A partir du 25 mai 2018, chaque entreprise de l’UE sera tenue de respecter la nouvelle réglementation générale sur la protection des données (RGPD). Avec cette disposition, toutes les données personnelles gérées par une entreprise devront dorénavant être consenties, justifiées et protégées. Et celle-ci devra être en mesure de prouver à tout moment qu’elle respecte effectivement cette réglementation. A défaut, elle s’expose à une amende qui pourra s’élever jusqu’à 4% de son chiffre d'affaire !

Pour se conformer au RGPD, la CNIL préconise de procéder en 6 étapes qui vont de la désignation d’un pilote chargé de la mise en oeuvre de la démarche, jusqu’à la documentation permettant à l’entreprise de prouver sa conformité.

Une fois le pilote désigné, l’étape cruciale est la cartographie de tous les traitements de données personnelles. Elle consiste à recenser de façon précise quelles sont les données personnelles que vous gérez : qui en est responsable ? où sont-elles stockées ? pour quelle finalité ? avec quelles mesures de protection ?

Les enjeux d’une cartographie des traitements

Le résultat de cette cartographie devra obligatoirement être consigné dans un registre des traitements. Toutes vos actions de mise en conformité devront s’appuyer sur cette première analyse, d’où son importance.

Mener ce type d’analyse à l’échelle d’une entreprise peut se révéler complexe car cela implique de coordonner des acteurs de différents services tout en gardant une vue d’ensemble à jour.

Tout d’abord il vous faudra trouver et collecter les informations relatives à ces données personnelles : dans quels processus métier sont-elles utilisées ? avec quelles applications sont-elles gérées ?  où sont-elles stockées ? avec quels traitements et quelles applications sont-elles éventuellement partagées ?

Ces informations vont être nécessaires pour identifier les traitements susceptibles de manipuler des données sensibles, puis pour mener une justification argumentée de leur respect des règles édictées par le RGPD. Il va donc vous falloir suivre une méthode d’analyse rigoureuse et gérer les caractéristiques des traitements de manière centralisée et collaborative afin de pouvoir les partager et les affiner au gré des analyses.

Les informations collectées lors de votre analyse seront également utiles pour mener à bien les transformations que l’entreprise devra potentiellement effectuer pour se mettre en conformité. Toutes ces informations sur la cartographie de votre entreprise et son système d”information pourront en effet servir à élaborer, sélectionner et piloter vos projets de transformation vers le niveau de conformité attendu.

Une fois la conformité établie et documentée, elle devra être maintenue et vivre avec l’entreprise. Les obligations relatives à la réglementation RGPD continueront évidemment à s’appliquer après le 25 mai 2018 et le registre des traitements devra donc être maintenu à jour en permanence au fil des inévitables évolutions métiers et applicatives que l’entreprise mène en permanence pour atteindre ses objectifs stratégiques.

Plus qu’une simple contrainte réglementaire, la mise en conformité du RGPD peut au contraire être vue comme une formidable opportunité pour commencer une démarche d’Architecture d’Entreprise. En plus de faciliter la cartographie de vos traitements celle-ci vous apportera un cadre d'architecture de référence pour vos futurs projets de transformation et la maîtrise de votre système d’information.

La CNIL propose un modèle de document Excel comme outil pour tenir une documentation interne complète sur vos traitements de données personnelles. Pensez-vous cela suffisant vous pouvoir maintenir dans la durée ces informations à l’échelle de votre entreprise ?

Une solution RGPD avec Obeo SmartEA

Pour vous permettre de cartographier efficacement vos traitements dans le cadre du RGPD, Obeo propose une solution outillée qui offre les bénéfices suivants :

• vous faciliter la production des registres de traitements, conformément aux formats attendus par les agents de contrôle

• vous permettre de mener plus efficacement vos travaux de mise en conformité grâce à la consolidation des données issues de l’analyse de votre existant (aussi bien organisationnel qu’applicatif)

• vous doter d’un référentiel pérenne qui permettra progressivement d’aborder d’autres types de transformation dans votre entreprise

Développée avec l’aide de consultants spécialisés dans le RGPD, notre solution s’appuie sur l’outil de cartographie Obeo SmartEA adapté aux besoins du RGPD.

Cet outil de cartographie des traitements RGPD permet de saisir de manière collaborative et visuelle les données relatives aux traitements et de produire automatiquement le registre correspondant, aux formats Excel, Word ou Web.

Une information commune à plusieurs traitements, telle que l’acteur qui en est responsable, ou une donnée personnelle manipulée en commun, n’est saisie qu’une seule fois. Si cette information est amenée à changer, par exemple l’adresse de l’acteur ou le niveau de criticité d’une donnée personnelle, celle-ci ne sera mise à jour qu’à un seul endroit et tous les registres pourront être re-générés en un seul clic.

Ces informations sont présentées de manière graphique, au travers de diagrammes spécifiques aux besoins RGPD. Ainsi, à la place d’une multitude de feuilles Excel, l’outil vous permet de visualiser en un coup d’oeil vos traitements et les données qu’ils manipulent.

Diagramme des données manipulées par les traitements

Le tout est stocké dans un référentiel centralisé, pouvant être partagé entre plusieurs personnes travaillant sur la mise en conformité RGPD : en premier lieu le délégué interne à la protection des données (Data Protection Officer), mais également toutes les autres personnes concernées, telles que les responsables métier des traitements ou les architectes applicatifs. Notre solution permet à ces acteurs d’interagir de manière collaborative sur ces informations.

A partir de celles-ci, les documents réglementaires peuvent être générés automatiquement. Il est également possible de générer des documents internes tels que des vues globales sur le travail de cartographie (nombre de traitements analysés, acteurs concernés, criticité des données manipulées par l’entreprise).

Tableau de bord Obeo SmartEA configuré pour le RGPD

Enfin, grâce aux fonctionnalités natives de Obeo SmartEA, vous pouvez élargir votre travail de cartographie au delà du périmètre strict du RGPD et vous servir de l’outil pour cartographier précisément vos processus, vos applications et votre infrastructure. En utilisant les principes d’une démarche d’Architecture d’Entreprise, vous pouvez vous servir de l’outil pour mener les analyses qui vous permettront d’identifier les traitements concernés par le RGPD, les informations personnelles qui sont concernées et leur finalités métier.

Diagramme d'analyse d'impact : infrastructure > applications > métier

Ce travail plus large fournit des informations très précieuses lorsqu’il s’agira de mener les éventuels travaux de mise en conformité. Avec notre solution, il vous sera possible d’élaborer des scénarios et de définir les trajectoires de transformation les plus pertinentes.

Obeo peut vous aider

Vous avez démarré votre projet RGPD et vous éprouvez des difficultés à cartographier votre existant et à gérer vos registres des traitements ?

Avec l’aide de nos partenaires spécialistes de la réglementation RGPD, nous pouvons vous accompagner à mettre en oeuvre Obeo SmartEA pour faciliter vos travaux d’analyse des données personnelles et les inscrire dans une démarche sur le long terme.

Du paramétrage des différents rôles des utilisateurs, jusqu’à l’adaptation des représentations graphiques et des rapports générés, en passant par une éventuelle reprise de vos données déjà existantes, nos consultants sont à votre disposition pour vous aider à déployer l’outil de manière itérative et pragmatique.