Data Science et RGPD sont-ils incompatibles ?
Certains data scientists et data analysts se brident sur le traitement de la donnée par peur d'enfreindre le RGPD.
Aussi, les entreprises doivent repenser leur organisation et déployer les solutions et techniques ad hoc pour leur permettre d'utiliser la donnée à caractère personnel dans le respect du cadre législatif.
Un an après la mise en application de la RGPD, comment les entreprises gèrent-elles les données à caractère personnel?? Ce nouveau cadre réglementaire est-il source de ralentissement du traitement de la donnée??
Selon certains témoignages, des équipes de data scientists et data analysts éprouvent aujourd'hui bien des difficultés à naviguer dans ce nouveau cadre législatif, au point de voir une incompatibilité entre RGPD et traitement de la donnée.
Pourtant, en vertu du RGPD, les personnes autorisées peuvent toujours traiter des données à caractère personnel dès lors qu'elles respectent les conditions du règlement notamment obtenir le consentement de la personne à collecter ses données à caractère personnel et restreindre et contrôler leur accès aux équipes autorisées selon les sujets et les finalités.
Pour satisfaire le RGPD et autoriser l'utilisation des données personnels dans les projets de data science, il est tout d'abord possible d'anonymiser les données pour permettre aux data scientists, data analysts et métiers de les utiliser dans le cadre de leurs traitements divers.
En effet, des données anonymisées sortent du périmètre du RGPD. Aujourd'hui plusieurs techniques d'anonymisation existent. Citons le hachage dont le principe consiste à modifier, via un algorithme, les données d'entrées pour leur attribuer une empreinte numérique.
Autre technique?: l'agrégation. Dans ce cas il s'agit de remplacer des données à caractère personnel par des valeurs médianes ou par la suppression de certaines valeurs de données à caractère personnel. Enfin, issue de la cryptographie, la confidentialité différentielle est une technique basée sur l'introduction de bruit au sein des data, permettant ainsi de poser des questions à des données sans révéler les caractéristiques d'identification spécifiques.
En plus d'une perte inévitable d'information, l'anonymisation n'est pas une technique sûre à 100%.
Ainsi Netflix en a fait les frais dans le cadre de son concours de 2006 proposant de prédire les notes que les utilisateurs avaient attribuées à certains films. En effet des chercheurs de l'Université du Texas ont réussi à re-identifier des utilisateurs alors que l'entreprise avait publié 100 millions de notes « anonymisées » en croisant les informations avec des données publiques
Quand l'anonymisation n'est pas utilisée, il faut alors utiliser la technique de pseudonymisation des données pour réduire les risques.
Mentionnée dans le RGPD la pseudonymisation est définit comme suit dans le règlement : traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que celles-ci soient conservées séparément et soumises à des mesures techniques et organisationnelles permettant de garantir que ces données à caractère personnel ne soient attribuées à une personne physique identifiée ou identifiable.
En d'autres termes si les données pseudonymisées sont des données à caractère personnel (non anonymisées), elles doivent être réservées à des projets spécifiques et répondre à une politique de conservation des données claire. Des conditions simples à respecter mais qui s'avèrent complexes pour les entreprises qui n'ont pas déployer des processus et des outils capables de centraliser et de gérer les autorisations des droits d'accès.
Aussi pour permettre aux data scientists et data analysts de travailler sereinement et efficacement la donnée, les entreprises doivent repenser l'organisation et mettre en oeuvre les solutions ad hoc. Ainsi, elles doivent centraliser les data dans un outil afin de favoriser une gouvernance simple des données et des projets et différencier cellesà caractère personnel. Elles doivent également développer des processus simples de travail et former les collaborateurs à l'utilisation et la documentation des données personnelles. Enfin, elles doivent assurer la traçabilité des transformations et algorithmes appliqués aux données à caractère personnel pour faciliter l'audit.
Sans cette transformation, les entreprises risquent fort d'être non conformes au RGPD ou de se brider dans l'exploitation de la donnée. Dans les deux cas, l'entreprise est perdante.
crédit photo © shutterstock
Sur le même thème
Voir tous les articles Business