Cartographie des données à caractère personnel en entreprise : quid des bonnes pratiques

La Cartographie des données à caractère personnel est un sujet clé. Le point sur cette activité, ses enjeux, ses difficultés, et sur quelques unes des meilleures pratiques qui ont pu être observées sur le terrain.

Enjeux de la cartographie des DCP

Pour être en mesure d’appliquer les obligations règlementaires s’appliquant aux DCP, les entreprises doivent tout d’abord identifier et localiser ces données dans leurs systèmes d’information (SI). En effet, comment protéger ces données et s’assurer du respect du cadre règlementaire qui leur est applicable sans les avoir identifiées et localisées dans le SI ?

Cette activité qui pourrait paraître triviale de prime abord se révèle dans la pratique une tâche très ardue. De plus, certaines caractéristiques des systèmes d’information actuels des entreprises en France tendent à rendre cette tâche de plus en plus difficile. Une approche et une méthodologie rigoureuses sont impératives pour atteindre un niveau d’efficacité pertinent.

Cartographier des données ou des traitements

La question se pose naturellement et la réponse qui s’impose tout aussi naturellement est : « les deux bien sûr »… En effet, les textes règlementaires visent à protéger les données mais régulent également les traitements dont elles font l’objet. Il est donc tout aussi important d’identifier et localiser les données que les traitements. De plus, ces deux sous activités s’alimentent mutuellement. Ainsi, à travers l’identification des données, il est souvent possible d’identifier des traitements associés ; la réciproque étant également vraie. En remontant la piste des traitements il est possible de découvrir des données (collectées et stockées) qui auraient pu échapper au recensement autrement.

Les principaux facteurs qui influent sur la difficulté à cartographier les DCP sont les suivants :
- La taille et la complexité des SI
- La validation du caractère personnel des données ou traitements
- Les évolutions permanentes des SI (au niveau technique / au niveau métier) 
- Externalisation progressive et multiforme des SI

Ces facteurs sont présentés dans les paragraphes suivants.  

Taille et complexité des SI

Les systèmes d’information reflètent la richesse fonctionnelle et la complexité des processus mis en œuvre au sein des entreprises. Ils sont également de plus en plus ouverts permettant des interactions de plus en plus nombreuses avec un nombre de plus en plus important d’acteurs. Ainsi, les systèmes d’information jadis réservés aux usages internes se sont ouverts aux clients, aux fournisseurs, partenaires divers et même jusqu’à la masse des internautes.

La complexité fonctionnelle vient du croisement entre le nombre de cibles et le nombre de processus. La complexité technique est quant à elle fortement liée au nombre de canaux d’interaction pouvant exister avec les cibles. A mesure que la taille et la complexité du SI augmentent, il devient difficile d’identifier les acteurs disposant de la connaissance suffisante pour avoir une vision exhaustive. La tâche de cartographie peut devenir alors fastidieuse puisqu’il s’agira de croiser différentes sources d’information et de balayer un nombre important de processus / systèmes / applications.

Détermination du caractère personnel des données ou traitements

La définition retenue par le législateur pour qualifier les Données à Caractère Personnel, bien que très juste, impose à l’auteur de la cartographie de s’interroger sur la capacité au sein de l’entreprise d’identifier la personne physique à partir des données et des traitements. Pour exercer avec rigueur cette activité, il est impératif de pouvoir disposer d’une vision complète des traitements existant au sein de l’entreprise et de pouvoir imaginer les détournements éventuels de finalité qui pourraient émerger. Ainsi, la détermination du Caractère Personnel de certaines données peut se révéler un sujet de débat difficile à trancher une fois sorti des cas triviaux où les données nominatives sont présentes.

Evolutivité des SI (au niveau technique / au niveau métier)

Les systèmes d’information évoluent de manière permanente à la fois pour répondre aux évolutions fonctionnelles et pour répondre aux évolutions techniques qui portent autant de nouvelles opportunités que de nouveaux risques. Ainsi, de nouveaux besoins métiers font émerger de nouveaux traitements, de nouvelles capacités techniques rendent possibles des traitements nouveaux avec des finalités différentes de celles des traitements existants.

Les technologies dites « Big Data » promettent la capacité de manipuler des volumes de données sans limite pour en extraire de la valeur pour les entreprises. Il devient alors difficile d’imaginer de manière exhaustive a priori tous les traitements qui pourront être possibles sur une donnée. Le suivi de l’évolution des traitements peut donc être délicat dans un environnement fonctionnel changeant et qui plus est dans un environnement technique favorisant ces changements rapides.

Les technologies de virtualisation permettent aujourd’hui une plus grande souplesse des SI en ajoutant des possibilités d’abstraction. Ainsi, la localisation physique des données et des traitements est complexifiée par la possibilité de relocaliser facilement les ressources logiques. De même, l’utilisation de la virtualisation rend plus difficile la réalisation des opérations de cartographie des DCP.

Externalisation progressive et multiforme des SI

Le recours à des prestataires de services est également un facteur de complexification des opérations de cartographie des DCP car cela impose de prendre en charge, l’identification des partenaires, les échanges de DCP avec ces partenaires, les éventuels traitements placés sous leur responsabilité ainsi que les considérations contractuelles régissant la relation.

Il est souvent difficile en entreprise d’identifier tous les prestataires (notamment Cloud) à qui des données sont transmises ou confiées. De plus, les dispositions contractuelles où les solutions mises en œuvre par les prestataires rendent parfois complexes les opérations de cartographie dans le périmètre du fournisseur.

Méthodologies et bonnes pratiques de cartographie

Les méthodologies qui sont mises en œuvre sur le terrain pour cartographier les DCP combinent les visions fonctionnelles et techniques. Elles ne s’attachent pas uniquement aux données stockées mais aussi aux flux et aux traitements

Partir de l’individu et revenir à l’individu

Les principales étapes associées à cette approche sont les suivantes :

- Il convient tout d’abord d’identifier les typologies de personnes physiques qui sont en interaction avec l’entreprise. Il peut s’agir des employés, des candidats, des clients, des prospects, des fournisseurs…
- Pour chacune de ces catégories il est alors nécessaire d’identifier les données recueillies / captées par l’entreprise
- Il faut alors identifier les flux transportant ces données depuis leur point de capture jusqu’à leurs points de traitement
- Ensuite, il s’agit d’identifier les traitements associés ou appliqués à ces données
- Enfin, il convient de caractériser la possibilité de revenir aux individus (ou d’identifier les individus à partir des données / traitements identifiés).

Si ces données et les traitements présents dans l’entreprise peuvent permettre d’identifier directement ou indirectement les personnes physiques dont les données sont traitées, il sera alors confirmé que les données et traitements identifiés sont bien à « Caractère Personnel ».
 

Partir des processus et revenir aux processus en croisant la piste technique

La caractéristique principale de cette approche est qu’elle repose sur une vue fonctionnelle des traitements de données. En effet, il s’agit ici dans un premier temps d’identifier l’ensemble des processus de l’entreprise interagissant avec les populations cibles ou s’adressant à ces populations.

Dans un second temps, il sera possible d’identifier les éléments de systèmes d’information sur lesquels reposent ces processus. C’est au cours de cette seconde étape que les flux de données seront identifiés.

Il s’agira ensuite d’identifier les autres traitements s’appuyant éventuellement sur les mêmes ressources techniques afin de déterminer si les données identifiées doivent être qualifiées de DCP.

Bonnes pratiques de cartographie des DCP

Au-delà de sa création, une Cartographie des DCP doit vivre. Elle se doit d’être au cœur des processus relatifs aux DCP dans l’entreprise. Elle doit ainsi être mise à jour pour refléter les évolutions fonctionnelles et techniques du SI. Les bonnes pratiques identifiées ci-dessous portent à la fois sur la phase de création de la Cartographie et sur les phases de maintenance.

 

Construction

 Intégrer la cartographie des DCP dans la classification des assets

Il peut être intéressant de profiter de la construction d’une classification des assets pour tenter d’identifier les actifs informationnels qui sont des DCP. L’intégration de ces deux activités peut être bénéfique et permettre de mutualiser des efforts.

   Construire un dictionnaire des données

Le dictionnaire des données ou référentiel doit être l’un des formats de sortie de l’activité de Cartographie des DCP. Il s’agit d’un document (généralement un tableau) qui identifie au minimum pour chaque donnée, les populations sur lesquelles elle porte, les différents lieux de stockage et de traitement, les traitements concernés et les finalités associées.

Construire une vue graphique

Un autre format de sortie recommandé est la vue graphique mettant en relation les composants du SI, les lieux de stockage ou de traitement des DCP et les flux de DCP. En particulier, les flux de DCP traversant les limites de l’entreprise ou les frontières du pays devront être identifiés. Des vues graphiques sont à construire à la fois au niveau fonctionnel et au niveau technique. De plus, dès lors que des technologies de virtualisation sont utilisées, il convient de prévoir une représentation logique et une représentation physique.

Construire un référentiel des finalités et des traitements

Le référentiel des finalités et des traitements est un outil essentiel car il permet d’alimenter le suivi des formalités (ou les outils du CIL). Ce référentiel permettra à l’avenir également d’identifier plus facilement les nouveautés ou évolutions fonctionnelles susceptibles d’entrainer des formalités complémentaires.

Etre attentif aux données reçues ou échangées avec des partenaires

Il est crucial de ne pas négliger la prise en compte des prestataires de services et des éléments de SI hébergés ou sous traités. Ainsi, il est nécessaire de croiser la liste des prestataires/fournisseurs de services de l’entreprise avec les flux et traitements de données à caractère personnel. Il s’agira de s’assurer d’avoir identifié :

o   Les DCP reçues de la part des partenaires

o   Les DCP transmises à des partenaires

o   Les DCP auxquelles des partenaires ont accès dans le cadre des services fournis à l’entreprise

  Faire la chasse aux gisements sauvages

Au-delà des processus et applications officielles, connues et en production, il existe souvent également des traitements annexes, mis en place discrètement ou qui ne sont plus utilisés mais dans lesquelles des DCP peuvent encore être présentes. Il est nécessaire de les rechercher également dans phase de construction de la cartographie. Il peut être nécessaire d’utiliser pour cela les outils de DLP[1] ou de recherche par expression régulière. Ces outils sont très utiles dans le cas des données formatées ou structurées dont la conservation ou la manipulation est fortement contrainte (numéro de Sécurité Sociale, numéro de carte bancaire, etc.)

Maintenance

Maintenir à jour et faire évoluer la cartographie des DCP est un objectif important. Cet objectif doit être atteint en mettant en œuvre un processus adéquat.

Coupler au cycle de vie des projets

L’un des facilitateurs est d’alimenter la mise à jour de la cartographie en s’appuyant sur des processus établis et systématiques pour les projets qui modifient le SI. Ainsi par exemple, dans de nombreuses entreprises, il sera profitable d’intégrer des questions relatives aux DCP dans les étapes amont du cycle de vie des projets informatiques (analyse de risques, expression des besoins, etc.).

Coupler aux activités périodiques SSI et Continuité

Il peut être aussi intéressant de coupler la maintenance de la cartographie des DCP à des activités périodiques comme :

o   Revue annuelle de la classification des actifs

o   Revue annuelle de l’analyse de risque globale

o   Revue du BIA[2]

  Conclusions

L’activité de cartographie doit alimenter bon nombre de processus s’appliquant aux DCP. Une fois la cartographie réalisée, il est possible de lister les systèmes et les applications qui devront faire l’objet de mesures de protection au titre de l’obligation de sécurité. De même, une cartographie bien réalisée va permettre de faciliter la mise en œuvre des opérations relatives aux droits des personnes (droit de rectification et droit à l’oubli par exemple). Il sera possible d’identifier et localiser dans le SI toutes les instances de stockage des informations.

La cartographie des DCP est l’un des produits sans cesse mis à jour d’un processus continu de suivi des DCP dans l’entreprise. Elle doit également être vue comme un outil permettant d’assurer la conformité aux règlementations applicables et la sécurité des DCP.