Pour SAP, la plupart des besoins que fait naître la mise en conformité des systèmes d’information au RGPD sont déjà couverts par ses solutions. Surtout, le chantier peut être une occasion rêvée pour enfin mettre en place une vision à 360° des clients à l’échelle de l’entreprise.
« Le Règlement Général pour la Protection des Données (RGPD ou GDPR en anglais) est certes une réglementation complexe, aux répercussions multiples. Mais ce n’est ni la première, ni la dernière à laquelle sont et seront confrontées les entreprises. Et les gammes de solutions SAP couvrent déjà tous les aspects relatifs à la gouvernance de l’information qu’impose le Règlement, en particulier le suivi des processus, ainsi que les obligations opérationnelles qui découlent de l’application du texte.
C’est notamment le cas avec l’un des tous premiers exercices imposés par le RGPD : la création d’un registre des traitements qui va renfermer la description de tous les processus de l’entreprise impliquant des données personnelles – dans les systèmes SAP ou en dehors -, leur finalité et les règles de gouvernance associées, tant pour les donneurs d’ordre que pour leurs sous-traitants. Nos solutions GRC (Gouvernance, Risque & Conformité) permettent déjà de décrire ces processus et de vérifier la réalité de leur bonne application sur le terrain. De même, ces solutions offrent déjà toutes les fonctions pour réaliser des études d’impact sur la vie privée (ou PIA pour Privacy Impact Assessment), autre exercice imposé du règlement.
Supprimer des données : pas si simple
En complément, le portefeuille de solutions de gestion de l’information SAP permet de cartographier les données personnelles et de superviser l’ensemble de leur cycle de vie. Le RGPD remet en effet en lumière le besoin de gérer la suppression des données et impose le droit à l’oubli à toutes les entreprises. Ce sont des demandes auxquelles les entreprises vont devoir apprendre à répondre – sans même parler des incohérences entre le droit à l’oubli et les règles de rétention légale de certains documents -, alors qu’elles avaient, depuis quelques années, plutôt l’habitude de conserver toutes les données qu’elles recueillaient du fait du faible coût du stockage.
Signalons d’ailleurs que cette question de la suppression des données laisse peu de choix aux entreprises. Pour s’assurer que cette opération est bien réalisée dans les règles, il faut obligatoirement passer par la couche applicative. Pour supprimer les données dans les systèmes SAP, avec toutes les spécificités que cela suppose, seules les solutions que nous proposons, conçues pour nos ERP avec une parfaite maîtrise de notre modèle de données, fournissent réellement toutes les garanties d’efficacité et d’innocuité sur le fonctionnement global des systèmes. Certains concurrents assurent que cette gestion du cycle de vie de l’information peut s’effectuer au niveau de la base de données, mais cette option comporte des risques de dysfonctionnement des systèmes.
Ni offre « GDPR compliant », ni offre gadget
La suppression des données qu’impose le Règlement pose d’ailleurs quelques problèmes techniques en dehors de nos systèmes. Si nos outils de gestion de l’information s’étendent par exemple aux datalake Hadoop, et permettent d’y cartographier les données personnelles, la suppression d’une information y demeure pour l’heure impossible. Car, pour l’instant, les environnements Hadoop ne gèrent tout simplement pas cette fonction. Une des voies que nous proposons pour contourner cette limitation est d’anonymiser, avec nos solutions, les données personnelles avant leur injection dans le datalake.
Le Règlement européen contraint également les organisations à mettre en place une ‘sécurité par défaut’ sur les systèmes manipulant des données personnelles. Cette règle peut en réalité être implémentée via les nouvelles politiques de sécurité que nous proposons au sein de nos solutions. Plutôt que de se baser sur des rôles correspondant à des profils d’utilisateur, ces contrôles (baptisés ABAC pour Attribute-Based Access Control) descendent au niveau de la donnée elle-même et permettent de déterminer, en temps réel, si un utilisateur a accès ou pas à telle ou telle information. Cette solution permet ainsi de masquer des champs, d’occulter des données, de les chiffrer, de minimiser l’information accessible, etc. Et ce, y compris sur des documents bureautiques et sur des données en mouvement comme des pièces jointes. Mettre en place ces contrôles dynamiques, c’est une façon de montrer au régulateur que le système d’information protège, par construction, les données personnelles des clients ou salariés.
Comme le montrent ces différents cas, SAP propose déjà aux entreprises tous les outils pour se mettre en conformité avec le RGPD. Attention, on ne parle pas ici de solutions ‘GDPR compliant’, car ce sont bien les processus des entreprises qui doivent se mettre en conformité avec la réglementation, et non les outils que nous leur fournissons. Plutôt que de packager une offre un peu gadget étiquetée RGPD, SAP a choisi de réutiliser ses solutions existantes dans le cadre du futur règlement.
Transformer la contrainte en opportunité
Si la mise en place des différentes exigences du Règlement est souvent vécue comme une contrainte par les organisations, elle peut aussi être exploitée pour optimiser la vision client et pour parvenir, enfin, à une vraie vision 360° des clients, un Graal qu’est encore loin de toucher la grande majorité des entreprises. Le RGPD constitue l’occasion idéale de réaliser un audit complet du système d’information avec pour objectif de l’optimiser, grâce à une vision plus claire sur les données que l’organisation détient sur ses clients et, en termes techniques, grâce à une refonte de l’exécution des processus.
Ainsi, la mise en conformité du RGPD peut servir de levier pour éliminer les doublons et les incohérences dans les bases de données, pour gérer de façon centralisée des données maîtres, ce qui facilitera ensuite les modifications et suppressions sur l’ensemble des systèmes. Mais ce couplage de projets métier au chantier de la mise en conformité n’est pas envisageable si on commence par se contenter d’un audit approximatif des processus, basé sur des interviews avec les responsables métier et sur un simple fichier Excel ! »
