Comment gérer le RGPD au sein des données non structurées
|
 |
Le Règlement Général sur la Protection des Données (RGPD) s’applique à tous types de systèmes dans lesquels des données personnelles sont stockées.
La plupart des projets RGPD commence avec les données structurées (c’est-à-dire les bases de données, le système de gestion des documents, les systèmes CRM). Ces systèmes sont généralement consultables et taggables par défaut et une fois que l’organisation a choisi ce qui était considéré comme des données à caractère personnel, il est plus facile d’implémenter des politiques.
Les données non structurées (et plus précisément les données des fichiers) constituent une autre paire de manches. Les données non structurées englobent en tas de types et de formats de fichiers différents et les données sont généralement éparpillées sur les différentes plate-formes et localisations. Les fichiers ne sont pas nécessairement facilement consultables et même s’ils le sont, le contenu semblera différent d’un fichier à l’autre, et les modèles seront d’autant plus difficiles à établir. De plus, la plupart des organisations manquent de bonnes politiques concernant l’appartenance des données où les fichiers appartiennent au système ou à des comptes d’application et aucune structure hiérarchique n’existe empêchant l’information concernant ces fichiers d’être rapportée.
Pour aborder la conformité au RGPD au sein des données non structurées, il est nécessaire de:
- Définir les règles définissant les données sensibles et à caractère personnel dans votre organisation (numéros de sécurité sociale, informations postales etc…)
- Comprendre où se situent les données non structurées de l’organisation , les partages de fichiers on-premise, SharePoint, OneDrive etc..
- Etablir et maintenir un système d’appartenance des données pour assurer la prise en main de l’information par les bonnes personnes.
- Scanner ces données régulièrement pour découvrir quels fichiers contiennent probablement des données sensibles.
- Etablir des politiques concernant la prise en main des données sensibles et la façon dont celles-ci devraient être gardées, où etc…
- Identifier les données connues et délivrer cette information à l’organisation pour que les propriétaires des données eux-mêmes puissent prendre des décisions concernant les données sensibles (déplacer, supprimer etc…)
- Agréger et répandre l’information sur les données sensibles aux Data Stewards, chefs de département et aux exécutifs pour s’assurer que les règles sont suivies.
- Créer un workflow de façon à informer les individus des données personnelles dont on dispose les concernant et de la possibilité de les supprimer.
Northern peut aider à être conforme au RGPD concernant les données non-structurées en:
- Donnant un récapitulatif de l’environnement: quels répertoires contiennent des données non-structurées crées par les utilisateurs, qui sauvegarde quel fichier et où etc…
- Trouvant les fichiers similaires et les propriétaires des partages en se basant par exemple sur les activités récentes.
- Rassemblant les métadonnées sur les fichiers pour mettre le doigt sur les points d’intérêt.
- Scannant le contenu des fichiers en utilisant des mots spécifiques ou des expressions régulières pour trouver des informations potentiellement sensibles.
- Créant des tableaux de bord à partir desquels il est possible d’effectuer des actions (supprimer des fichiers etc…)
- Aidant à l’établissement des politiques autour du RGPD et des données sensibles à l’aide de recommandations.
Bien qu’il soit moins simple d’inclure des données non structurées dans un projet de RGPD, il est impératif de satisfaire aux exigences réglementaires. Avoir une meilleure prise en main sur les données non-structurées permettra également de nettoyer les données ROT (redondantes, obsolètes et triviales), d’améliorer l’efficacité et de réduire les risques bien en dessous du seuil recommandé par la loi.
