Projet de « plateforme de conformité à la GDPR » (Privacy by Design)

La nouvelle réglementation européenne (GDPR) sur les données personnelles impose le consentement explicite, clair et révocable, des personnes physiques sur la finalité des traitements utilisant leurs données.

Elle doit être en application en mai 2018 pour les entreprises et administrations, avec un arsenal de pénalités dissuasif.

On comprend aisément que le patrimoine SI actuel n’est pas en conformité avec cette réglementation. Dans les grandes entreprises et organisations, au delà des finalités initiales, des « propositions de valeur » complémentaires sont apparues. Certaines clauses complexes créent une insécurité juridique, et on peut craindre alors qu’il faille revoir les règles d’alignement à la Réglementation. On se doute que les impacts sont multiples, diffus, voire évolutifs. Un travail difficile à évaluer, et des délais bien courts.

On est face à une problématique type An 2000 ou Euro, avec plus de subtilité juridique.

Une approche est d’évaluer les écarts, les risques, et de prioriser. Des prestataires sont sur le sujet. Des guides sont élaborés. La complexité du discours juridique est importante, et jette un trouble cachant l’essentiel.

Dans le fond, l’implication de l’Architecture du SI est évidente : l’Architecture existante a été conçue alors que certaines contraintes n’existaient pas, ou existaient sous une forme réduite (déclaration à la Cnil, pas de gestion fine des consentements,…) et fragmentée par pays.

Maintenant la question est différente, globale, et la responsabilité clairement transférée aux entreprises et organisations (désignation d’un DPO, Data Protection Officer qui est en première ligne).

Ce sujet ne pourra être traité au long cours sans un alignement de l’Architecture. Il ne pourra l’être par Big Bang, mais par une évolution progressive, et une adaptation aux impératifs et risques majeurs.

Typiquement une Architecture Flexible est nécessaire. Flexibilité d’adaptation au contexte architectural, flexibilité aussi pour coller aux évolutions. Justement le Club Urba-EA a créé le Laboratoire de la Flexibilité pour tester des Architectures innovantes.

L’opportunité est de monter un démonstrateur simplifié d’une « plateforme de conformité » à la GDPR. Dans le principe, il s’agit tout simplement, pour une Entreprise ou une Administration, de mettre au centre de son SI, et de ses échanges et interactions (quels que soient les protocoles ou latences), une plateforme du type de celle définie pour l’Architecture Flexible. Cette plateforme vérifie la conformité de ces interactions (au niveau du « grain » fin) : pour chaque personne, et selon les règles à appliquer (et en particulier l’état des consentements, validés ou révoqués), elle les autorise, ou émet le signal approprié, au cas par cas.

On peut démontrer ce fonctionnement pour un projet neuf, avec des cas types de traitements construits en symbiose avec cette plateforme de conformité. Cette simplification a du sens, car, si on ne sait pas traiter ce sujet, on ne pourra pas, a fortiori, s’attaquer au « plat de spaghetti » du patrimoine existant.

Dans le même ordre d’idée, on pourra démontrer le fonctionnement d’un « puits » destiné à tracer les interactions et traitements concernant les personnes. Ce composant, non intrusif, permettrait d’auditer le fonctionnement d’une partie du patrimoine, au regard de la réglementation. L’avantage est aussi qu’il préfigure le fonctionnement nominal en cible, en créant le puits d’historisation pour la traçabilité (nécessaire à la portabilité des données, aux droits à l’information, à l’oubli, à l’opposition, …).

Ce n’est donc pas techniquement un saut dans l’inconnu, on dispose largement des technologies nécessaires (API management, data integration, SGBD, …). D’une entreprise à l’autre la question de la conformité se pose dans une logique similaire, il faut simplement changer le paramétrage des finalités, traitements et consentements. La rupture, par rapport à la réglementation en vigueur actuellement, est l’exigence de finesse dans le croisement personnes-données-traitements et finalités qui est le « grain » opérationnel d’exécution des consentements. La gestion des consentements prévue à l’Article 7 du règlement (« le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant »… »La personne concernée a le droit de retirer son consentement à tout moment ») ainsi que le droit d’opposition à la prospection (Article 21) impliquent un grain d’exécution fin et daté.

La structure ainsi créée, plus exigeante que celle découlant de la réglementation précédente, place l’autorisation de conformité (la licéité) au cœur du SI. C’est un sujet générique global (tout pays, transverse aux métiers), et stable car fondé sur l’architecture de la réglementation.

Bien sûr, dans le cas du « démonstrateur », on se limitera à quelques cas d’usage typiques (rejet d’un traitement qui ne satisfait le consentement d’une personne, mise à jour par une personne de ses consentements, audit des traces enregistrées par la plateforme, …). On ne cherchera pas non plus à instancier ce moteur sur une architecture technique cible de référence, ni à l’adapter à celle de telle ou telle entreprise. Il s’agit d’un démonstrateur « fonctionnel ».

Les fonctions, enrichies et sécurisées, seront à reprendre par chaque entreprise pour les implanter sur son architecture interne, son espace sécurisé (résistance aux intrusions, scalabilité, cohérence…), et en vertu de sa stratégie de prise de risque juridique. Elle pourra dès lors faire état de son engagement vers ce qu’il est convenu d’appeler une « Privacy by Design« .

De ce fait le démonstrateur pourra être réalisé dans des coûts et délais raisonnables (le Club pouvant travailler par exemple en co-développement avec certains partenaires). Pour chaque entreprise partenaire, il pourra servir de base pilote dans le cadre d’une transposition en « vraie grandeur », sur son contexte spécifique. Il permettra aussi d’illustrer les chemins de migration et de bascule progressive, et par ensembles réduits, du patrimoine existant à mettre en conformité. On s’intéressera à des cas types représentatifs choisis par les partenaires (campagne marketing, …), en esquissant les solutions qui se présentent, dans tel contexte architectural (CRM, ESB, …).

Ce projet pourrait aussi montrer l’utilisation d’une « architecture inversée », laissant certains utilisateurs gérer leurs propres données personnelles. On peut envisager de prototyper ainsi, autour du démonstrateur, différents scénarios d’architecture plus ou moins inversée, par exemple se basant sur la technologie émergente de la blockchain, ou en liaison avec des projets concernant les données personnelles.

Au delà de cette première phase de réalisation d’un démonstrateur, le Club Urba-EA n’a pas vocation à finaliser un produit à mettre sur le marché. Le Laboratoire de la Flexibilité, ayant rempli sa mission, pourra développer une démarche similaire sur d’autres sujets.

Ce projet simple et rapide a un très fort ROI, permettant d’accélérer et de fiabiliser les travaux de mise en conformité à la réglementation. Un projet agissant au cœur du SI des grands opérateurs, tout en préparant les architectures de « self data » futures.

Une réunion d’information est organisée le 5 avril à Paris (une première réunion a intéressé 40 personnes de divers profils : CIL, Data Officer, Architecte…). Pour vous inscrire et recevoir une invitation.

Voir aussi sur le blog de René Mandel.

Gestion des données personnelles : impacts sur l’Architecture des SI

La Réglementation Européenne sur la gestion des données personnelles (GDPR) s’appliquera aux entreprises et organisations en mai 2018.

Cette réglementation implique une mise en conformité du patrimoine SI, pour répondre aux droits des personnes de contrôler leurs données personnelles et d’approuver les finalités des traitements.

Les conséquences de cette Réglementation sont donc multiples et étendues à l’ensemble du SI.

Afin de cibler l’initiative que peut prendre le Club Urba-EA face à ce sujet majeur, toute entreprise ou organisation peut répondre à l’enquête ouverte en suivant le lien ci-dessous :

Enquête GDPR du Club Urba-EA

Par avance merci pour vos réponses.