Le MDM : l’outil indispensable à la mise en conformité pérenne au RGPD

Rares sont les organisations qui décident spontanément de passer à un Master Data Management. La raison tient au fait que cet outil est initialement restreint à une méthode d’amélioration de la qualité de la donnée. Toutes les entreprises veulent rationaliser le partage de leurs données mais la plupart attendent d’avoir le budget ou bien une bonne raison d’en dégager un.

Avec des sanctions à hauteur 20 millions ou 4 % du chiffre du chiffre d’affaire annuel consolidé, le RGPD créé miraculeusement le besoin d’obtenir un MDM, qui devient de facto un outil de la conformité.

Il est en effet indéniable que la bonne gestion des données de référence permet de répondre de façon pérenne, et à moindre coût aux obligations de la nouvelle réglementation.

Pourtant cet outil a des implications bien plus large que la seule conformité. Il tend vers une réflexion plus stratégique axée autour de la gouvernance des données.

Parce qu’il a une vision transversale de la donnée dans l’organisation, le DPO est naturellement amené à participer au déploiement du MDM.

1. MDM et RGPD, un mariage forcément gagnant

Le MDM est le processus consistant à créer un point unique de référence pour les données d’entreprise très largement partagées, comme les clients, produits, fournisseurs, employés, sites, organisations, etc.

En plus clair, le MDM est un outil, une application au-dessus de toutes les autres, qui s’adresse à des entreprises qui disposent d’importantes quantités de données qu’elles conservent et utilisent de façon disparate et fragmentée. Nous nous focaliserons dans cet article sur les données liées aux personnes à savoir les clients, les employés et les fournisseurs. En effet les données de profil client sont souvent saisies et gérées à partir de sources multiples et stockées sur plusieurs systèmes, ce qui augmente les risques de duplication, d’incohérence ou d’inexactitude, créant un risque de non-conformité avec le RGPD.

L’heure est à la convergence des parcours des consommateurs entre tous les différent canaux physiques et digitaux disponibles, avec des mises à jour de données en temps réel. L’atteinte de cette convergence nécessite une vraie maîtrise de la donnée, via la métadonnée, et donc d’un MDM. La démarche de MDM en garantissant l’unicité des données (une donnée référencée par plusieurs applications mais centralisée de façon à être la même pour tous) et la cohérence des données (une donnée est visible partout de la même façon, quelle que soit l’application qui l’utilise) va permettre une conformité au RGPD. Très concrètement, le MDM va permettre une connexion avec tous les outils applicatifs métier, notamment des systèmes ERP, CRM etc. Il permet de gérer, centraliser, organiser, catégoriser, localiser, synchroniser et enrichir les données de référence conformément aux règles métier des ventes, du marketing et des stratégies opérationnelles que l’entreprise aura prédéfinies. Entre de bonnes mains, le MDM peut également permettre de faciliter sa mise en conformité à la protection des données.

2. Le MDM comme outil de la conformité RGPD

Parce qu’il est une application où la donnée à caractère personnel est centralisée, nettoyée et référencée pour créer une représentation cohérente de la personne concernée par le traitement, le MDM va être un outil de la conformité RGPD.

Le MDM va permettre au DPO de :

• Poser certaines règles de la gouvernance des données au regard des finalités poursuivies par les parties prenantes aux traitements : le MDM sera pour lui l’occasion de passer en revue l’ensemble des traitements et d’enrichir le registre du responsable de traitement.
• Garantir que seules les parties prenantes autorisées manipulent la donnée: le DPO dans sa mission de contrôle peut aisément s’assurer que la réalité des traitements correspond à la réalité,
• Gérer les consentements : une fois récolté, il est possible de rattacher le consentement à la donnée de référence avec la finalité prévue, la durée de conservation et son éventuel renouvellement.
• Répondre aux demandes de droits des personnes concernées : il n’est plus nécessaire de chercher l’information dans toutes les bases et les applicatifs du responsable de traitement.
• Évaluer rapidement l’impact d’une violation de donnée : le DPO peut rapidement se faire une idée des risques associés à la destruction, la perte, l’altération ou la divulgation non autorisée. Il peut par exemple déterminer si la donnée concernée est sensible ou non.

3. Vers une réflexion plus globale sur la gouvernance de la donnée

Le MDM peut être un outil de la conformité mais ce serait sous-estimer l’impact qu’un tel outil peut avoir pour une organisation. Un usage bien plus stratégique peut lui être attribuée. Le RGPD est l’opportunité de lancer une réflexion sur l’exploitation de la donnée au sein de n’importe quelle organisation

Le déploiement d’un MDM n’est que le point de départ d’une réflexion stratégique sur l’exploitation, voire la valorisation de la donnée, au sein de n’importe quelle organisation. À l’instar de la réglementation Bâle à l’attention des banques et des assurances, le RGPD va permettre de généraliser cette réflexion à tous les secteurs d’activité. Mais le RGPD, aussi important soit-il, ne correspond qu’au volet conformité d’un sujet bien plus vaste : la gouvernance de la donnée. Cette dernière consiste à orchestrer des personnes, des processus et de la technologie pour permettre à une organisation de tirer parti au mieux des données en tant qu’actif de l’entreprise.

Formaliser les exigences du RGPD dans la gouvernance des données n’est qu’un galop d’essai, une étape préliminaire à la mise en place de cette gouvernance. Il est donc opportun que le MDM prenne en compte le RGPD dans son déploiement et que le DPO y soit associé. 

4. Le DPO doit être associé au déploiement du processus MDM

L’implication du DPO dans la mise en œuvre du MDM s’illustrera dans le choix des parties prenantes à la gouvernance de la donnée (data steward, data owner) et dans la délimitation de droits d’habilitation des utilisateurs. Le DPO sera également amené à participer à la définition de la donnée de référence susceptible d’entrer dans le champ d’application du RGPD. Enfin, il interviendra dans la définition des procédures et des règles de la gouvernance pour appliquer les grands principes de la protection que sont la licéité, la transparence des traitements, la limitation des finalités, la minimisation des données et le respect des durées de conservation.

Associé aux ateliers du MDM, le DPO va déterminer la portée que doit atteindre l’outil pour permettre la gestion des données à caractère personnel. Le DPO va ainsi poser les bases que sont les finalités du traitement (à quelle granularité ?), la durée de conservation (laquelle appliquer à chaque traitement ?), le partage avec des tiers (le prestataire s’est-il engagé aux mêmes obligations ?), les habilitations (qui peut créer, enregistrer, accéder, modifier, supprimer, diffuser la donnée au sein de l’entreprise ?)

Du fait de son implication dans la gouvernance de données, on remarque que le rôle du DPO est amené à fortement évoluer au sein des organisations. Ses missions restent les mêmes : informer, conseiller et contrôler les responsables de traitement opérationnels. Mais son domaine d’intervention le porte vers une vision plus stratégique de la donnée, touchant aussi bien à la qualité de la donnée qu’à la gestion des méta-données.

Plus d’informations dans cet article sur la loi informatique et liberté

-Florian Coulon