Pour le Big Data, des questions restent ouvertes. Les entreprises doivent résoudre l’équation entre le respect de la réglementation et le fait de tirer de la valeur du traitement des données.
Yao Kouakou
C’est l’un des sujets du moment et le compte à rebours est « en marche » pour mai 2018. Le nouveau réglement général sur la protection des données ( RGPD) mobilise tout le monde.
Au-delà de la « deadline » qui se rapproche, l’engouement est aussi justifié par les amendes. Elles sont sans précédents allant de 4% du chiffre d’affaires global mondial de l’année précédente à 20 millions d’euros.
Quels sont les principes clés du RGPD ? Pourquoi les opérateurs sont ils particulièrement concernés ? Quel impact a t-il sur le Big Data?
Les 7 principes clés pour comprendre le RGPD
Le RGPD est constitué de 99 articles et 7 principes. Les données à caractère personnel doivent être :
- traitées de manière licite, loyale et transparente au regard de la personne concernée.
- collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités.
- adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.
- exactes et, si nécessaire, tenues à jour; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder ;
- conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées.
- traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées.
- Le responsable du traitement des données est tenu de faire respecter la réglementation et doit en mesure de démontrer que celle-ci est respectée.
Pour être conforme à cette règlementation, la CNIL préconise une démarche respectant les étapes suivantes :
- désigner un pilote pour la gouvernance des données personnelles,
- cartographier les traitements de données personnelles,
- prioriser les actions au regard des risques que font peser les traitements sur les droits,
- gérer les risques,
- organiser les processus internes et documenter la conformité pour pouvoir la prouver.
Les opérateurs mobiles très concernés par la nouvelle réglementation
La protection des données personnelles reste une préoccupation importante pour les citoyens européens .
Selon une enquête publiée par la commission de l’union européenne en Juin 2015, 63% des clients n’ont pas confiance dans les entreprises en ligne quant à la protection de leurs données personnelles. Les opérateurs mobiles et Fournisseurs d’Accès Internet viennent en seconde position (62%).
Les opérateurs doivent donc profiter de la réglementation pour redorer leur blason et regagner la confiance des clients.
Les projets Big data face aux exigences du RGPD
Dans le domaine des télécoms, plusieurs projets Big Data utilisant les données personnelles des clients et salariés sont déjà lancés. Ils visent principalement à améliorer la connaissance clients ainsi que la personnalisation des offres, la prévention de la fraude et du churn ( changement d’opérateur).
Le RGPD ne fait pas de focus particulier sur le Big Data qui implique la collecte de gros volume de données. Toutefois, certains principes du Big Data peuvent soulever des interrogations.
Voyons quelques-unes d’entre elles ( Big Data vs RGPD ):
L’exploration des données vs la limitation des finalités
Dans l’adoption du Big data, deux approches coexistent . D’une part l’analyse de données pour répondre à un besoin précis. Et d’autre part, l’exploration qui consiste à collecter des données sans objectif précis (au moins, avant que le but ne soit trouvé ou défini). Avec le principe de limitation des finalités du RGPD, l’exploration des données sera-t-elle toujours possible ? si oui avec quelle précaution ?
Le concept de data lake vs la minimisation des données
Pour faciliter l’accès au gros volume de données, le Big data crée des data lake. Ce sont d’énormes dépôts de données provenant de différentes sources et stockées en l’état. Le data lake ne filtre pas les données et de ce fait ne se limite pas à ce qui est nécessaire. Cela semble aller à l’encontre du principe de minimisation des données.
Le machine Learning vs la limitation de la conservation
Les algorithmes d’apprentissage sont plus performants avec plus des données. Quelle limite de conservation des données faut-il fixer pour ne pas être en infraction ?
Les croisements complexes des données vs la responsabilité du Data Protection Officer (DPO)
Les analyses Big Data impliquent des croisements de sources de données multiples. Cela rend difficile la traçabilité et le suivi des flux de données . Le DPO, personne clé dans le cadre du RGPD sera-t-il en mesure de démontrer que la réglementation est respectée ? Dans tous les cas, il est crucial que ce dernier soit en mesure de comprendre les flux, le schéma et la structure des données personnelles de l’entreprise.
Dans cette course contre la montre pour être conforme au RGPD, les entreprises jouent gros.
Certaines comme j’ai pu le constater depuis ce mois d’octobre mettent à jour leur demande de consentement sur leur site web . D’autres mobilisent des équipes pluridisciplinaires comprenant le management, les métiers, les juristes et l’IT pour arriver.
Pour le Big Data, des questions restent ouvertes. Les entreprises doivent résoudre l’équation entre le respect de la réglementation et le fait de tirer de la valeur du traitement des données.