Mettre son entreprise en conformité avec le règlement européen sur la protection des données personnelles signifie en priorité mieux gérer le cycle de la donnée, de sa création à sa suppression. Ca tombe bien : c’est précisément ce que permet le portefeuille de solutions ILM de SAP. Et ce, depuis des années déjà.
« Pour s’attaquer aux exigences clefs du RGPD, le Règlement Général sur la protection des données (GDPR en anglais), nul besoin d’un énième package logiciel au fort parfum de marketing. Le portefeuille ILM (Information Lifecycle Management) de SAP permet déjà de traiter la plupart des sujets. Citons en particulier le droit à l’oubli. Nos solutions fournissent l’unique moyen de supprimer de façon sécurisée des données dans la Business Suite et ses applications périphériques. Bien sûr, on pourrait imaginer effectuer ces opérations au niveau de la base de données. Mais cette méthode brutale ne permet pas de s’assurer que toutes les dépendances ont été gérées correctement. Par exemple, une facture est très souvent ‘contaminée’ avec des données personnelles que ne supprimerait pas une action au niveau de la base de données.
Avant la suppression de données proprement dite, nos solutions effectuent automatiquement une vérification de cohérence, afin de s’assurer que l’information disparaît bien de tous les systèmes. Nos offres ILM permettent aussi de créer automatiquement une archive, un environnement bloqué auquel les systèmes d’information n’ont plus accès, et de gérer les durées de conservation de l’information, imposées aux entreprises par d’autres textes législatifs. Si cette durée légale est par exemple de 7 ans, les données concernées seront automatiquement détruites à l’issue de cette période. Et la solution SAP générera alors un rapport de suppression.
Arbitrer entre le RGPD et d’autres textes
Le portefeuille ILM permet ainsi aux entreprises de mettre en pratique la notion d’accountability qu’introduit le texte européen. Rappelons que celle-ci revient à renverser la charge de la preuve. C’est désormais à l’entreprise de démontrer qu’elle est bien conforme avec le règlement, et non plus à l’autorité de contrôle, comme la CNIL en France, de déceler l’illégalité de tel ou tel traitement. Ce qui signifie que l’entreprise doit documenter ses processus, mais également les arbitrages qu’elle va devoir effectuer sur la conservation de telle ou telle donnée. Car arbitrages il y aura bien. Prenons le cas d’une personne qui, lors de son départ de l’entreprise, demande à son ex-employeur de supprimer ses données personnelles des systèmes d’information. Cette requête, pourtant conforme au RGPD, se heurte à d’autres règles de rétention des données, qui imposent aux entreprises de conserver certaines informations pendant 30 ans.
En fonction des cas, il faudra donc décider de la conduite à tenir et être en mesure de la justifier devant une autorité de contrôle, via une documentation complète. Ces décisions devront être fondées sur les risques associés à l’application de chaque réglementation. Par exemple, si un client ayant souscrit un prêt auprès d’une banque lui demande la suppression de ses données personnelles, alors que ces informations doivent par ailleurs être conservées 30 ans, d’évidence, l’établissement ne doit pas accéder à sa demande.
Identifier les données personnelles
En supervisant la rétention et la suppression de l’information, notre portefeuille ILM, qui existe depuis plus de 12 ans, assure donc aux entreprises le respect non seulement du règlement européen, mais également celui des règles de détention de l’information légale. Et ce non seulement pour les systèmes SAP, mais également pour les systèmes tiers. Sur ces derniers, nos solutions savent ainsi identifier les données personnelles, en fonction d’attributs, et peuvent envoyer à ces environnements des notifications par API. Il est par contre impossible d’y effacer directement des données, car cela signifierait que nous avons accès au code source de ces applications, ce qui est inenvisageable du fait des règles de la concurrence.
La capacité de nos solutions à superviser des systèmes tiers s’étend aux environnements non structurés, comme ceux créés avec les technologies SharePoint ou Hadoop. Notre offre Information Steward est à même de se connecter à une grande variété de systèmes, afin de répertorier où se situe tel ou tel type de données. Or cartographier les traitements faisant appel à des données personnelles fait partie des tous premiers exercices imposés du RGPD. Notre outil permet aussi d’associer des indicateurs de qualité aux données afin, par exemple, de démarrer un travail de déduplication.
Faire de la contrainte un projet métier
Car si la mise en conformité d’une entreprise aux principes du RGPD peut être vécue comme un projet imposé, certaines organisations saisissent l’occasion pour en faire un projet qui apporte de la valeur au métier. En l’abordant sous un angle différent. L’objectif est alors avant tout de nettoyer les différents entrepôts de données existant dans l’entreprise. Car, à chaque fois qu’on extrait la donnée d’un système transactionnel pour la déverser dans un datawarehouse, celle-ci devient ‘froide’. Et on prend le risque de créer des incohérences qui, en bout de chaîne, vont se traduire par des erreurs de livraison, parce que l’adresse du client a changé, ou par des échecs dans les prélèvements, parce que le compte bancaire enregistré n’est plus le bon. Se lancer dans un chantier de déduplication de ces informations permet de définir des données maîtres, de référence, qui devront être placées, au cas par cas, sous la responsabilité de la direction métier la plus adaptée. Il n’en reste pas moins que, pour se mettre en route, ce type de projet doit bénéficier d’un sponsor de premier plan, idéalement le directeur général ou le CDO (Chief Digital Officer).
Si les fonctions de notre portefeuille ILM sont évidemment accessibles à tous nos clients existants, elles seront aussi largement intégrées à la prochaine version de SAP S/4 HANA, notre dernière génération de suite applicative. De quoi donner aux entreprises les moyens de mettre en place le ‘privacy by design’, autre principe clef du règlement qui veut que tout nouveau produit ou solution intègre, dès ses phases de développement, les principes de protection des données personnelles. En complément, SAP a développé, sur la base de l’interface Fiori, un cockpit permettant à un DPO (Data Protection Officer) de piloter son activité. Connecté aux solutions appropriées de notre portefeuille ILM, cet outil fournit un environnement de travail pensé pour un responsable de la protection des données personnelles, un environnement capable de l’alerter, en temps réel, des violations des règles. »
