30 mars 2022

Gestion des données de test conformément au RGPD

AuteurMichael Schwenk

Le 25 mai 2022 marquera le quatrième anniversaire de l'entrée en vigueur du RGPD. Et comme toute autre loi ou règlement, il fait l'objet de modifications et d'adaptations annuelles. Cela étant, de nombreuses entreprises ne respectent toujours pas les exigences en matière de protection des données. En particulier lorsqu'il s'agit de traiter les données de test.

Ceci constitue un maillon faible idéal pour les auditeurs lors d'un contrôle. Le grand dilemme est alors le suivant : dans les environnements de Test, comment travailler de manière réaliste tout en étant conforme au RGPD.

Vulnérabilité des données de test

Souvent, un audit informatique vient révéler des vulnérabilités du côté des données de test. Ces « points faibles » sont notamment liés aux données personnelles à supprimer ou aux données personnelles en totalité, ou lors de la création de paysages de systèmes de test parfois complexes. Celles-ci peuvent également s'étendre au-delà des frontières nationales.
Malheureusement, dans le cas de constatations de manquements sérieux, les entreprises s'exposent à de lourdes sanctions. Ces dernières peuvent aller jusqu'à 20 millions d'euros ou jusqu'à 4% du chiffre d'affaires annuel mondial. Le montant le plus élevé sera retenu.

Avant même l'entrée en vigueur du RGPD, la loi fédérale allemande sur la protection des données (LPD) interdisait l'utilisation de données personnelles à des fins de test (données de test). Entre autres, en 2018, le RGPD a également augmenté les exigences conformes à la protection des données quant à l'utilisation du système de test. Et par conséquent de manière générale dans le domaine de la gestion des données de test. Pourtant, l'utilisation de données réelles dans les environnements de test est encore une pratique courante. Les solutions logicielles telles que les outils de gestion des données de test sont souvent utilisées au sein des entreprises pour maintenir la protection des données. (Source)

Identifier les menaces dans la gestion des données de test

Dans les environnements de test et de développement, l'accès est souvent accordé à beaucoup plus de personnes que dans le système de production. Outre les testeurs et développeurs internes, il peut s'agir de consultants externes. L'un des plus grands défis pour de nombreuses entreprises est d'empêcher des tiers non autorisés d'accéder aux données utilisées. C'est notamment le cas lorsque, à la suite de tests, les données sont transmises à des tiers, des quatrièmes parties, etc. pour analyse.

De manière générale, on peut dire que le stockage et le traitement des données personnelles et des données connexes sont interdits en raison d'exigences légales régionales, telles que le RGPD. Néanmoins, il existe des exceptions, par exemple, certaines entreprises se contentent d’utiliser un outil de gestion des données de test conforme au RGPD. (Source)

Quelles sont les exceptions au traitement des données personnelles ?

Une exception typique au traitement des données personnelles est le consentement à des fins d’exécution d'une relation commerciale. Les exemples les plus courants sont l'exécution d'une commande, la fourniture d'un service ou l'envoi d'une lettre d'information.

Dans d’autres cas, les entreprises sont susceptibles d'utiliser des données personnelles dans des environnements de test pour gérer les données de test. Pour cela, les personnes concernées doivent avoir accepté ou consenti à cette utilisation. Si les données ont néanmoins été utilisées sans consentement, cela représente dans un premier temps un changement de finalité, voire un détournement. Si des données réelles (données de test) sont absolument nécessaires pour le test, cela doit être justifié de manière étanche.

Si les données dans les environnements hors production sont d'abord rendues anonymes ou au moins pseudonymes, les testeurs et les développeurs sont toujours en mesure d'exercer leurs activités dans le respect des exigences légales. Les procédures telles que l'anonymisation ou la pseudonymisation sont réalisées à l'aide d'un outil de gestion des données de test. (Source)

C'est un moyen pour les entreprises d'assurer une gestion des données de test conforme au RGPD. Si le traitement des données personnelles repose sur une autre finalité que celle d'origine, alors le RGPD exige :

"...l'existence de garanties appropriées, qui peuvent inclure le chiffrement ou la pseudonymisation."

(Source : RGPD, article 6, paragraphe 4, point e)

Pris dans un autre sens, cet article indique que les données réelles ne doivent pas être explicitement utilisées à des fins de test ou à des fins similaires.

Principes de prévention des données, d'économie des données et de minimisation des données

Avec le principe de minimisation des données, le RGPD marque une étape décisive. L'article 25, paragraphe 1, stipule ce qui suit :

"Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, que présente le traitement pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre, tant au moment de la détermination des moyens du traitement qu'au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées, telles que la pseudonymisation, qui sont destinées à mettre en œuvre les principes relatifs à la protection des données, par exemple la minimisation des données, de façon effective et à assortir le traitement des garanties nécessaires afin de répondre aux exigences du présent règlement et de protéger les droits de la personne concernée."

(Source : RGPD, article 25, paragraphe 1)

Cette réglementation s'accompagne d'amendes. En soi, de nos jours, aucune entreprise ne peut ignorer l'utilisation d'un logiciel tel que Libelle DataMasking. Grâce à cet outil de gestion des données de test, l'utilisation des données de test peut être rendue conforme à la loi. Ainsi, il est possible de gérer des données de test conformément au RGPD es. (Source)

La gestion des données de test : Au-delà du domaine de la protection des données

La gestion des données de test ne concerne pas que la protection des données. Elle porte aussi sur la mise à disposition automatisée des données de test. C’est ce que propose notre équipe de choc Libelle SystemCopy et Libelle DataMasking. Réinitialiser les données après leur utilisation, enregistrer leur validité, leur âge et l'état de consommation des données de test sont également des éléments importants pour une bonne gestion des données de test.

Pour en savoir plus, découvrez notre article intitulé "Qu'est-ce que la gestion des données de test (GDT) ?" ou réalisez un test rapide sur la protection des données proposé par Libelle.


Articles recommandé
28 septembre 2022 Glossaire informatique de Libelle, partie 17 : Qu'est-ce que l'automatisation des processus informatiques ?
15 septembre 2022 Pourquoi les copies de système et l'anonymisation des données vont-elles de pair ?

Tous les articles du blog