Le Droit à l’oubli est l’un des nouveaux droits introduits par le RGPD et applicable aux personnes concernées. Il est articulé autour de deux idées principales[1]. La première réside dans le droit à l’effacement à proprement parler[2], pour lequel le responsable de traitement a l’obligation de supprimer les données à caractère personnel non nécessaires aux finalités de traitement « dans les meilleurs délais »[3]. La deuxième idée est le droit, pour toute personne concernée, de ne pas retrouver ses données sur internet, le droit au déréférencement[4]. Par ailleurs, il existe une obligation de supprimer les données après l’expiration de leur délai de conservation. C’est le principe de « limitation de la conservation » [5].
Défis
Consécutivement à l’amende de 7M€ infligée par la Datainspektionen suèdoise à une très grosse entreprise pour « le droit aux personnes concernées d’avoir le résultat de leur recherche retiré de la liste des résultats [traduit de l’anglais] », et les dernières tendances observées sur le marché, voici quelques éléments d’observation:
· Identification et traçabilité des données non structurées
La majeure partie des données - non modélisées et non définies - dans un système, sont présentes partout et peuvent s’avérer difficiles à contrôler. Il n’y a aucune manière de s’assurer de la localisation de données non-structurées à un instant précis au moyen d’outils d’identification ou de cartographie de processus communs. Toutefois, ces données doivent être considérées dans le cadre des récents règlements concernant la confidentialité des données. De plus, bien qu’indexées dans des tables, les données structurées se trouvant dans des énormes bases de données peuvent également s’avérer complexes à retrouver.
· Suppression effective des données
Après identification des données, l’opérateur peut les supprimer manuellement. Cependant, c’est une tâche fastidieuse, coûteuse et qui manque d’efficience. De plus, c’est une approche réactive qui devrait être répétée tous les 6 à 12 mois. Par extension, cette problématique se rapporte à la modification de la structure du système d’information dans le but d’automatiser le processus de nettoyage des données, et par conséquent d’adopter une approche proactive.
· Envisager la conservation de données comme un projet distinct
D’un point de vue processus, il semble plus simple de séparer les divers processus de data management (conservation des données, contrôle des données, sécurité des données). En plus d’être répétitif d’un point de vue travail, cela crée également un risque de perte d’uniformité dans l’analyse des données.
Solutions
Dans le but de réduire les risques, il est important de prendre en compte les éléments suivants :
L’étude e-discovery : Bien que beaucoup d’entreprises utilisent la méthode de scanning traditionnelle a mano, des outils automatisés, agnostiques, et cross-systèmes émergent sur le marché, outils qui permettent d’identifier et de faire l’inventaire des données. Ces outils permettent la visualisation des flux de données et l’endroit précis où elles résident dans le système de l’organisation, qu’elle soit structurée ou non. Dans tout système, l’opérateur dispose d’un gain de temps et de précision dans ses recherches.
Marquage et classification des données : Nous avons observé sur le marché un certain manque de maturité concernant la classification et le marquage des données. Ces activités doivent être entreprises de manière intégrée avec l’outil e-discovery. A cet égard, les capacités d’exploration et de nettoyage peuvent être entièrement programmées et automatisées. Dès lors, l’opérateur peut se concentrer sur des tâches à plus haute valeur ajoutée que la recherche et la suppression des données. De telles capacités sont à envisager entièrement dans l’approche de « conception et protection par défaut ».
Intégration des processus et de l’outillage : Les processus de conservation de données découlent directement des fonctions de data management de l’organisation. Ils sont à intégrer entièrement aux fonctions de cybersécurité et de monitoring des systèmes, permettant ainsi d’implémenter des contrôles automatisés, de sécuriser la donnée, et de la contrôler, sur les différents systèmes de l’organisation.
Tirer profit des ressources existantes et intégrer de l’outillage puissant dans le système aide l’organisation à se mettre en conformité avec les règlements liés à la donnée, tout en effectuant des opérations rapides et sécurisées en matière de donnée.
[1] Article 17 GDPR
[2] Article 17(1) GDPR
[3] The Deletion in this case also includes anonymization of the data. Anonymous data is not able to identify directly or indirectly a natural person, thus not considered as personal data anymore.
[4] Article 17(2) GDPR
[5] Article 5(1)(e) GDRP
