Avec l’arrivée de la GDPR dans quelques mois, les entreprises devront répondre à cette « simple » question : Que faisons-nous des données personnelles de nos clients et prospects ? 

L’article 30 de la GDPR impose la tenue d’un registre des traitements qui devra contenir un certain nombre d’informations sur les traitements effectués sur les données personnelles.  Ainsi, une entreprise doit être capable de cartographier ces traitements en cas de contrôle de la CNIL. Cette documentation a pour objectif de démontrer la bonne mise en conformité des entreprises avec la règlementation.

Les 6 questions d’un registre de traitements 

De façon simplifiée, le registre de traitements de la GDPR doit répondre à 6 questions :

  • Qui ? le nom et les coordonnées du responsable de traitement et, le cas échéant, du responsable conjoint du traitement, du sous-traitant, du représentant du responsable de traitement et du délégué à la protection des données ;
  • Pourquoi ? la finalité du traitement des données. Une formulation générale et un descriptif plus complet ;
  • Quoi ? la description des catégories de personnes concernées et des données traitées pour chacune des finalités identifiées;
  • Où ? Le but est de localiser les données, de préciser les destinataires, les transferts de données vers des pays tiers à l’Union et l’EEE ainsi que la documentation corrélée : ce qui implique une gestion dynamique du registre ;
  • Jusqu’à quand ? les informations concernant la durée de conservation des données ;
  • Comment ? Il s’agit d’une description générale des mesures de sécurité techniques et organisationnelles mises en place.

Une opportunité pour le Big Data 

Ce registre de traitement peut être vue comme une opportunité pour le Big Data ! En répondant aux questions ci-dessus, les entreprises pourront créer une traçabilité sur leurs données au sein des environnements Big Data et obtenir ce que l’on nomme un data lineage. Cet outil permettra de s’assurer que les entreprises respectent bien les principes de finalité et de minimisation de la GDPR.

De plus,  être bien organisé et maintenir une traçabilité de ses données est une excellente chose pour la productivité en générale, notamment les data scientists. Ils pourront plus facilement accéder :

  • Connaître la documentation sur l’origine et la création des données éventuellement utilisables dans un algorithme prédictif.
  • Se renseigner sur la provenance des données.
  • Maintenir des algorithms prédictifs.
  • Industrialiser des traitements et mettre en production des algorithms.

data lineage