Publications

Adhésion aux travaux sur la GDPR du Laboratoire du Club Urba-EA

[Auteur : R. Mandel]

Travaux du Laboratoire du Club Urba-EA sur la protection des données personnelles (GDPR)

 

La cible d’Architecture « GDPR-EA »

 

Le Laboratoire du Club Urba-EA a engagé, début 2017, des travaux sur la protection des données personnelles, dans le cadre de la réglementation Européenne GDPR.

La première étape a été de proposer une cible d’Architecture de référence. Une telle cible permet de situer les impacts des nouvelles dispositions réglementaires, et d’identifier les projets d’adaptation.

Cette cible « GDPR-EA »  (pour Global Data Privacy Regulation Enterprise Architecture), est un cadre qui a été l’objet d’un large consensus, et plusieurs Entreprises ont montré de l’intérêt pour ces premiers résultats, dans le contexte actuel de mise en œuvre de la GDPR.

Nous souhaitons poursuivre ces travaux et proposer de premières briques pratiques de mise en œuvre GDPR, les plus indéniablement utiles aux membres du Club Urba-EA, et plus généralement à des entreprises intéressées.

Le schéma ci-dessous rappelle cette cible (vision synthétique) :

 
 
 
 
 
 
 
 
 
 
 
 

Des impacts sur le SI sensibles et semblables

 

En effet, au-delà du cadre GDPR-EA, une réglementation aussi globale comporte beaucoup de dispositions transversales à l’Entreprise, et aux secteurs économiques, voire à tout type d’activité. Dans cette lignée, plusieurs impacts sur le SI sont sensibles. Et ils sont semblables, quelles que soient les particularités. On peut citer ainsi :

  • la logique et les modalités de recueil des consentements (dès lors que l’Entreprise évolue au-delà de ses finalités traditionnelles contractualisées),
  • le droit à la portabilité,
  • le droit à l’oubli,
  • les exigences réglementaires d’organisation de la protection (désignation d’un DPO, registre des traitements, …)
  • les aspects de sécurité, d’anonymisation, de lignage, de traçage, de démonstration de conformité

Il y a indubitablement d’importantes économies d’échelle à réaliser, sur de telles fonctionnalités, soit en comparant les offres du marché, soit en partageant des investissements (bonnes pratiques, spécifications, business cases, prototypes, …).

Le Laboratoire va donc mettre en place un groupe de travail dédié à ces sujets d’impacts sensibles de la GDPR, sur le SI des Entreprises. Ces travaux seront menés dans le cadre de la déontologie du Club et nécessitent des choix d’orientation, ainsi que la mobilisation de moyens adaptés.

Pour avancer sur ce projet le Laboratoire formule les propositions suivantes.

Propositions de synergie et de partage

 

Nous proposons aux Entreprises 2 niveaux de partage :

Niveau 1

 

Forfait « NIVEAU 1 » permettant de traiter 2 ou 3 sujets en commun sur la période 2017 et le premier semestre 2018 (les sujets traités dépendant des « votes » des entreprises, et le nombre de sujets du nombre d’options souscrites), sur la base de prix fixes (un prix membre Club Urba, et, pour les non-membres, un prix comprenant le prorata d’adhésion au Club pour 2017). Le premier livrable sera la « stratégie GDPR-SI type », pour chaque participant.

Les sujets envisagés à ce niveau :

  • Cadre d’Architecture GDPR-EA : définition des fonctions cible et principes d’échange de services
  • Etat de l’Art des solutions GDPR, et partage de retour d’expérience de projets GDPR,
  • Modèle de registre des traitements (extension de la base définie par la Cnil),
  • Formalisation des principales règles légales de traitement (permettant une automatisation dans un moteur),
  • Identification des principales APIs : interactions avec le composant ayant en charge la conformité des consentements, traçage systématique des traitements, consultation du registre des traitements, droit à l’oubli, droit à la portabilité…,
  • Stratégies de mise en conformité et de migration du SI,
  • Comparaison des indicateurs de conformité à la réglementation, et application à chaque cas d’entreprise.

Conditions : membre actuel du Club Urba-EA : 5000 €, non membre : 6000 € (comprend l’adhésion au Club pour 2017). (un statut particulier sera attribué sur dossier à d’éventuels contributeurs ne provenant pas d’entreprise utilisatrice au sens du Club Urba-EA, sous réserve d’accord sur les droits de propriété intellectuelle).

Niveau 2

 

Plusieurs forfaits « NIVEAU 2 » seront dédiés à des projets plus conséquents partagés par des Entreprises avec une force de travail spécifique à chaque projet.

Liste des projets NIVEAU 2 envisagés actuellement :

  • Spécification d’API GDPR : traçage de traitements, quitus de conformité, demande d’exercice des droits, alerte violation de données, …
  • Pilote, prototype, de fonction de conformité : droit à l’oubli, audit de limitation, droit à la portabilité
  • Appli utilisateurs, portail GDPR
  • Appli, portail DPO, tableau de bord, gestion de crise
  • Prototype de moteur de conformité

Conditions : le coût de chaque projet sera fonction du nombre d’Entreprises optant pour le projet, pour avoir un ordre d’idée le coût devrait se situer dans une fourchette de 5 K€ à 15 K€ selon ce niveau de partage et la complexité du projet (un statut particulier sera attribué sur dossier à d’éventuels contributeurs ne provenant pas d’entreprise utilisatrice au sens du Club Urba-EA, sous réserve d’accord sur les droits de propriété intellectuelle).

Formalisation des options proposées

 

Les options niveau 1 sont reprises dans le formulaire joint à cette note, à nous retourner. Le formulaire comporte aussi des questions pour mieux préciser les projets de niveau 2.

Outre les économies que permettront ces travaux, qui visent à réduire un coût de mise en œuvre souvent présenté comme démesuré, la clé est la maîtrise du risque de sur ou de sous-investissement.

L’enjeu est de faciliter une mise en œuvre bien plus agile que si les entreprises abordent le sujet de façon dispersée. Le souci sera bien sûr de dépasser les particularismes de patrimoine SI, de processus, de dispositions juridiques, de règles métier, … de chaque participant, et de respecter ses choix stratégiques et sa déontologie.

Merci de renvoyer le formulaire ci-joint qui reprend les éléments de la proposition de partage.

Prochaine réunion

 

La prochaine réunion du Groupe de Travail du Laboratoire sur la GDPR aura lieu fin mai à Paris.

Formulaire d’adhésion aux travaux GDPR du Laboratoire

 

Formulaire à télécharger ci-joint et à retourner par mail.


Toutes les publications du club