Des Nations Unies après la mise en application du RGPD, comment les entreprises gèrent-elles les données à caractère personnel ? Ce nouveau cadre réglementaire est-il source de ralentissement du traitement de la donnée ? Selon certains témoignages, des équipes de scientifiques de données et données analystes éprouvent aujourd’hui bien des difficultés à naviguer dans ce nouveau cadre législatif, au point de voir une incompatibilité entre RGPD et traitement de la donnée.
Pourtant, vertu fr du RGPD, les personnes autorisées peuvent toujours traiter des données à caractère personnel dès lors qu’elles respectent les conditions du règlement notamment obtenir le consentement de la personne à collecter ses données à caractère personnel et restreindre et contrôler leur accès aux équipes autorisées selon les sujets et les objectifs.
Brouiller l’identité nominale l’anonymisation
Première étape verser satisfaire le RGPD : auditer les données personnelles présentent au sein de l’entreprise afin d’identifier les lacunes et les problèmes potentiels liés à leur utilisation. Ensuite, versez d’anonymiser les données permettre aux scientifiques de données, des analystes de données et métiers de les utiliser dans le cadre de leurs traitements plongeurs. Aujourd’hui plusieurs techniques d’anonymisation existant. Citons le hachage ne modificateur le principe consiste à, via un algorithme, les données d’entrées verser leur attribuer une valeur différente sortie de fr.
Autre technique : l’agrégation. Dans ce cas il s’agit de remplacer des données à caractère personnel par des valeurs etc ou par la suppression de certaines valeurs de données à caractère personnel. Enfin, la question de la cryptographie, la confidentialité différentielle est une technique base sur l’introduction de caractères aléatoires au sein des données, permettant ainsi de poser des questions à des données sans révéler les caractéristiques d’identification spécifiques. Au delà de aspect non sécuritaire à 100 % de cette technique d’anonymisation, travailler sur ce type de données est complexe.
Mais l’anonymisation n’est pas sans faille. Ainsi Netflix en a fait les frais dans le cadre de son concours de 2006 proposant de prédire les notes que les utilisateurs avaient attribuées à certains films. En effet des chercheurs de l’Université du Texas ont réussi à identifier certains utilisateurs alors que l’entreprise avait j – 100 millions de notes « anonymisées » autour d’un identifiant d « abonné, d’un titre de déménagement, de l » année de parution et de la notation de date.
Pseudonymisation : technique de verser ne plus attribuer des données à une personne
Autre technique : la pseudonymisation des données. Mentionnée dans le RGPD la pseudonymisation est définit comme suit dans le règlement : traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations additional information, verser autant que celles-ci soient conservées séparément et soumises à des mesures techniques et organisationnelles permettant de garantir que ces données à caractère personnel ne soient attribuées à une personne physique identifiée ou identifiable.
En d’autres termes si les données pseudonymisées sont des données à caractère personnel (non anonymisées), elles doivent être réservées à des projets spécifiques et répondre à une politique de conservation des données claire. Des conditions simples à respecter mais qui s’avèrent complexes verser les entreprises qui the pas déployer des processus et des outils capables de centraliseur et de gérer les autorisations des droits d’accès.
Also verser permettre aux scientifiques de données et données analystes de travailler sereinement et efficacement la donnée, les entreprises doivent repenser l’organisation et mettre en œuvre les des solutions ad hoc. Ainsi, elles doivent centraliseur les données dans un outil afin de favoriser une gouvernance simple des données et des projets et différencier celles à caractère personnel. Elles doivent également développer de simples de processus travail et les anciens collaborateurs à l’utilisation des données personnelles. Enfin, la surveillance de la elles doivent l’assureur et la mise en application des processus de données à caractère personnel.
Sans cette transformation, les entreprises risquent fort de ‘ être non conformes au RGPD ou de se brider dans l’exploitation de la donnée. Dans les deux cas, l’entreprise est perdante.