Avec le RGPD qui entrera en vigueur le 25 mai 2018, toutes les entreprises collectant des données sur les citoyens des pays de l'UE auront l’obligation d’offrir un niveau « acceptable » de protection des données personnelles. Le manque de conformité n’est pas sans conséquence, puisque les amendes pourront atteindre jusqu'à 4 % du chiffre d’affaires global de l’entreprise.
Les entreprises ayant une activité commerciale en Europe ont mobilisé beaucoup de moyens pour mettre en place de nouveaux processus et de nouvelles plateformes afin d'améliorer la sécurité des données et faciliter la conformité au RGPD alors même que les environnements IT et multi-cloud existants connaissent une croissance exponentielle des volumes de données. Le premier aspect le plus évident de la conformité au RGPD est de bien comprendre où sont stockées les données et comment elles sont utilisées. Informatica, un fournisseur indépendant de solutions d’intégration de données, a publié à ce sujet un livre blanc qui répond à quatre questions que les entreprises devraient se poser :
- Où se trouvent les données potentiellement visées par la réglementation ?
- Comment utilisent-elles leurs données personnelles ?
- Comment gèrent-elles les données des « personnes concernées », les données « data subject » ?
- Comment peuvent-elles sécuriser et empêcher l'accès non autorisé à ces données ?
Une approche plus intelligente de la conformité RGPD
Les DSI avisés considèrent le RGPD comme une opportunité. En effet, selon eux, cette réglementation doit inciter les entreprises à adopter une approche plus automatisée et plus intelligente du stockage et de la protection des données. Notamment, l'intelligence artificielle (IA) peut permettre d’améliorer la visibilité et le contrôle des données dispersées géographiquement.
Les nouvelles approches de la gestion des données s’appuyant sur l’intelligence artificielle méritent une attention particulière, car le niveau de conformité exigé par la réglementation RGPD est élevé. Le règlement donne une définition très large des données personnelles, si bien que toutes les données, depuis l'information sur l'identité de l’utilisateur, les données Web, notamment les adresses IP et les cookies, jusqu’aux informations plus personnelles, comme les données biométriques, l'orientation sexuelle et même les opinions politiques, entrent sous le coup de la règlementation. Entre autres choses, le RGPD exige aussi l’effacement des données personnelles si elles sont jugées inutiles. Garantir la conformité d’un ensemble aussi vaste de données est d’autant plus difficile que celles-ci sont généralement éparpillées entre des datacenters sur site, le cloud et des systèmes partenaires.
La complexité du problème a fait du RGPD une priorité absolue de la protection des données. Une enquête réalisée par le cabinet PricewaterhouseCoopers (PwC) montre que 77 % des entreprises américaines prévoient de dépenser 1 million de dollars et plus pour satisfaire aux exigences du RGPD. Une autre enquête d'Ovum, une entreprise britannique spécialisée dans l'analyse stratégique concernant l'industrie des réseaux et des télécommunications, révèle que les deux tiers des entreprises américaines pensent devoir modifier leurs stratégies commerciales mondiales afin de prendre en compte les nouvelles lois sur la confidentialité des données, et plus de la moitié d’entre elles prévoient des pénalités pour non-respect de la législation européenne à venir.
Une solution s’appuyant sur des techniques d'apprentissage machine basées sur l'IA peut améliorer le suivi et le catalogage des données dans les déploiements hybrides et aider les entreprises à produire des rapports plus précis tout en stimulant les efforts globaux pour atteindre la conformité RGPD. En automatisant les processus de découverte et d'enregistrement adéquat de tous les types de données et des liens entre les données, les entreprises peuvent disposer d’une cartographie globale des données soumises à la conformité, y compris celles dissimulées dans des sources non traditionnelles, telles que les courriers électroniques, les médias sociaux et les transactions financières, une tâche quasiment impossible à réaliser avec des solutions traditionnelles et des procédés manuels.
Les défis auxquels doivent répondre les DSI sont déjà nombreux. Une approche plus intelligente de la découverte, de la préparation, de la gestion et de la gouvernance des données est possible : la mise en application imminente du RGPD ne doit pas alourdir davantage leur tâche.