4 novembre 2022
R.G.P.D. – audit et régulation des données à caractère personnel
Cadre réglementaire
Le R.G.P.D. s’applique à toute entreprise qui collecte, stocke ou utilise des données personnelles de résidents de l’Union Européenne, que l’entreprise soit située dans ou en dehors de l’U.E.
Cela assure :
- Une protection des données à caractère personnel similaire entre les citoyens de l’U.E.
- Un cadre légal simplifié et allégé sur le traitement de données personnelles.
- Une responsabilité accrue de la part des entreprises.
Le R.G.P.D. impose aux organisations de maîtriser leurs données avec les principes suivants :
- Ne stocker que les données nécessaires à la fonction.
- Obtenir le consentement des utilisateurs.
- Permettre l’oubli.
Enfreindre les règles du R.G.P.D. peut conduire l’entreprise à payer une amende allant jusqu’à 4% de son chiffre d’affaires.
Comment simplifier la mise en place du R.G.P.D au sein des entreprises ?
Les systèmes utilisant l’I.A. sont, à juste titre, souvent la cible de contrôles. On le sait, un emploi à mauvais escient de l’I.A. peut entraîner des risques de discriminations, résultant d’une faille de conception dans l’algorithme, ou plus communément de l’utilisation de données d’apprentissage biaisées ou non représentatives. Afin d’éviter ces risques, les responsables de traitements doivent avoir conscience de ces enjeux (modèles basés sur des références passées), les partager largement en interne, et mettre en œuvre des garde-fous afin de garantir des modèles justes et équilibrés.
Les données les plus difficiles à contrôler sont celles qui sont non structurées (emails, textes, verbatims…), car elles sont disséminées dans tout le S.I.
Les outils d’I.A.M. (Intelligence Analysis Management) permettent d’identifier les données à caractère personnel et les données sensibles là où elles se trouvent, première étape d’une stratégie de régulation des données conforme à la gouvernance de l’entreprise.
Un exemple de l’I.A.M. : les données non structurées que l’analyse sémantique peut identifier
Certaines de ces données peuvent faire partie des fichiers de l’entreprise, d’autres n’ont légalement absolument pas le droit de s’y trouver. En fonction des possibilités d’accès interne et externe à ces bases, il peut être plus ou moins difficile de les contrôler ; il est donc important pour l’entreprise de vérifier régulièrement si toutes les données présentes sont autorisées ou non, sous peine de sanction.
Solutions pour les entreprises
La plateforme Bee4sense d’OPPSCIENCE, et plus particulièrement son module d’analyse sémantique, permet de rechercher, d’analyser et de structurer un grand nombre d’informations provenant de sources multiples pour les transformer en informations actionnables.
- Indexation et localisation des données.
- Identification des données via une analyse structurée permettant de ne garder que les données autorisées.
- Identification des données sensibles via une analyse sémantique.
De la sorte, l’entreprise peut prendre toutes les mesures qui s’imposent afin de faire disparaître les données personnelles stockées indûment et mettre en place une gouvernance pour éviter que des négligences similaires ne se reproduisent.
L’intelligence apportée par l’I.A.M. d’OPPSCIENCE aux sujets d’entreprise comme le R.G.P.D., permet d’améliorer la qualité des données utilisées afin de prendre les bonnes décisions.