour cela, la CNIL a publié un référentiel de mise en conformité, en 6 étapes, afin d’être en mesure de garantir aux consommateurs que le traitement de leurs données entre parfaitement dans le cadre défini au niveau de l’Union européenne. Voici lesquelles :

  • Étape 1 : désigner un pilote. Sa mission ? Gérer la gouvernance des données personnelles. Il lui reviendra de planifier les actions destinées à appliquer le RGPD. Il deviendra en 2018 le « correspondant informatique et libertés » de l’entreprise ou le DPO (Délégué à la Protection des Données).
  • Étape 2 : cartographier. Il s’agira de recenser le traitement des données personnelles (finalités, sous-traitants, stockage, durée de conservation…), via un « registre des traitements ».
  • Étape 3 : prioriser. Le nouveau RGPD doit entraîner des actions correctrices sur le traitement des données personnelles. Celles-ci doivent être priorisées en fonction des risques qui pèsent sur les droits des consommateurs concernés.
  • Étape 4 : gérer les risques. Cette étape consiste à corriger les défauts constatés dans le traitement des données, via une analyse d’impact sur la protection des données.
  • Étape 5 : organiser les processus internes. Maintenant que les défauts sont corrigés, il convient de réorganiser le traitement des données, en accord avec les obligations du RGPD.
  • Étape 6 : documenter. La mise en conformité doit être démontrée par une documentation complète, actualisée régulièrement et exportable facilement.

QUELS OUTILS POUR RÉPONDRE AUX ÉTAPES DE LA CNIL ?

La CNIL fournit différents outils pour se mettre en conformité avec le RGPD. Ainsi, en premier lieu, un modèle de registre des traitementsest disponible, afin d’aider les entreprises à cartographier leurs pratiques actuelles. Sur le volet « analyse d’impact », des guides « méthodologie »« outillage » et « bonnes pratiques » sont proposés pour apprendre à mieux gérer les risques. Enfin, un exemple de clause de contrat sous-traitant (y compris pour maintenance et télémaintenance) peut être téléchargé.

La bonne mise en place du RGPD dans les entreprises passera aussi par une fine analyse des données  aujourd’hui réparties dans les applications du SI et un archivage efficace possible de celles-ci. En effet, comment garantir l’accès des consommateurs à leurs données personnelles si celles-ci sont irrécupérables, inatteignables et introuvables, dans la masse de data créée et gérée par l’entreprise ?

Pour y répondre, il est idéal d’opter pour une solution d’analyse multi-sources des données dotée de technologies de machine learning permettant d’identifier les données personnelles, complétée par une solution d’archivage en mode Cloud privé, proposant des fonctionnalités de signature électronique, d’horodatage certifié et d’hébergement, en adéquation avec la nouvelle réglementation européenne.

Ainsi, les consommateurs auront l’assurance de pouvoir accéder à leurs données sur demande, de pouvoir demander des modifications ou la suppression ( “droit à l’oubli”) si besoin, et d’en limiter l’usage. Du côté de l’entreprise, c’est l’accès à une meilleure efficacité grâce au machine learning, à une meilleure certification des données et des process, et à un respect complet des impératifs dictés par le RGPD !

Si le RGPD n’est applicable qu’à partir de mai 2018, il convient de prendre dès maintenant toutes les mesures pour en respecter les principes. Vous souhaitez vous faire accompagner dans cette démarche ? Contactez au plus vite les experts de l’équipe Everteam, spécialiste de la gouvernance de l’information !