News

Le RGPD, c'est plus que du double opt-in


26 août 2020

GDPR

Le GDPR de l'UE entre maintenant en vigueur. Cependant, selon une étude DSAG de février 2018, seul un pourcentage à un chiffre des entreprises utilisatrices de SAP est réellement préparé.

De nombreux sujets évidents tels que le double opt-in ou le droit à l'information ont été abordés à de nombreuses reprises dans diverses publications, et il existe différentes approches quant à la manière dont on devrait ou pourrait y réagir.

Cependant, il ne faut pas non plus négliger les domaines moins fréquemment abordés, car ils sont souvent plus difficiles à répondre à première vue. Il s'agit notamment du droit à l'oubli (art. 17) et de la sécurité du traitement (art. 32), qui se décompose à son tour en objectifs de protection tels que la confidentialité, l'intégrité et la disponibilité.

Toute personne a donc le droit de savoir, dans un délai raisonnable, quelles données sont stockées dans les bases de données de l'entreprise et dans quel but. Avec un modèle de données approprié et des requêtes ou des outils adéquats, on peut aussi répondre à cette question de manière merveilleuse. Jusqu'à présent, tout va bien.

Disponibilité des données personnelles

Mais que faire si le système n'est pas disponible au moment le plus inopportun ? Que se passe-t-il si, suite à une restauration forcée d'un seul système, les données sont soudainement incohérentes avec les autres systèmes ?

Avec Libelle BusinessShadow, Libelle AG propose une solution qui permet de cartographier les scénarios de disponibilité et de catastrophe au niveau logique. L'avantage : non seulement le RPO et le RTO, mais aussi spécifiquement le RCO (Recovery Consistency Objective) garantissent que les entreprises sont globalement en mesure de fournir à nouveau des informations avec des stocks de données cohérents après le délai le plus court possible.

Effacement/blocage des données personnelles : Le droit à l'oubli

Que se passe-t-il si, en plus, les individus souhaitent exercer leur droit à l'oubli ?

S'il n'y a plus de relation commerciale en cours, l'entreprise doit s'assurer régulièrement que les données personnelles ne sont plus stockées dans le système. D'autre part, il existe également des obligations légales de conservation pour lesquelles même les relations commerciales terminées doivent rester traçables.

Avec sa Master Data Services Suite (MDSS), Libelle AG fournit un ensemble d'outils qui fonctionnent avec un coffre-fort de données. Les données de base dont le cycle de vie est terminé du point de vue du GDPR sont stockées dans ce coffre-fort - à la fois déterminées automatiquement sur une base régulière et déclenchées explicitement. Seul un avis de suppression/blocage sera visible dans les données productives, tandis que les données réelles dans le coffre-fort de données ne seront accessibles qu'aux personnes ayant un intérêt légitime supplémentaire.

Confidentialité des données personnelles

Outre le droit à l'oubli, la question de la limitation de la finalité des données à caractère personnel est également un sujet important. Seules les données nécessaires à la réalisation de la finalité spécifique de l'entreprise et d'un groupe de personnes ayant un intérêt légitime peuvent être traitées. Dans les environnements productifs, il s'agit d'une question de procédure ou d'organisation et, bien entendu, de gestion des autorisations.

Mais qu'en est-il des environnements non productifs ? Dans la pratique, les systèmes Q/projet/formation sont toujours mis à jour avec des copies de systèmes classiques. Ergo : des données productives dans des environnements non productifs. En général, un grand nombre de personnes non autorisées (développeurs, consultants, administrateurs) ont accès aux données réelles. Peut-être pas mis à jour quotidiennement, mais toujours clairement personnalisé. Les possibilités de restreindre l'accès non autorisé aux données confidentielles : soit un concept d'autorisation global analogue à celui des environnements productifs, qui, toutefois, est souvent en contradiction avec l'objectif des environnements non productifs. Ou faire en sorte que les données personnelles réelles deviennent précisément ce dont ces systèmes ont besoin : Données d'essai. L'approche consiste ici à anonymiser les données réelles afin qu'elles n'aient plus de référence personnelle concrète.

Toutefois, il faut encore veiller à la signification et à la cohérence logique, à l'intérieur du système ainsi qu'au-delà des frontières du système dans le paysage.

Libelle AG offre également un outil pour cela avec Libelle DataMasking (LDM), qui anonymise les données sur les systèmes non productifs et les paysages de systèmes d'une manière significative et logiquement cohérente. Cela signifie que les processus d'entreprise peuvent continuer à être testés de bout en bout à leur guise.

Article suivant Article précédent
Plus de nouveaux articles
26 août 2020 BadenIT – Le cache découple les systèmes | Solution: Libelle DBShadow
26 août 2020 Cohérence des données en cas de sinistre (sécurité informatique)
26 août 2020 Fault Clearance Unit | Libelle SABMON - Surveillance des données système et commerciales (itmanagement)

Tous les nouveaux articles