Adhésion aux travaux du Laboratoire du Club Urba-EA sur la GDPR

Travaux du Laboratoire du Club Urba-EA sur la protection des données personnelles (GDPR)

La cible d’architecture « GDPR-EA »

 

Le Laboratoire du Club Urba-EA a engagé, début 2017, des travaux sur la protection des données personnelles, dans le cadre de la réglementation Européenne GDPR.

La première étape a été de proposer une cible d’Architecture de référence. Une telle cible permet de situer les impacts des nouvelles dispositions réglementaires, et d’identifier les projets d’adaptation.

Cette cible « GDPR-EA »  (pour Global Data Privacy Regulation Enterprise Architecture), est un cadre qui a été l’objet d’un large consensus, et plusieurs Entreprises ont montré de l’intérêt pour ces premiers résultats, dans le contexte actuel de mise en œuvre de la GDPR.

Nous souhaitons poursuivre ces travaux et proposer de premières briques pratiques de mise en œuvre GDPR, les plus indéniablement utiles aux membres du Club Urba-EA, et plus généralement à des entreprises intéressées.

Le schéma ci-dessous rappelle cette cible (vision synthétique) :

Des impacts sur le SI sensibles et semblables

 

En effet, au-delà du cadre GDPR-EA, une réglementation aussi globale comporte beaucoup de dispositions transversales à l’Entreprise, et aux secteurs économiques, voire à tout type d’activité. Dans cette lignée, plusieurs impacts sur le SI sont sensibles. Et ils sont semblables, quelles que soient les particularités. On peut citer ainsi :

  • la logique et les modalités de recueil des consentements (dès lors que l’Entreprise évolue au-delà de ses finalités traditionnelles contractualisées),
  • le droit à la portabilité,
  • le droit à l’oubli,
  • la minimisation des données,
  • les exigences réglementaires d’organisation de la protection (désignation d’un DPO, registre des traitements, …)
  • les aspects de sécurité, d’anonymisation, de lignage, de traçage, de démonstration de conformité

Il y a indubitablement d’importantes économies d’échelle à réaliser, sur de telles fonctionnalités, soit en comparant les offres du marché, soit en partageant des investissements (bonnes pratiques, spécifications, business cases, prototypes, …).

Le Laboratoire va donc mettre en place un groupe de travail dédié à ces sujets d’impacts sensibles de la GDPR, sur le SI des Entreprises. Ces travaux seront menés dans le cadre de la déontologie du Club et nécessitent des choix d’orientation, ainsi que la mobilisation de moyens adaptés.

Pour avancer sur ce projet le Laboratoire a formulé des propositions en mai 2017.

Propositions de synergie et de partage

Nous proposons aux Entreprises d’adhérer à des travaux inter-entreprises.

Les sujets envisagés à ce niveau :
  • Cadre d’Architecture GDPR-EA : définition des fonctions cible et principes d’échange de services
  • Etat de l’Art des solutions GDPR, et partage de retour d’expérience de projets GDPR,
  • Modèle de registre des traitements (extension de la base définie par la Cnil),
  • Formalisation des principales règles légales de traitement (permettant une automatisation dans un moteur),
  • Identification des principales APIs : interactions avec le composant ayant en charge la conformité des consentements, traçage systématique des traitements, consultation du registre des traitements, droit à l’oubli, droit à la portabilité…,
  • Stratégies de mise en conformité et de migration du SI,
  • Comparaison des indicateurs de conformité à la réglementation, et application à chaque cas d’entreprise.

Ces travaux visent à réduire un coût de mise en œuvre souvent présenté comme démesuré, la clé est la maîtrise du risque de sur ou de sous-investissement.

L’enjeu est de faciliter une mise en œuvre bien plus agile que si les entreprises abordent le sujet de façon dispersée.