Intégration de la Plateforme de Conformité avec French-Road

La Plateforme de Conformité, définie par le Laboratoire du Club Urba-EA, propose une Architecture fonctionnelle générique adaptable à tout type d’entreprise ou d’organisation.

Cette plateforme est fondée sur les principes de l’Architecture Flexible. Cela permet effectivement une insertion dans chaque contexte de patrimoine SI. La plateforme assure, pour toute l’entreprise ou l’organisation, les fonctions de recueil et traçage des demandes des personnes (articles sur le « droits ») et celles de traçage de l’exécution des traitements.

Elle interfonctionne, de façon standard, par des interfaces ou des APIs, avec 4 façades, reprises dans le schéma ci-dessous :

 

Par ailleurs, le projet French-Road propose une rupture pour l’identification et le partage de données personnelles, en appliquant le modèle estonien opérationnel depuis plusieurs années en Estonie. Typiquement, avec ce projet, un client, pour se connecter au site de l’entreprise, se verrait proposer de s’identifier selon le standard French-Road.

En quelque sorte, tout ou partie des fonctions de la façade personne seraient déportées, voire mutualisées vers French-Road : identification, données personnelles de base. Grace à la flexibilité de l’architecture, ce déport peut être réalisé par exemple pour les clients, le cas des salariés restant géré de façon traditionnelle (par exemple s’ils sont « badgés », dans le cas d’un Aéroport). La flexibilité permet aussi de déporter, vesr French-Road, les données les plus partagées, tout en maintenant des données spécifiques aux finalités confiées à l’entreprise sous le contrôle de celle-ci (en particulier en application des contrats régissant les relations entre la personne et l’entreprise, et des réglementations sectorielles). Ceci peut être schématisé de la façon suivante :

 

 

Ce type d’intégration est un compromis efficace entre le souci de préserver les données personnelles, et celui de responsabiliser l’entreprise sur la conformité (cf. La GDPR), sous le contrôle des responsables de traitement et du DPO (cf. façade DPO). La solution est beaucoup plus modulaire, grâce au modèle d’architecture de la plateforme, que dans une architecture classique, dépendante des imbrications avec les applications historiques et avec les ERP.

 

Lancement de l’accélérateur GDPR du Laboratoire du Club Urba-EA

Le Laboratoire du Club Urba-EA a pour objectif de mettre au point des architectures de système d’information innovantes, et traitant des sujets d’actualité partagés par les membres du Club.

Il s’agit, au delà des approches académiques ou des pré-requis méthodologiques, de démontrer en pratique l’apport de l’architecture, face aux multiples défis auxquels sont confrontés les entreprises privées et Organismes publics.

La réglementation Européenne sur la protection des données personnelles, GDPR alias RGDP, présente ce type de défi, aux nombreuses implications, immédiates et dans la durée. Elle a clairement un impact architectural majeur, qui ne peut se résumer à telle ou telle solution d’éditeur ou d’architecture.

Chaque entreprise se doit de mener un programme de travaux pour se rendre conforme, en fonction des spécificités de son activité, de ses procédures, de son patrimoine applicatif.

Le projet d’accélérateur GDPR vise à faciliter ce programme : en accélérer l’application, aider à identifier les architectures, et amorcer des solutions pratiques.

Cet accélérateur est fondé sur :

  • un partenariat avec des éditeurs qui apportent les briques de base d’une telle architecture :
    • la vision DPO et responsable de traitement (registre des traitements, …), au travers du produit MyDPO de DPO Consulting, cabinet juridique spécialisé sur la protection des données personnelles,
    • la gestion transversale des données personnelles et des demandes des personnes à ce sujet (consentement, oubli, portabilité, …), au travers du produit de MDM EBX, de Orchestra Networks, spécialisé sur la modélisation et la mise en oeuvre de référentiels de données partagés,
    • la gestion de solutions d’intégration et d’interconnexion, au travers des produits d’Axway dont c’est la spécialité,
  • la garantie de conformité à la réglementation (Privacy by Design) au travers d’une cible d’Architecture : mise en oeuvre des principes de l’Architecture Flexible, avec un « puits d’événements » assurant la traçabilité des actions prises sur les données personnelles (voir la cible d’architecture GDPR-EA publiée sur le présent site, schéma repris ci-dessous),
  • l’utilisation de la technologie émergente de « l’event sourcing » pour satisfaire les besoins de performance et de scalabilité nécessaires,
  • enfin, et ce point est fondamental, l’introduction progressive des composants d’Architecture selon le modèle en spirale, et la figure de style de MDM non-intrusif.

 

Cible d’architecture de conformité GDPR-EA (2017)

 

Les objectifs et livrables du projet sont, pour fin 1er trimestre 2018 :

  • L’identification des grands impacts SI de la réglementation GDPR,
  • La conception d’une architecture générale cible qui répond à un ou plusieurs cas d’usage métiers identifiés,
  • La mobilisation optimale des composants progiciel et des puits d’événement, dans un schéma reconfigurable et adaptable au cas de chaque entreprise
  • La mise en œuvre et l’accessibilité du prototype opérationnel aux souscripteurs,
  • La mise à disposition des livrables projets (documents, sources IT) aux souscripteurs.
Cible GDPR non intrusif (2018)

Cet accélérateur est piloté par le Groupe d’Entreprise du Club qui ont souscrit au projet. Le Groupe définit les cas d’usages et priorités.

En mutualisant ces travaux, en bénéficiant de l’appui des éditeurs qui mettent à disposition du projet leurs produits, en investissant sur les nouvelles architectures événementielles (puits d’événements, event sourcing), le projet apporte aux adhérents des résultats facilement transposables dans leur contexte. Cet accélérateur permet, mieux que des spécifications, des investissements rapides sur des bases qualifiées.

 

Pour participer au projet, demander le formulaire de souscription au secrétariat du Club, ou télécharger le formulaire , et renvoyez-le (mail : chargedecommunication@urba-ea.org ).

Ont adhéré au projet les Groupes suivants :

  • Aéroports de Paris
  • Acoss (Agence Centrale des Organismes de Sécurité Sociale)
  • RATP
  • Banque de France
  • Le Groupe VYV (issu de la fusion des mutuelles d’Harmonie Mutuelle et Mgen)
  • le Groupe Agrica

Les adhérents au projet se sont réunis pour engager les travaux , le 18 janvier à Paris.

Une initiative originale, qui place l’Architecture d’Entreprise au premier plan, et comme atout stratégique pour transformer les fondements du SI, en synergie avec le séisme réglementaire de la GDPR.