6 avril 2022

Comment élaborer un concept pour gérer les données de test conformément au RGPD ?

AuteurMichael Schwenk

Protection des données et RGPD : Ce sujet devient de plus en plus important, et ce même pour les données des systèmes hors production Le mois de mai 2022 marquera le quatrième anniversaire de l'entrée en vigueur du RGPD. Comme toute autre loi, le RGPD est soumis à des modifications et des adaptations annuelles. Depuis son entrée en vigueur, gérer les données de test conformément au RGPD est devenu primordial pour chaque entreprise. Pourtant, les exigences en matière de protection des données ne sont pas souvent respectées dans la mesure requise. En effet, certaines entreprises se retrouvent face à un grand dilemme : comment travailler avec des données réalistes dans les environnements de Test tout en respectant le RGPD ? De notre côté, nous avons déjà répondu à cette interrogation dans la première partie de notre série d’article « "Gestion des données de test en accord avec le RGPD de l'UE ».

Dans la deuxième partie de ce blog consacré à la sécurité des données, nous mettons l’accent sur l’obligation d’information et surtout comment mettre en place des processus afin de gérer des données de test conformément au RGPD. De ce fait, nous répondons à la question suivante : "Quels sont les risques encourus par les entreprises en cas de non-respect du RGPD ?"

Création d'un concept de sécurité pour la gestion des données de test

Les données de test sont soumises aux exigences restrictives en matière de protection des données techniques et organisationnelles. Cela concerne également le test de logiciels et de systèmes. L’ensemble de la gestion des données de test d’une entreprise est donc impliqué.  Les entreprises doivent entre autres assurer ce que l'on appelle le contrôle d'accès. En d'autres termes, pour garantir la protection des données, les données à caractère personnel ne doivent pas être lues, copiées, modifiées ou supprimées de manière non autorisée après traitement, utilisation et stockage. De plus, les entreprises doivent assurer le contrôle de la disponibilité. Cela signifie que les données à caractère personnel doivent être protégées contre toute destruction ou perte accidentelle.

En outre, le RGPD impose une séparation des systèmes de production et de test. De ce fait, les tests ne sont pas autorisés dans le cadre de réelles opérations. L'utilisation de réelles données à caractère personnel dans les environnements de test, n’est pas acceptable. En effet, elle constitue une violation de la finalité car l’utilisation doit être évaluée du point de vue de la protection des données, car. De plus, tant l'intégrité que la confidentialité des données sont menacées.

Il peut arriver qu'un système soit à ce point complexe et multidimensionnel. Qu'il soit impossible de réaliser des tests pertinents sans données réelles. Dans de tels cas, des exceptions à la règle décrite ci-dessus peuvent s'appliquer. Toutefois, l'article 32 et l'article 25 du RGPD, exige que l'utilisation d'un outil de gestion des données de test pour l'anonymisation ou la pseudonymisation, tel que Libelle DataMasking, soit absolument prise en compte. (source)

"Compte tenu de l'état de l'art, des coûts de mise en œuvre et de la nature, de la portée, des circonstances et des finalités du traitement, ainsi que des différents degrés de probabilité et de gravité des risques pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin d'assurer un niveau de protection adapté au risque, y compris, le cas échéant, les mesures suivantes :
a) la pseudonymisation et le chiffrement des données à caractère personnel ;
b) la capacité d'assurer de manière durable la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes et services liés au traitement".

(Source : RGPD article 32, paragraphe 1)

Obligations d'information prescrites et évaluation des conséquences

Dans le cadre de la gestion des données de test, il existe un risque, en fonction de l’environnement et notamment du scénario de test. En effet il peut y avoir des erreurs de procédure entraînant la transmission de données productives, et donc de données personnelles et identifiables, à des tiers parfois non autorisés.

Conformément au RGPD, toute perte de données doit être notifiée à l'autorité de contrôle compétente dans les 72 heures, c'est-à-dire quelle que soit la sensibilité des données.

Toutefois, le risque de perte de données réelles peut être réduit de manière drastique si l'entreprise dispose d’un outil de protection des données dans la gestion des données de test. Cela sera effectif si l’outil prévoit l'altération des données par cryptage, anonymisation ou pseudonymisation.

Si une entreprise utilise de nouvelles technologies qui présentent des risques pour les personnes concernées, elle doit procéder à une analyse d'impact sur la protection des données conformément à l'article 35 du RGPD. Si des données particulièrement sensibles doivent être traitées dans le système informatique, une analyse technique des risques doit être effectuée lors de la planification des tests de ce système. La gestion des données de test est ainsi examinée à la loupe. Le système est alors analysé si la protection des données est toujours garantie. Le contenu de l'analyse est la minimisation, voire l'exclusion du risque de perte de données par l'utilisation d'un logiciel. Ce dernier doit au moins permettre la pseudonymisation, voire l'anonymisation des données de test. Notre outil de gestion des données de test Libelle DataMasking est ici parfaitement adapté. (source)

Que risquent les entreprises en cas de non-respect du RGPD ?

Avec l'entrée en vigueur du RGPD dans l'UE, les sanctions en cas de non-respect de la réglementation ont été considérablement renforcées. Ainsi, les entreprises peuvent se voir infliger des amendes allant jusqu'à 20 millions d'euros ou jusqu'à quatre pour cent du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. A cela s'ajoute le fait que l'autorité de surveillance compétente doit prendre en compte et garantir l'efficacité, la proportionnalité et le caractère dissuasif des amendes infligées.

"Chaque autorité de contrôle veille à ce que l'imposition d'amendes en vertu du présent article pour les violations du présent règlement, conformément aux paragraphes 4, 5 et 6, soit efficace, proportionnée et dissuasive dans chaque cas particulier".

(Source : RGPD, article 83, paragraphe 1)

Les autorités de contrôle et les personnes concernées devraient également être informées, après l'évaluation des risques, si des données sensibles sont perdues en raison de tests insuffisants des systèmes et procédures de sécurité. La perte d'image est évidemment la plus grande perte pour une entreprise. Il convient toutefois de noter que les pertes de données peuvent également être punissables, car elles peuvent entraîner la violation, par exemple, de secrets officiels ou professionnels ou la divulgation de secrets commerciaux. (source)

Définition des processus pour la conformité au RGPD

Avec le RGPD, les règles de protection des données sont devenues beaucoup plus strictes dans différents domaines. En outre, les exigences techniques et professionnelles imposées aux entreprises ont augmenté, de même que l'importance de la souveraineté des données et de la protection des sources externes. Il n'est pas rare que cela entraîne des processus à redéfinir dans le déroulement de l'exploitation, les entreprises devant également définir les compétences, les outils et les ressources. Il en résulte des processus clairement définis qui garantissent le respect du cadre légal.

Pour les responsables au sein de l'entreprise, il est important de comprendre de bout en bout l'architecture du parcours des données, d'analyser aussi bien les systèmes sources que les systèmes cibles et d'identifier également les interfaces de différents services. Cela permet de déduire très rapidement les exigences en matière de données de test et d'identifier et d'intégrer les systèmes impliqués. La personne responsable peut ainsi connaître et gérer en détail le processus de test et les procédures. Une représentation visuelle des processus de traitement de l'entreprise facilite la compréhension de ses propres processus, non seulement pour les responsables, mais aussi pour l'ensemble de l'entreprise. Si la compréhension des différentes étapes du processus est acquise, il n'est plus nécessaire de conserver des données en masse, car les données de test peuvent alors être mises à disposition de manière ciblée pour des cas de test individuels.

Une fois que la vue d'ensemble et la compréhension des différents processus de traitement ont été acquises, il est possible de limiter le choix des outils de gestion des données de test. Pour ce faire, les exigences doivent être documentées pour chaque étape. De cette manière, il est possible de développer une matrice pour la sélection du ou des outils nécessaires à une gestion des données de test conforme au RGPD. (source)

Répartition des tâches et des rôles

Comme c'est souvent le cas, il peut être difficile pour une seule personne dans une entreprise de garder une vue d'ensemble des processus opérationnels. C'est pourquoi il est recommandé de définir différents rôles afin d'apporter de la clarté dans la gestion des données de test. Comme rôles concrets, on peut citer ici les responsables de projet, les gestionnaires de données de test et les analystes de données de test. La responsabilité du projet comprend également la responsabilité technique du projet de test. Il s'agit de définir les exigences techniques et réglementaires et d'assurer leur respect en mettant à disposition les ressources nécessaires.
Le gestionnaire de données de test est responsable des exigences techniques du projet et de leur mise en œuvre technique. Il suit également la capacité de livraison et d'exploitation avec un analyste de données de test d'exécution. L'analyste, quant à lui, est responsable de la mise en œuvre technique et de la surveillance continue des outils et des environnements utilisés (gestion des données de test).

Tous les secteurs d'une entreprise, sans exception, sont confrontés à des changements dans le traitement des données et à une sensibilisation croissante en raison du RGPD. En tenant compte des exigences contenues dans le RGPD, les entreprises ne créent pas seulement une sécurité juridique. D’autant plus, cela peut permettre d'économiser du temps et de l'argent, car il est souvent évident que les tests entraînent des frais généraux considérables, notamment en ce qui concerne le traitement et l'utilisation des données. (source)

Gestion des données de test : utilisez vos données

Dans le domaine de la gestion des données de test, il ne s'agit pas seulement de la protection des données, mais aussi de la mise à disposition automatisée des données de test, comme le propose notre duo de choc : Libelle SystemCopy et Libelle DataMasking. La réinitialisation des données après leur utilisation, l'enregistrement de la validité, de l'âge et de l'état de consommation des données de test sont également des éléments importants de la gestion des données de test.

Pour en savoir plus, n’hésitez pas à lire notre article "Qu'est-ce que la gestion des données de test (TDM) ?". Vous pouvez également nous contacter échanger de vive voix sur le sujet !


Articles recommandé
28 septembre 2022 Glossaire informatique de Libelle, partie 17 : Qu'est-ce que l'automatisation des processus informatiques ?
15 septembre 2022 Pourquoi les copies de système et l'anonymisation des données vont-elles de pair ?

Tous les articles du blog