GDPR : canevas d’architecture de conformité

Le Club Urba-EA participe au Groupe de travail organisé par le Cigref sur l’impact de la réglementation sur les données personnelles (GDPR, RGDP) sur l’architecture des systèmes d’information. Le Club, dans le cadre de son Laboratoire prolonge ces travaux par la proposition concrète d’une architecture de système d’information répondant aux exigences de conformité.

Au titre de l’Architecture d’Entreprise, alias Urbanisme du SI, cette architecture fournit une vision cohérente du patrimoine applicatif impacté par la réglementation, quel que soit ce patrimoine. L’architecture proposée organise les fonctions de conformité, et règle les interfonctionnements avec les traitements existants ou futurs qui utilisent des données personnelles.

Cette approche « data centric » utilise les figures de style de l’Architecture Flexible (puits de données, Data Hub). Elle a de nombreux avantages :

  • permettre l’enrichissement progressif du système par composants synchronisés dynamiquement grâce à des API standards,

par exemple les nouvelles fonctions nécessaires au Data Protection Officer sont créées et mises en ligne rapidement en mode agile,

  • proposer, pour les nouveaux traitements, une « plateforme de conformité » garantissant la licéité (en relation avec les consentements, les contrats, les oppositions, la nature des données, …),

cette plateforme est en cible le lieu unique de vérification et d’attribution de la licéité (articles 5 et 6 du Règlement)

  • une introduction progressive et opportuniste au sein du patrimoine applicatif, adaptée au cas particulier de l’Entreprise et de sa stratégie de mise en conformité,

par exemple la plateforme de conformité, composant central de l’architecture, est insérée de façon non intrusive, par étape successives

  • tracer le détail et l’historique des traitements réalisés (ou rejetés) en lien avec les données d’une personne,

la plateforme de conformité peut attribuer, en cible, les droits de traitement des données, mais, sans attendre de modification importante des applicatifs, elle peut tracer et historiser tous les traitements exécutés sur les données personnelles (surtout s’il s’agit de données sensibles), au niveau du « grain » le plus fin,

  • de la même manière, conserver les traces des traitements de protection demandés par la personne (portabilité, droit à l’oubli, droit de correction),

les traitements de protection sont aussi activés et tracés par la plateforme

  • fournir au responsable du traitement et au Data Protection Officer (DPO) les outils d’audit de démonstration et de pilotage basés sur les traces détaillées des événements captées au fil de l’eau des traitements,

les outils du DPO exploitent les informations transversales historisées par la plateforme

  • de paramétrer les règles décrites par la réglementation, et leurs enrichissements et amendements, de façon formelle, flexible, et historisée,

ainsi les évolutions réglementaires ou de jurisprudence ont un impact mineur sur l’architecture et peuvent être prises en compte rapidement à peu de frais. De même, la stratégie de mise en conformité de l’entreprise peut être adaptée facilement.

Cette architecture est générique, comme l’est la réglementation, et peut être adaptée par toute Entreprise et Organisation, selon ses particularités (données sensibles article 9, traitements d’intérêt général, finalités alignées sur la réglementation d’un secteur professionnel, particularités nationales, …) : le modèle est unique, et constitué de composants très fortement standards répartis par zone fonctionnelle (administration des droits, exécution de la licéité, administration de la protection, relations avec les personnes, avec l’organisme de contrôle, …).

C’est une opportunité rare, dans le contexte des disparités nationales et sectorielles, de bénéficier d’importantes économies d’échelle basées sur une Réglementation qui, de fait, a un impact global.

L’architecture place la conformité au cœur du SI et de son fonctionnement opérationnel, ce qui est bien plus sécurisant et efficace que des systèmes de cartographie ou de documentation.

Le modèle, par sa flexibilité, répond aussi au besoin de sécurité par rapport aux évolutions structurelles de la réglementation : jurisprudence, levée de contradictions, précisions sur des modalités… En effet, le système peut croiser au niveau le plus fin les dimensions « personne », « données », « consentements », « traitements » et « finalités », même si un tel croisement n’est, actuellement pour la majorité des traitements, nécessaire que par exception.

Mises à part les contraintes de sécurité qui ont bien sûr un impact sur l’architecture, le modèle peut être instancié sur n’importe quelle architecture technique, centralisée, synchronisée, voire en partie basée sur la blockchain.

Le modèle proposé par le Club Urba-EA, de très grande portée, a été partagé et validé dans ses principes, au sein du groupe de travail, par de grandes entreprises et organisations. Sa vocation est de devenir un standard pour la gestion des données personnelles, reconnu par les Entreprises utilisatrices et les éditeurs, contribuant ainsi à la transformation numérique de la société et à l’efficacité des opérateurs.

Schéma de principe du zonage prévu pour l’architecture GDPR (architecture de référence proposée aux Entreprises et aux Editeurs).

C’est dans le cadre de cette Architecture et de ses standards (définitions fonctionnelles, APIs) que le Club Urba-EA envisage la contribution de sponsors, grands opérateurs et éditeurs, acteurs clés de la Transformation Numérique.