annuler
Affichage des résultats de 
Afficher  uniquement  | Rechercher plutôt 
Vouliez-vous dire : 
mimperiali
MEGA
MEGA

Un an après la date d’application de GDPR, les premières entreprises commencent à être sanctionnées. La période de « laisser-aller » que s’était laissée certaines entreprises pour se conformer à cette règlementation sur la sécurité des données personnelles semble bien toucher à sa fin. Par exemple, en France, Google a écopé d’une sanction financière de 50 millions d’euros, infligée par la CNIL pour manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité. UBER a aussi reçu une sanction de 400 k€ pour atteinte à la sécurité des données des utilisateurs.

Si cette réglementation représente un enjeu de taille, la DSI et les architectes ont aussi un rôle à jouer auprès des DPO (Data Protection Officer) dans la mise en conformité au RGPD de leurs entreprises. En effet, le SI (Système d’Information) étant au cœur de la gestion des données, les entreprises qui ont déjà mis en place une démarche d’architecture d’entreprise bénéficient d’un réel accélérateur de mise en conformité RGPD. Découvrons pourquoi.

Utiliser l’architecture d’entreprise pour accélérer la mise en place d’un registre de traitement

L’architecture d’entreprise vise à aligner le système d’information sur la stratégie de l’entreprise. Dans sa mise en œuvre, cette démarche recommande de décrire le système d’information selon plusieurs couches (métier, fonctionnelle, applicative, technique, données), qui sont autant de points de vue complémentaires du SI. Citons notamment : les processus métier et les applications qui les supportent, les échanges inter-applicatifs et les données manipulées et véhiculées dans le cadre de différentes interactions. Ces informations, si elles sont capitalisées au sein d’un même référentiel transverse, peuvent être exploitées pour contribuer à répondre à une des principales exigences de la réglementation GDPR, la mise en place d’un registre des traitements.

Il s’agit de décrire les usages opérés avec les données personnelles collectées. C’est le premier document que la CNIL exige en cas de contrôle de conformité, il permet d’évaluer le niveau de risque de non-conformité le cas échéant. Puisque ces usages concernent chaque département de l’entreprise, tous doivent participer à la documentation de cet inventaire.

La description des processus métier de l’entreprise peut ainsi constituer une solide base pour l’identification des différents traitements et données personnelles utilisées dans ces cas d’usages.

Utiliser l’architecture d’entreprise pour identifier les systèmes d’information impactés par la mise en conformité

La mise en conformité GDPR va nécessairement impliquer de faire évoluer le SI de l’entreprise. Ce qui peut s’avérer une tâche non triviale, de par la complexité de l’organisation (comme mentionné plus haut, toutes les structures de l’entreprise sont concernées et peuvent avoir un impact non négligeable) et d’un système d’information hétérogène.

Les démarches d’architecture d’entreprise sont déjà utilisées dans le cadre de projets de transformation pour identifier les évolutions du système d’information à mettre en place. A ce titre, les projets de transformation engendrés par le RGPD s’intègrent dans le cadre d’architecture défini par les architectes d’entreprise. Ces derniers devront s’assurer que ces projets s’inscrivent dans la cible d’évolution globale du système d’information de l’entreprise.

L’utilisation d’un référentiel commun qui centralise l’ensemble des projets d’architecture d’entreprise (tel que par exemple l’inventaire du patrimoine applicatif, des échanges inter-applicatifs…), peut permettre d’identifier rapidement quels systèmes d’information sont amenés à manipuler des données personnelles et sensibles, et donc lesquels sont impactés par cette mise en conformité.

Une nouvelle collaboration entre Architectes d’Entreprise et DPO

Pour mettre en place un plan de mise conformité, le RGPD exige souvent la nomination d’un DPO (Data Protection Officer) au sein des entreprises. Il est en charge d’assurer la coordination de toutes les activités et de tous les acteurs de l’entreprise œuvrant à la protection des données.

La direction des systèmes d’information est un interlocuteur clés du DPO. Leur collaboration doit permettre :

  • D’identifier les traitements de données représentant un risque pour le respect de la vie privée de leurs propriétaires ;
  • De sécuriser les processus métiers et les applications qui les sous-tendent ;
  • D’évaluer les risques et les prévenir ;
  • De mettre en place les registres de traitement.

L’enjeu de cette collaboration est de réussir à maîtriser la protection des données personnelles liées aux projets et applications informatiques dès la conception.

Si vous souhaitez en savoir plus, découvrez ce le webcast « DSI & Architectes d’entreprise : quelles actions mener face au RGPD ? »