RGPD

Semdee > RGPD

Ce que précise la CNIL

Qu'est-ce que la RGPD ?

La RGPD ( Réglementation Générale sur la Protection des Données) ou GPDR ( General Data Protection Regulation) en Anglais est la législation européenne concernant la protection de la vie privée des personnes au regard des contacts qu’ils ont avec les entreprises. A chaque fois qu’ils sont en contact avec une entreprises, ils fournissent des données susceptibles d’impacter leur vie personnelle. LA RGPD est une loi qui entend encadrer ce sujet. Toutes les entreprises de plus de 250 personnes sont concernées ainsi que les entreprises ayant des clients de plus de 250 personnes. Autrement dit presque toutes les entreprises.

De lourdes amendes (4% de leur chiffre d’affaire) seront prononcées contre les sociétés qui enfreignent les règles. Cette législation est rentrée en vigueur le 25 mai 2018.

Source : CNIL (pour accéder au texte officiel)

La démarche en 6 étapes

Source : CNIL (pour aller plus loin)

Ce qu'en disent des Blogs

Les 6 éléments clés selon McKinsey

1. Documentation

Les entreprises s’engagent à tenir un registre des activités de traitement de données et à le mettre à disposition de l’organisme de régulation à tout moment. Fondement juridique. Le traitement des données doit reposer sur un fondement juridique: consentement du titulaire des données, exigences d’un contrat, fin commerciale légitime, etc.

2. Droits du titulaire des données.

Les entreprises s’engagent à respecter les droits des titulaires, tels que le droit à l’oubli (ou, plus précisément, à l’effacement des données), le droit à la portabilité des données, le droit d’opposition, le droit de révocation du consentement et le droit de restriction du traitement.

3. Sécurité

Les entreprises s’engagent à protéger les données au moyen de toute mesure utile, telle que le cryptage ou la pseudonymisation, et à disposer de procédures et politiques opérationnelles efficaces garantissant un traitement sécurisé.

4. Gestion vis-à-vis des tiers

Les entreprises s’engagent à exiger des prestataires et fournisseurs, incluant les sous-traitants, qu’ils protègent les données personnelles et à s’assurer de leur observance.

5. Protection des données dès la conception

Toute entreprise prévoyant l’intégration d’une technologie, d’un produit ou d’un service inédit(e), s’engage à prendre en compte les exigences relatives à la protection des données dès le début du processus de développement.

6. Notification de violation

Toute violation de données risquant de compromettre le respect des droits et libertés des individus doit être signalée aux autorités dans un délai de 72 heures et par la suite communiquée aux titulaires des données le cas échéant.

Source : le Blog determine.fr (vers l'article du Blog)

Les champs en texte libre

Un risque important est lié notamment aux champs en texte libre intégrés dans les solutions CRM. L’opérateur peut alors prendre des notes “non conformes” sur le client: la religion, l’orientation sexuelle, etc. Autant d’informations sensibles pour lesquelles la collecte est interdite et sévèrement punie. L’éthique, la gestion de l’archivage, la rédaction d’un code de bonne conduite sont donc des axes de formation incontournables.

Source : RelationClientmag.fr (découvrez l’article complet)

Des données de quelle nature ?

Les données personnelles

Selon la CNIL, une donnée personnelle se caractérise par toute information relative à une personne physique susceptible d’être identifiée, directement ou indirectement.

Par exemple : un nom, une photo, une empreinte, une adresse postale, une adresse mail, un numéro de téléphone, un numéro de sécurité sociale, un matricule interne, une adresse IP, un identifiant de connexion informatique, un enregistrement vocal, etc.

Peu importe que ces informations soient confidentielles ou publiques.

A noter : pour que ces données ne soient plus considérées comme personnelles, elles doivent être rendues anonymes de manière à rendre impossible toute identification de la personne concernée : noms masqués, visages floutés, etc…

Attention : s’il est possible par recoupement de plusieurs informations (âge, sexe, ville, diplôme, etc.) ou par l’utilisation de moyens techniques divers, d’identifier une personne, les données sont toujours considérées comme personnelles.

Source : CNIL (pour aller plus loin)

Les données sensibles

Une donnée sensible selon la CNIL c’est quoi ?

C’est une information qui révèle les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, la santé ou la vie sexuelle d’une personne physique.

il est interdit de recueillir et d’utiliser ces données. Sauf dans certains cas précis et notamment :

• Si la personne concernée a donné son consentement exprès (écrit, clair et explicite) ;

• Si ces données sont nécessaires dans un but médical ou pour la recherche dans le domaine de la santé ;

• Si leur utilisation est justifié par l’intérêt public et autorisé par la CNIL ;

• Si elles concernent les membres ou adhérents d’une association ou d’une organisation politique, religieuse, philosophique, politique ou syndicale.

A noter : Les informations relatives aux infractions ou condamnations ne sont pas considérées comme des données sensibles mais elles font l’objet de la même protection. Seules les juridictions et certaines autorités publiques peuvent les utiliser, ainsi que la personne morale victime dans le cadre de la défense de ses intérêts.

Source : CNIL (pour aller plus loin)

Semdee et la RGPD

La plate forme « My Knowledge » et la RGPD :

« Données personelles « OU » données sensibles ? Non ! Données personnelles « ET » données sensibles !

Pourquoi ne traiter qu’une partie du sujet ?

Spécialiste de la donnée de type texte la plate forme MY KNOWLEDGE facilite l’inventaire des données personelles ainsi que des données sensibles contenues dans les zones de commentaires ( ou texte libre ) issues de vos applicatifs métiers ( CRM, ERP, etc..) et de vous vos environnements technologiques hébergeant de la donnée texte ( RSE, import de contenu des réseaux sociaux, emails, fichiers PDF, fichiers Word, export de votre Intranet historique, outils maisons etc…).

Traitement des données personelles :

MY KNOWLEDGE vous permet de disposer de données personelles pré-enregistrées et aussi de saisir les données personelles propre à votre organisation ( par exemple le format d’un numéro de client propre à votre seule organisation out tout autre format de données personelles spécifique). Lors de l’import des données, la plate forme “MY KNOLEDGE” vous permet de filter les contenus qui ne contiennent pas de données personelles pour ne retenir que les contenus qui contiennent des données personelles. A ce stade vous pouvez cliquer sur chaque cotenu et les données personelles s’affichent en mode surlignées. Egalement, vous avez la possibilité d’effectuer un export de ces données personelles. Le format de cet export contient notamment les méta données suivanes : le Numéro d’identification interne du document au sein de la plate forme, le titre du document, le contenu, chaque donnée personelle et bien sur la source ainsi que le numéro d‘identification de son environement technologique initial. Ce format d’export est prêt à être direcment importé dans votre logiciel de RGPD pour compléter la cartographie ( etape 2) de vos données et votre analyse d’impact ( etape 4).

Le deuxième mode d’utilisation des données personelles se situe au niveau de l’environement de recherche. La plate forme propose à l’utilisateur de pouvoir rechercher toutes les données personelle d’un ou de plusieurs type ( tous les contenus qui ont un IBAN, tous les dontenus qui ont une plaque d’immatriculation ou autre…) . Egalement, il est possible retrouver une donnée personelle particulière dont on connait une partie de la séquence ( un matricule sociale qui comprend la suite 343 par exemple, ou un RIB qui comprend 442, etc…

Traitement des données sensibles :

S’il est relativement facile d’identifier eet de situer les données de type personelle il est en revnache beaucoup plus difficile d’effectuer le même traitement sur les données sensibles.

En effet, une discrimination ne se limite pas seulement à l’usage de quelques mots clés. Il est possible de dicriminer une personne sur n’importe quel sujet que ce soit ( Que ce soit sur son appartenance raciale ou religieuse , sur son orientation sexuelle ou politique, sur son appartenance syndicale ou encore sur un éventuel historique avec la justice) sans pour cela l’exprimer systèmatiquement de la même manière et en utilisant les mêmes mots. La plate forme MY KNOWLEDGE vous propose dans un premier temps de vous faciliter la détection de contenus sensible grace à l’utilisation du SEARCH cognitif de SEMDEE, capable de rechercher une idée, un concept ou une problématique. Dans un second temps , à partir de ces contenus exemples ( patterns) la palte forme vous permet de retrouver tous les contenus qui ont un sens proche de celui ou ceux pris en exemple. , La plate forme est particulièrement bien adaptée a cette problématique puisque la fonction REUSE ( categorizer) peut mettre en « pattern” des textes qui répondent certaines données sensibles et isoler facilement toutes celles qui s’en rapproche.

Vous allez ainsi pouvoir facilement isoler ces contenus critiques mettant en risque votre entreprise au regard de la loi. IL est à noter qu’à partir d’ un volume de contenu trés important cette action peut soit demander énormément de temps à un être humain ou même s’avérer quasiement impossible. Il est d’ailleurs intéressant de constater qu’il n’existeque très peu d’outis sur le marché capable de repérer un sens global de type Idée, concept ou problématique.