Repenser la gestion des données à l'heure du GDPR
Patrimoine Data : repenser la gestion des données à l’heure du GDPR
CIO a organisé une Matinée Stratégique « Data : de la protection au GDPR » le 17 octobre 2017 à Paris avec de nombreux témoins et experts. Etienne Papin, avocat associé au Cabinet Feral-Schuhl / Sainte-Marie, a présenté les nouvelles règles sur les données. La première table ronde, « Comment...
DécouvrirLe 17 octobre 2017, CIO a organisé une Matinée Stratégique « Data : de la protection au GDPR » à Paris avec de nombreux témoins et experts. Cette conférence a été réalisée en partenariat avec ASG, Axway, Elée, Information Builders, Ivanti, Pitney Bowes et ReachFive.
PublicitéLa moitié des répondants de l'étude Comment bien gérer ses données à l'heure du GDPR ?, réalisée par CIO, ne connaissent pas suffisamment, de leur propre aveu, le règlement général européen sur la protection des données personnelles (RGPD), plus connu sous l'acronyme anglais GDPR. Pourtant, il s'appliquera fin Mai 2018. Les non-conformités pourront dès lors être sanctionnées d'amendes jusqu'à 4 % du chiffre d'affaires mondial de l'entreprise coupable. Ce règlement renforce les obligations classiques de protection et de gestion du patrimoine de données, même s'il n'y a pas réellement de novation par rapport aux grandes lignes des règles qui s'appliquent (ou plutôt devraient être respectées) depuis 1978 en France.
L'étude a été présentée en ouverture de la Matinée Stratégique « Data : de la protection au GDPR » organisée le 17 octobre 2017 à Paris par CIO en partenariat avec ASG, Axway, Elée, Information Builders, Ivanti, Pitney Bowes et ReachFive. Cette conférence visait à détailler les meilleures pratiques en matière de gestion et protection des données ainsi, bien entendu, que de mise en conformité avec le GDPR.
Des données qu'il faut considérer comme juste prêtées
« Serez-vous privés de données privées ? » a ainsi interrogé, un brin ironique, Jean Claude Bellando, Director, Product Solution Marketing, MFT, Axway. Pour lui, il faut en effet considérer que « les données ne sont plus données mais prêtées, les entreprises devenant débitrices des données qui leur sont confiées et qu'il va falloir, comme l'argent dans une banque, être en mesure de restituer. » Le RGPD implique en effet un consentement éclairé à la remise de données dans un objectif précis, l'autorisation pouvant être révoquée à tout moment. Le deuxième pilier du RGPD est bien sûr le contrôle. Or la donnée circule. Il faut donc sécuriser la circulation de la donnée au sein d'un réseau d'expérience client. Cela peut être réalisé grâce à une « API de gestion du consentement » et une traçabilité stricte des autorisations et des usages.
« RGPD - Serez-vous privé de données privées ? » s'est interrogé Jean Claude Bellando, Director, Product Solution Marketing, MFT, Axway
L'intervention d'Etienne Papin, avocat associé au Cabinet Feral-Schuhl / Sainte-Marie, s'est logiquement inscrite dans la suite de la précédente. Il a ainsi réalisé un focus sur les principales problématiques juridiques posées par un texte, issu d'un vaste compromis, qui est tout sauf simple. Même si une réelle et totale conformité à la Loi de 1978 entraîne une quasi-conformité au RGPD.
Etienne Papin, avocat associé au Cabinet Feral-Schuhl / Sainte-Marie, a présenté les nouvelles règles sur les données.
PublicitéEviter les copies multiples des données
Mais le patrimoine de données est, en réalité, rarement maîtrisé. « 80 % des données gérées sont des données hors production » a ainsi asséné Alain Marbach, Président de Elée. Ces données sont en fait des copies des données de production réalisées pour de multiples usages connexes : développements, tests, décisionnel, etc. En utilisant une technologie de virtualisation des copies de données (Copy Data Management), vous ne copiez qu'une seule et unique fois vos données de production et générez ensuite des « copies virtuelles », automatiquement anonymisées, pour l'ensemble des cas d'usage. Ces copies virtuelles sont gérées et visualisées à travers une interface unique. Les gains sont considérables, tant pour la sécurité des données (RGPD) que pour l'agilité des métiers (DevOps).
Alain Marbach, Président de Elée, a stipulé : « Protégez vos données hors production »
Des données en échange d'un meilleur service
Malgré tout, l'usage de données personnelles peut bien avoir un but positif. « On oublie un aspect important : le point de vue du client qui veut des offres personnalisées en échange de ses données » a ainsi relevé Jérémy Dallois, CEO de ReachFive. Maisles données confiées par les clients sont mal exploitées et le client n'en a pas pour le prix qu'il accepte de payer en empiètement sur sa vie privée : la connaissance client par les entreprises est médiocre car silotée. Pour Jérémy Dallois, « autant pour exploiter les datas que pour la conformité GDPR, il faut casser les silos. »
« Baromètre connaissance client : unification des identités, entre ambitions et réalité » a été présenté par Jérémy Dallois, CEO de ReachFive.
Antoine Meissonnier, Conservateur du patrimoine au Ministère de la Justice, et Thierry Milhé, VP International Production of IT Services chez Safran, ont ensuite témoigné de leurs expériences sur la première table ronde, « Comment abriter le patrimoine de données ? ».
La première table ronde, « Comment abriter le patrimoine de données ? », a réuni Antoine Meissonnier, Conservateur du patrimoine au Ministère de la Justice, et Thierry Milhé, VP International Production of IT Services chez Safran
Le GDPR, un bon prétexte
Sur un chantier d'exploitation de la data, Christine Brocard (Directeur Conseil Réglementaire banques finances chez CGI France) a déploré : « la difficulté est la multiplication des interlocuteurs ». Le GDPR, avec ses sanctions qui font peur, peut donc être une opportunité pour lancer des chantiers de maîtrise et d'exploitation de la données avec des projets de Data Driven Business, de Client Centric voire même de modernisation du SI. Pour Eric Hubert (Consultant Customer Information Management chez Pitney Bowes), le premier bénéfice du GDPR est précisément cette maîtrise de la data, avec une harmonisation de la vision sur les données et une reconnaissance des données stockées.
Christine Brocard (Directeur Conseil Réglementaire banques finances chez CGI France) et Eric Hubert (Consultant Customer Information Management chez Pitney Bowes) ont expliqué comment le GDPR était un levier pour une approche centrée sur le client
La peur du gendarme pour accroître la sagesse
« Les risques d'une non-maîtrise des données sont clairs, avec 4 % du CA en amende mais aussi -surtout, même- une atteinte à l'image de l'entreprise » a insisté Julie Charrier, Business Value Assessment Manager chez Information Builders. Cette peur du gendarme peut permettre de remettre à plat la gouvernance du patrimoine de données. Car, d'une manière ou d'une autre, « tout le monde est responsable des données » comme Julie Charrier l'a rappelé. Il faut vérifier que les données exploitées sont accessibles, de bonne qualité, utilisées dans une bonne version... et effacer les données obsolètes. Il est donc indispensable de mettre en place une supervision continue dans la durée, pas seulement un contrôle à un instant t.
« Les technologies au service de la stratégie GDPR » ont été présentées par Julie Charrier, Business Value Assessment Manager chez Information Builders.
Sans outil, il y en a qui ont essayé mais ils ont eu des problèmes
« Les grands principes du GDPR peuvent être mis en place sans aucun outil mais c'est tout de même nettement plus facile avec » a rappelé Vincent Peulvey, SE Manager EMEA South chez Ivanti. Et au delà même de GDPR, le besoin de sécurisation des données s'accroît considérablement et continuellement. Il faut, en particulier, veiller à combler les failles de sécurité identifiées en appliquant les patches appropriés. La sécurité des données exigée par le GDPR implique donc de vérifier et d'opérer la diffusion des patches mais aussi, évidemment, d'assurer un strict contrôle d'accès aux données.
Vincent Peulvey, SE Manager EMEA South chez Ivanti, a détaillé comment « Transporter, Sécuriser et Simplifier la gestion des données autour de l'IT unifiée ».
Le Grand Témoin de la matinée était Pascal Courthial, DSI du groupe mutualiste de protection sociale Humanis. S'il a conclu chaque table ronde et la matinée, il a aussi présenté son approche, son action et sa stratégie au cours d'une interview sur scène.
Pascal Courthial, DSI du groupe mutualiste de protection sociale Humanis, a été le Grand Témoin de la Matinée.
Des outils pour rattraper les retards
Il reste donc, rappelons-le, sept mois pour être « conforme au GDPR ». Or « 75 % des entreprises pensent qu'elles ne seront pas prêtes malgré les pénalités risquées » a relevé Alain Bueno, Expert Data Management Solutions chez ASG Technologies. Pour lui, « le GDPR n'est pas une option et le bon outillage s'avère indispensable pour rattraper le temps perdu. » Surtout, une fois la conformité obtenue, il faut la maintenir. Des examens automatiques du patrimoine de données peuvent ainsi être nécessaires. Le DSI doit alors affronter plusieurs défis : la collaboration entre l'IT et les métiers bien sûr ; l'identification des données, des stockages et des traitements opérés ; et enfin la prise en compte de nouveaux besoins (restitutions de données, chiffrement...).
« GDPR : se préparer au Règlement Européen sur la Protection des Données » a été développé par Alain Bueno, Expert Data Management Solutions, ASG Technologies.
Pour achever la matinée, la seconde table ronde a réuni David Ruiz, juriste au sein de la Direction de la Conformité de la CNIL, et Anne-Sophie Nibert, Group Data Privacy Officer de Total. Ils ont débattu des moyens de respecter les règles.
David Ruiz, juriste au sein de la Direction de la Conformité de la CNIL, et Anne-Sophie Nibert, Group Data Privacy Officer de Total, ont été réunis sur la seconde table ronde « Comment respecter les règles sur les données en développant leurs usages ? »
Article rédigé par
Bertrand Lemaire, Rédacteur en chef de CIO
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire