Services RGPD et respect de la vie privée pour SAP

Des solutions pour faciliter la conformité au RGPD de vos systèmes SAP

    Visionnez le webinaire    Regardez la vidéo

Services RGPD pour SAP

Le RGPD (Règlement général sur la protection des données de l’U.E.) a des conséquences de grande ampleur sur les entreprises du monde entier. Depuis le 25 mai 2018, toutes les organisations qui recueillent, stockent et traitent des données personnelles concernant des citoyens de l’Union Européenne (U.E.), où qu’elles soient implantées dans le monde, doivent être en mesure de dévoiler les données qu’elles détiennent sur une personne, ainsi que les finalités pour lesquelles elles conservent et utilisent ces données.

Afin de détenir et gérer de telles données, qu’elles soient conservées dans l’U.E. ou ailleurs, chaque organisation doit obtenir le consentement éclairé de la personne concernée et apporter la preuve qu’elle se conforme aux principes directeurs du RGPD, et notamment que la protection des données est au cœur de la conception de ses systèmes. La conformité est non négociable. Les entreprises où des atteintes à la sécurité des données sont commises sont passibles de lourdes amendes. Celles-ci peuvent atteindre 20 millions d’euros (22 millions de dollars au taux de change actuel) ou 4% de leur chiffre d’affaires annuel, la somme la plus élevée prévalant.

  Contactez-nous pour une analyse de vos systèmes

 


Watch GDPR Compliance Video

 


Comment EPI-USE Labs peut vous aider à atteindre la conformité au RGPD ?

Cette situation a de quoi inquiéter, mais EPI-USE Labs propose les solutions suivantes pour faciliter votre conformité au RGPD.

  • Data Secure et nos Solutions de conformité RGPD pour SAP  
  • Orientations et pratiques optimales:
    • Connaissances et indications sur l'emplacement des données stockées dans SAP®
    • Compréhension des types de données affectés, choix et processus pour répondre aux exigences
    • Services de suppression de données en masse
    • Ateliers de sensibilisation au RGPD

De par la multitude et la variété des systèmes informatiques, il est impossible d'adopter une approche «universelle»; alors pour conserver une longueur d’avance, n’hésitez pas à profiter de notre expertise et de notre expérience. Depuis plus de trente ans, EPI-USE Labs crée et développe des solutions logicielles avancées dans le monde des données SAP. Nous pouvons également vous faire bénéficier de nos conseils et de notre expertise sur le thème du RGPD.

  Webinaires à la demande   Solutions de conformité au RGPD pour sap 

Services de suppression de données SAP en masse

Pour la plupart des organisations, la politique de conservation des données définit une période minimale de conservation à respecter par les équipes techniques, et non le délai au-delà duquel les données doivent être détruites proactivement. Avec l’entrée en vigueur du RGPD, la situation a changé. Toutes les entreprises ont dans leurs systèmes SAP des données historiques qu’elles n'ont plus de raison légale de conserver. Il peut s’agir par exemple des coordonnées de parents d’anciens employés ou des coordonnées bancaires d’anciens clients, parmi les innombrables types de données à caractère personnel imbriquées dans les systèmes SAP.

EPI-USE Labs propose une approche simple pour éliminer ces anciennes données sans recourir à des projets d’archivage complexes. Le produit Data Redact permet d’expurger ou de supprimer les informations spécifiques d’une personne donnée. Un consultant d’EPI-USE Labs spécialisé en optimisation de l’infrastructure système (SLO) peut exploiter cette technologie dans le cadre d’une licence spécifique pour sélectionner et traiter en parallèle l’ensemble des données concernées en masse. Le consultant apportera également son aide pour établir les définitions exactes des données à supprimer lors du nettoyage initial, et pour indiquer comment sélectionner ces données.

  Voir le webinaire en replay


EPI-USE Labs propose une approche simple pour éliminer ces anciennes données sans recourir à des projets d’archivage complexes

Un nettoyage initial de grande ampleur peut prendre la forme d’une opération unique visant à supprimer un faible volume de données à fort caractère personnel, telles que les informations sur les proches ou les numéros de comptes bancaires, concernant toute personne ayant quitté l’entreprise depuis plus d’un an.

Données relatives aux employés

Les données historiques relatives aux employés doivent être conservées dans la plupart des cas. Mais qu’en est-il si l’entreprise cède une partie de ses activités? Dix ans plus tard, peut-on garder des informations sur ces employés? Et même si vous souhaitez conserver l’essentiel de ces données, comment supprimer les éléments à caractère personnel? Un nettoyage initial de grande ampleur peut prendre la forme d’une opération unique visant à supprimer un faible volume de données à fort caractère personnel, telles que les informations sur les proches ou les numéros de comptes bancaires, concernant toute personne ayant quitté l’entreprise depuis plus d’un an. Elle serait suivie d’une seconde opération pour toutes les personnes ayant quitté l’entreprise il y a sept ans ou plus. Celle-ci supprimerait bien plus de données, notamment les informations sur les congés maladie, les bilans de performances et les détails liés à la rémunération.

Données sur la clientèle de l’entreprise

Dans ce domaine, il est bien plus difficile de définir des bases légales permettant de conserver les données. Les systèmes peuvent répertorier des centaines de clients, de partenaires et de sites qui n’ont pas eu de transactions avec l’organisation depuis plus de cinq ans. Au lieu de procéder à un archivage de toutes les transactions associées puis des données de base, nous pouvons réaliser un nettoyage de données en masse pour supprimer les identifiants des données de base ainsi que toutes les références associées dans les transactions. Ainsi la personne concernée ne sera plus visible au sein du système. Autre possibilité: il peut être souhaitable de supprimer bien plus tôt les informations liées aux cartes de crédit, et probablement les réponses aux questions en matière de sécurité des dossiers client.

Contactez-nous pour discuter de vos exigences et voir comment nos services de nettoyage de données en masse pourraient être utilisés pour faciliter votre conformité au RGPD.

Contactez-nous pour un nettoyage de données en masse
Dans ce domaine, il est bien plus difficile de définir des bases légales permettant de conserver les données. Les systèmes peuvent répertorier des centaines de clients, de partenaires et de sites qui n’ont pas eu de transactions avec l’organisation depuis plus de cinq ans
[fa icon="plus-square"] Tackling GDPR in detail: the importance of privacy, transparency and technology

Personal Data Rights

The main emphasis of GDPR is on Personal Information. GDPR aims to protect personal data rights such as the right to be informed, the right of access, the right of rectification, the right to erasure (aka the right to be forgotten), the right to strict processing, the right to data portability, the right to object and rights to automated decision-making and profiling.

Key requirements for GDPR

  • Consent for storage must be given by the data subject
  • Consent must be explicit
  • Each individual has “the right to be forgotten”, although this comes with several caveats
  • Compliance must be demonstrated
  • Notification of data breaches must be provided

Data privacy must be by design

Organisations wishing to store data must have explicit consent from the subject of the data. The reason for storing it must be transparent, and the data subject has the authority to block processing while concerns are dealt with, as well as to request the removal of the information from the system. There is nothing to say that data must be anonymised – the law is not that prescriptive. However, the law does say that there must be documentation showing that data protection is by design, and that processes comply with the rights of the data subject.

Overwhelming data requests

The difficulties will start when someone requests the details of where their personal data is being kept in an IT system. Let’s complicate that: let’s say your organisation receives ten requests – or even one hundred – to locate sensitive, personal data. Imagine having to log into a number of SAP systems to download table entries, or take screenshots to show the data subject’s footprint. How many password resets will be required? Do you know all the places to look? And how long will this take?

.

Your challenges include

  • The complexity, volume and sheer scale of GDPR
  • Lack of consistency: Every GDPR compliance project is different, depending on the industry, existing IT systems, usage of data, etc.
  • Ambiguity: While the GDPR is comprehensive, there are many areas that are neither detailed or prescriptive. It doesn't specifically tell organisations what to do; it’s up to them to analyse their systems, processes and data and work out what to do for themselves.

How GDPR affects SAP systems

It’s not easy for SAP systems to comply with the demands of GDPR because of its architecture. SAP stores information in an intricate and tangled way. Data is stored and replicated across the system in many places, such as customer master, business partner, change document tables, and so on. SAP is also highly configurable, so when it is implemented, the way in which this happens dictates which tables and fields the data will be stored in. An additional complication is that there are often multiple copies of systems. The data might be in Z-tables, and the only way this can be verified is to get into that system.

Don’t delay!

The requirements of GDPR go to the very core of your IT systems, because they need to be built into the design; a project like this can affect your CRM systems, your ERP systems and customer first line support. Entire new business processes have to be put into place. You will also need an auditor to scrutinise your security arrangements. Every organisation should have a plan to meet the requirements, and assign key roles and responsibilities to that plan.

EPI-USE Labs will help you deal with GDPR. Our knowledge, experience, expertise and products will help you sleep peacefully at night in the knowledge that everything is under control.

Tackling GDPR in detail

The importance of privacy, transparency and technology

 

Precise selection to avoid downtime
Personal Data Rights

The main emphasis of GDPR is on Personal Information. GDPR aims to protect personal data rights such as the right to be informed, the right of access, the right of rectification, the right to erasure (aka the right to be forgotten), the right to strict processing, the right to data portability, the right to object and rights to automated decision-making and profiling.

Precise selection to avoid downtime
Your challenges include

  • The complexity, volume and sheer scale of GDPR
  • Lack of consistency: Every GDPR compliance project is different, depending on the industry, existing IT systems, usage of data, etc.
  • Ambiguity: While the GDPR is comprehensive, there are many areas that are neither detailed or prescriptive. It doesn't specifically tell organisations what to do; it’s up to them to analyse their systems, processes and data and work out what to do for themselves.

Precise selection to avoid downtime
Key requirements for GDPR

  • Consent for storage must be given by the data subject
  • Consent must be explicit
  • Each individual has “the right to be forgotten”, although this comes with several caveats
  • Compliance must be demonstrated
  • Notification of data breaches must be provided

Precise selection to avoid downtime
How GDPR affects SAP systems

It’s not easy for SAP systems to comply with the demands of GDPR because of its architecture. SAP stores information in an intricate and tangled way. Data is stored and replicated across the system in many places, such as customer master, business partner, change document tables, and so on. SAP is also highly configurable, so when it is implemented, the way in which this happens dictates which tables and fields the data will be stored in. An additional complication is that there are often multiple copies of systems. The data might be in Z-tables, and the only way this can be verified is to get into that system.

Precise selection to avoid downtime
Data privacy must be by design

Organisations wishing to store data must have explicit consent from the subject of the data. The reason for storing it must be transparent, and the data subject has the authority to block processing while concerns are dealt with, as well as to request the removal of the information from the system. There is nothing to say that data must be anonymised – the law is not that prescriptive. However, the law does say that there must be documentation showing that data protection is by design, and that processes comply with the rights of the data subject.

Precise selection to avoid downtime
Don’t delay!

The requirements of GDPR go to the very core of your IT systems, because they need to be built into the design; a project like this can affect your CRM systems, your ERP systems and customer first line support. Entire new business processes have to be put into place. You will also need an auditor to scrutinise your security arrangements. Every organisation should have a plan to meet the requirements, and assign key roles and responsibilities to that plan.

EPI-USE Labs will help you deal with GDPR. Our knowledge, experience, expertise and products will help you sleep peacefully at night in the knowledge that everything is under control.

Precise selection to avoid downtime
Overwhelming data requests

The difficulties will start when someone requests the details of where their personal data is being kept in an IT system. Let’s complicate that: let’s say your organisation receives ten requests – or even one hundred – to locate sensitive, personal data. Imagine having to log into a number of SAP systems to download table entries, or take screenshots to show the data subject’s footprint. How many password resets will be required? Do you know all the places to look? And how long will this take?

Nous les avons aidés

Avant d’implémenter Data Sync Manager, nos données de test n’étaient ni fiables ni qualitatives car elles n’avaient pas été actualisées depuis plusieurs années et avaient été manipulées de façon manuelle pour s’adapter à certains scénarios


Découvrez comment DSM a aidé Innogy

Ian Naylor, systèmes de gestion Innogy

EPI-USE Labs a réalisé un sans-faute et a clairement joué un rôle de chef de file. Un facteur clé de différenciation, c'est l’équipe EPI-USE Labs locale avec laquelle nous avons collaboré et qui a su résoudre tous nos problèmes en temps réel.


Shaun Code, responsable Opérations informatiques chez AGL