Il n’est donc pas surprenant de voir les entreprises internationales disposant de vastes réseaux de données mondiaux faire l’objet d’une attention croissante, notamment en ce qui concerne leur traitement et leur transfert entre différents marchés et différentes régions du monde. Pour s’adapter à l’évolution constante de ces normes, les gérer et s’y conformer, les flux de données à caractère personnel au sein de ces entreprises doivent être le plus transparent possible, et cela à tous les niveaux. Cette transparence implique donc qu’elles se dotent des bons outils, qui leur permettront alors de prouver leur conformité lorsque la CNIL frappera à leur porte.

Pris entre deux feux

Pour les entreprises, la question de la conformité des données est tout sauf récente, puisque la CNIL et sa première loi sur la protection des données sont apparues, en France, en 1978 – quatre années après le scandale provoqué par la découverte du projet SAFARI. Bien que la Directive Européenne de 1995 sur la protection des données soit restée en vigueur jusqu’à son récent remplacement par le RGPD, l’impact de ce règlement européen aura été sans commune mesure par rapport à ses prédécesseurs. Un effet domino sur la réglementation en la matière a pu être remarqué à l’échelle planétaire ; nombreux sont les pays à l’avoir transposé, sous une forme ou sous une autre, dans leur propre législation.

Cependant, chaque pays possédant sa propre culture et sa propre histoire, des exigences légèrement différentes en matière de données ont vu le jour, créant ainsi un véritable labyrinthe réglementaire complexe dans lequel les entreprises peinent à s’y retrouver. Alors que certaines autorités ont adopté une approche plus souple avec les entreprises déjà en lutte contre les répercussions de la COVID-19, d’autres n’ont pourtant pas fait ce choix. Cela est notamment le cas de la CNIL et des autorités de contrôle d’Espagne et d’Allemagne qui ont sanctionné les entreprises en infraction – non-conformes au RGPD - avec des amendes importantes.

Même aux États-Unis, pays qui s’est longtemps refusé à adopter une approche globale en matière de régulation des données, les acteurs du secteur industriel réclament de plus en plus la modernisation du cadre réglementaire et demande à ce que l’application du California Consumer Privacy Act (CCPA) soit adoptée dans d’autres États. Bientôt, les entreprises feront face, dans le domaine de la conformité, à de nouveaux obstacles (qu’elles ne connaissent déjà que trop bien).

Gardez vos données à portée de main

Les entreprises se doivent, à elles-mêmes et à leurs clients, d’adhérer et de respecter les exigences locales en matière de données. Mais comment peuvent-elles gérer la complexité associée à la multiplicité et à la mutation constante des cadres réglementaires ? Et comment peuvent-elles être suffisamment agiles pour se conformer rapidement aux règles imposées par les autorités locales ?

L’un des principaux obstacles à la conformité en matière de données est le manque de visibilité. Dans ce domaine, les entreprises internationales sont caractérisées par un amalgame d’environnements, de silos et de flux complexes. Dans un tel contexte, le maintien de normes et de politiques cohérentes représente un chantier pharaonique. Il est encore plus ardu d’assurer le suivi de données spécifiques et de retracer leur origine, leur cheminement et leur destination éventuelle. Toutefois, alors que le RGPD vient de fêter son troisième anniversaire, c’est ce que les autorités de régulation seront amenées à exiger de la part des entreprises.

Pour les entreprises, la première étape consiste donc à comprendre les données dont elles disposent. Une récente étude a révélé qu’en moyenne, seulement 15 % des données d’entreprise sont conformes, gérées et utilisables. Les 85 % restants sont soit des données ROT, c’est-à-dire des données redondantes, obsolètes ou triviales, qui auraient dû être supprimées, soit des « dark data ». Ces dernières représentent l’ensemble des informations qu’une entreprise conserve sans les avoir préalablement classifiées. L’équipe chargée de la maintenance des données ne sait alors ni à quoi elles correspondent, ni si elles ont une quelconque valeur. Souvent, elles se composent de fichiers qui auraient dû être supprimés, par exemple des informations qui ont atteint la fin de leur cycle de vie juridique, ou qui n’auraient jamais dû se trouver sur le réseau en premier lieu, comme par exemple des logiciels malveillants.

Agir

Pour atteindre ce niveau de compréhension de leur environnement, les entreprises doivent adopter une approche globale et holistique de l’analyse des données, dans laquelle un outil unique serait capable d’analyser les fichiers pour en évaluer la valeur, les localiser et gérer leur transfert. Faute de tels outils, le processus de réponse aux autorités de contrôle, ou même de réponse à une simple demande d’accès d’un consommateur à ses données personnelles, est tout simplement trop laborieux, trop coûteux et trop sujet à l’erreur.

Ces outils peuvent également être utilisés pour automatiser les processus qui garantissent la conformité aux législations en vigueur. Cela peut par exemple prendre la forme de la mise en place de politiques de gestion du cycle de vie des données afin de s’assurer que les données à caractère personnel ne sont pas conservées plus longtemps que la loi ne l’autorise, ou la limitation de l’emplacement physique des données pour s’assurer qu’elles restent à des emplacements garantissant le respect des obligations légales.

Toutefois, les entreprises doivent également s’assurer que ces outils sont suffisamment flexibles pour s’adapter à ces législations en constante mutation. Le déploiement rapide de nouvelles pratiques pour répondre à l’évolution d’une politique est une nécessité, cependant maintenir la transparence des différents flux de données est un véritable défi. Les entreprises doivent donc se tourner vers des solutions capables de collecter et gérer les nombreuses informations requises, ainsi que de contribuer à l’application effective de nombreuses règles et politiques.

Les lois sur la protection des données étant devenues une réalité incontournable dans l’économie mondialisée qui est la nôtre, les entreprises doivent accepter que leur réussite dépende de leur volonté et de leur capacité à gérer les données à la fois comme une opportunité et comme un enjeu de conformité. Contrôler les données hétérogènes et complexes qui sont créées, déplacées, stockées et supprimées au sein d’une entreprise multinationale tout en s’assurant que la loi est respectée est un exercice délicat mais vital. Tant de choses dépendent de la qualité et de la sécurité des données qu’il n’est plus possible qu’une partie de l’entreprise ne sache pas de quelle manière l’autre partie les utilise. Heureusement, grâce aux technologies modernes et aux récentes plates-formes de données, il est possible d’effectuer un suivi en temps réel des flux de données au sein d’une entreprise et de disposer des outils nécessaires à leur contrôle.

Et ce contrôle n’est plus facultatif. Une chose est certaine : le cadre réglementaire applicable aux données - surtout les données à caractère personnel - ne va faire que se renforcer, s’étendre et devenir plus coûteux en cas d’infraction. Ce défi, comme tous les défis qui ont un effet boule de neige, requiert une action immédiate de la part des entreprises, faute de quoi il risque de tout emporter sur son passage.