Le RGPD (Règlement général sur la protection des données de l’U.E.) a des conséquences de grande ampleur sur les entreprises du monde entier. Depuis le 25 mai 2018, toutes les organisations qui recueillent, stockent et traitent des données personnelles concernant des citoyens de l’Union Européenne (U.E.), où qu’elles soient implantées dans le monde, doivent être en mesure de dévoiler les données qu’elles détiennent sur une personne, ainsi que les finalités pour lesquelles elles conservent et utilisent ces données.
Afin de détenir et gérer de telles données, qu’elles soient conservées dans l’U.E. ou ailleurs, chaque organisation doit obtenir le consentement éclairé de la personne concernée et apporter la preuve qu’elle se conforme aux principes directeurs du RGPD, et notamment que la protection des données est au cœur de la conception de ses systèmes. La conformité est non négociable. Les entreprises où des atteintes à la sécurité des données sont commises sont passibles de lourdes amendes. Celles-ci peuvent atteindre 20 millions d’euros (22 millions de dollars au taux de change actuel) ou 4% de leur chiffre d’affaires annuel, la somme la plus élevée prévalant.
Cette situation a de quoi inquiéter, mais EPI-USE Labs propose les solutions suivantes pour faciliter votre conformité au RGPD.
De par la multitude et la variété des systèmes informatiques, il est impossible d'adopter une approche «universelle»; alors pour conserver une longueur d’avance, n’hésitez pas à profiter de notre expertise et de notre expérience. Depuis plus de trente ans, EPI-USE Labs crée et développe des solutions logicielles avancées dans le monde des données SAP. Nous pouvons également vous faire bénéficier de nos conseils et de notre expertise sur le thème du RGPD.
Webinaires à la demande Solutions de conformité au RGPD pour sap
Pour la plupart des organisations, la politique de conservation des données définit une période minimale de conservation à respecter par les équipes techniques, et non le délai au-delà duquel les données doivent être détruites proactivement. Avec l’entrée en vigueur du RGPD, la situation a changé. Toutes les entreprises ont dans leurs systèmes SAP des données historiques qu’elles n'ont plus de raison légale de conserver. Il peut s’agir par exemple des coordonnées de parents d’anciens employés ou des coordonnées bancaires d’anciens clients, parmi les innombrables types de données à caractère personnel imbriquées dans les systèmes SAP.
EPI-USE Labs propose une approche simple pour éliminer ces anciennes données sans recourir à des projets d’archivage complexes. Le produit Data Redact permet d’expurger ou de supprimer les informations spécifiques d’une personne donnée. Un consultant d’EPI-USE Labs spécialisé en optimisation de l’infrastructure système (SLO) peut exploiter cette technologie dans le cadre d’une licence spécifique pour sélectionner et traiter en parallèle l’ensemble des données concernées en masse. Le consultant apportera également son aide pour établir les définitions exactes des données à supprimer lors du nettoyage initial, et pour indiquer comment sélectionner ces données.
Les données historiques relatives aux employés doivent être conservées dans la plupart des cas. Mais qu’en est-il si l’entreprise cède une partie de ses activités? Dix ans plus tard, peut-on garder des informations sur ces employés? Et même si vous souhaitez conserver l’essentiel de ces données, comment supprimer les éléments à caractère personnel? Un nettoyage initial de grande ampleur peut prendre la forme d’une opération unique visant à supprimer un faible volume de données à fort caractère personnel, telles que les informations sur les proches ou les numéros de comptes bancaires, concernant toute personne ayant quitté l’entreprise depuis plus d’un an. Elle serait suivie d’une seconde opération pour toutes les personnes ayant quitté l’entreprise il y a sept ans ou plus. Celle-ci supprimerait bien plus de données, notamment les informations sur les congés maladie, les bilans de performances et les détails liés à la rémunération.
Dans ce domaine, il est bien plus difficile de définir des bases légales permettant de conserver les données. Les systèmes peuvent répertorier des centaines de clients, de partenaires et de sites qui n’ont pas eu de transactions avec l’organisation depuis plus de cinq ans. Au lieu de procéder à un archivage de toutes les transactions associées puis des données de base, nous pouvons réaliser un nettoyage de données en masse pour supprimer les identifiants des données de base ainsi que toutes les références associées dans les transactions. Ainsi la personne concernée ne sera plus visible au sein du système. Autre possibilité: il peut être souhaitable de supprimer bien plus tôt les informations liées aux cartes de crédit, et probablement les réponses aux questions en matière de sécurité des dossiers client.
Contactez-nous pour discuter de vos exigences et voir comment nos services de nettoyage de données en masse pourraient être utilisés pour faciliter votre conformité au RGPD.
Contactez-nous pour un nettoyage de données en masseThe main emphasis of GDPR is on Personal Information. GDPR aims to protect personal data rights such as the right to be informed, the right of access, the right of rectification, the right to erasure (aka the right to be forgotten), the right to strict processing, the right to data portability, the right to object and rights to automated decision-making and profiling.
Organisations wishing to store data must have explicit consent from the subject of the data. The reason for storing it must be transparent, and the data subject has the authority to block processing while concerns are dealt with, as well as to request the removal of the information from the system. There is nothing to say that data must be anonymised – the law is not that prescriptive. However, the law does say that there must be documentation showing that data protection is by design, and that processes comply with the rights of the data subject.
The difficulties will start when someone requests the details of where their personal data is being kept in an IT system. Let’s complicate that: let’s say your organisation receives ten requests – or even one hundred – to locate sensitive, personal data. Imagine having to log into a number of SAP systems to download table entries, or take screenshots to show the data subject’s footprint. How many password resets will be required? Do you know all the places to look? And how long will this take?
It’s not easy for SAP systems to comply with the demands of GDPR because of its architecture. SAP stores information in an intricate and tangled way. Data is stored and replicated across the system in many places, such as customer master, business partner, change document tables, and so on. SAP is also highly configurable, so when it is implemented, the way in which this happens dictates which tables and fields the data will be stored in. An additional complication is that there are often multiple copies of systems. The data might be in Z-tables, and the only way this can be verified is to get into that system.
The requirements of GDPR go to the very core of your IT systems, because they need to be built into the design; a project like this can affect your CRM systems, your ERP systems and customer first line support. Entire new business processes have to be put into place. You will also need an auditor to scrutinise your security arrangements. Every organisation should have a plan to meet the requirements, and assign key roles and responsibilities to that plan.
EPI-USE Labs will help you deal with GDPR. Our knowledge, experience, expertise and products will help you sleep peacefully at night in the knowledge that everything is under control.
The main emphasis of GDPR is on Personal Information. GDPR aims to protect personal data rights such as the right to be informed, the right of access, the right of rectification, the right to erasure (aka the right to be forgotten), the right to strict processing, the right to data portability, the right to object and rights to automated decision-making and profiling.
It’s not easy for SAP systems to comply with the demands of GDPR because of its architecture. SAP stores information in an intricate and tangled way. Data is stored and replicated across the system in many places, such as customer master, business partner, change document tables, and so on. SAP is also highly configurable, so when it is implemented, the way in which this happens dictates which tables and fields the data will be stored in. An additional complication is that there are often multiple copies of systems. The data might be in Z-tables, and the only way this can be verified is to get into that system.
Organisations wishing to store data must have explicit consent from the subject of the data. The reason for storing it must be transparent, and the data subject has the authority to block processing while concerns are dealt with, as well as to request the removal of the information from the system. There is nothing to say that data must be anonymised – the law is not that prescriptive. However, the law does say that there must be documentation showing that data protection is by design, and that processes comply with the rights of the data subject.
The requirements of GDPR go to the very core of your IT systems, because they need to be built into the design; a project like this can affect your CRM systems, your ERP systems and customer first line support. Entire new business processes have to be put into place. You will also need an auditor to scrutinise your security arrangements. Every organisation should have a plan to meet the requirements, and assign key roles and responsibilities to that plan.
EPI-USE Labs will help you deal with GDPR. Our knowledge, experience, expertise and products will help you sleep peacefully at night in the knowledge that everything is under control.
The difficulties will start when someone requests the details of where their personal data is being kept in an IT system. Let’s complicate that: let’s say your organisation receives ten requests – or even one hundred – to locate sensitive, personal data. Imagine having to log into a number of SAP systems to download table entries, or take screenshots to show the data subject’s footprint. How many password resets will be required? Do you know all the places to look? And how long will this take?
Ian Naylor, systèmes de gestion Innogy
Shaun Code, responsable Opérations informatiques chez AGL
© EPI-USE Labs
13-15 rue Taitbout, Paris 75009 •Locations des bureaux