Une des conséquences de la mise en conformité RGPD, le « casse-tête » de la purge des données personnelles.
La plupart des entreprises qui se confrontent à cette problématique ne savent pas forcément par quelle étape commencer.
Humblement, nous recommandons de débuter par un scenario manuel. Quelles sont les applications concernées (internes et partenaires) ? Quelle est l’application Maitre… ? Celle qui définira la clé d’identification commune à toutes les applications.
Puis, il s’agit de réunir les acteurs de chaque application et définir les objectifs, le mode opératoire, le planning, les résultats attendus, une gestion de projet précise et documentée.
Chaque application devra ensuite effectuer sa purge et rendre compte en apportant des preuves. Chaque contexte IT d’entreprise va nécessiter un ordonnancement particulier. L’objectif est d’éviter des situations d’incohérence entre applications lorsque celles-ci sont modifiées tout en continuant à fonctionner en temps réel. La phase récurrente devra traiter ce point fondamental.
De plus, la purge des données personnelles impacte des données dérivées qu’ils ne faut pas oublier sur le chemin (transactions, log, critères permettant de faire le lien avec des personnes identifiables en base de données…).
La purge récurrente implique aussi un travail précis qui nécessite plusieurs points de contrôle et qui passe par l’écriture de spécifications détaillées.
Enfin, une attention toute particulière doit être apportée au process d’ordonnancement et de supervision en s’appuyant sur les bons outils.
Au-delà d’être obligatoire dans le contexte réglementaire du RGPD, ce process de purge génère une charge de travail manuelle et répétitive qui peut être source d’erreur et sans valeur ajoutée d’où la nécessité de mettre en place un process automatisé (ordonnancé et surveillé).