banner_tod_all2.png

Compliance et risques

Audit, Gestion des Risques, Litiges, RGPD

Cartographie des données personnelles

Notre client devait se mettre en conformité avec le Règlement Général sur la Protection des Données (RGPD). Pour cela, la totalité des données à caractère personnel qu’il conserve devait être associée à un traitement justifiable aux yeux de la CNIL.

Pour atteindre cet objectif, notre client devait pouvoir répondre à ces 4 questions :

  1. Qui au sein de l'entreprise conserve des données personnelles ?

  2. De quels types de données personnelles s'agit-il ?

  3. Où sont stockées ces données personnelles ? Bases de données mais aussi Shadow IT (fichiers Excel disséminés sur le réseau interne notamment)

  4. A quelle fin ces données sont-elles conservées ?

Solution proposée

Notre technologie « Mass Data Discovery », nous a permis de scanner automatiquement :

  • La totalité des bases de données relationnelles

  • Les disques réseaux partagés : tous les répertoires, et leurs sous-répertoires, ont été parcourus à la recherche de fichiers Excel, CSV, XML ou JSON

  • Le CRM et les systèmes de gestion de contenus (e.g. Sharepoint)

Chaque ligne de chaque table a été analysée à la recherche de nom, prénom, adresses, e-mails, numéros de téléphone, IBAN, …

La cartographie applicative fournie par la DSI de notre client nous a permis d’établir le lien entre les données personnelles trouvées et les traitements qui leur sont associés.

Gains obtenus

Le scan des données (= approche « Bottom – Up ») a permis d’effectuer une analyse exhaustive, par opposition aux interviews qui reposent, elles, sur la mémoire des personnes interrogées et sur une documentation rarement à jour.

La cartographie a fortement crédibilisé le registre des traitements et a permis au DPO (Data Protection Officer) de mieux organiser ses chantiers d’effacement (ou d’anonymisation) et, par voie de conséquence, de minimiser fortement les risques de non-conformité.

L’automatisation de l’ensemble du processus a donné à notre client la possibilité de lancer des scans réguliers, afin de prévenir dans la durée toute accumulation de données personnelles non légitimes.

D'autres scénarios sont possibles, n'hésitez pas à nous contacter pour discuter de vos cas métiers.