.
Depuis des mois que l’on en parle, finalement nous y sommes : au cas où vous l'auriez manqué, le RGPD est en vigueur depuis le 25 mai.
Que vous ayez réussi à vous mettre en conformité à temps ou que vous soyez encore en cours (ou même si vous n’avez pas encore commencé à vous pencher sur le sujet), une question importante se pose : comment maintenir dans la durée les registres des traitements et toutes les informations qui ont permis de les cartographier ? En effet, chaque entreprise est en évolution permanente, ce qui va nécessairement impacter les traitements existants ou en faire apparaître de nouveaux.
Pour déclarer les traitements, la CNIL propose un modèle de document Excel contenant un onglet par traitement et un onglet récapitulatif. Pour chaque traitement, il nous est demandé d’indiquer les informations suivantes :
- Les acteurs responsables du traitement
- Les finalités qui justifient ce traitement
- Les mesures de sécurité qui protègent les données manipulées par le traitement
- Les catégories de données personnelles ou sensibles manipulées par le traitement
- Les catégories de personnes concernées (clients, employés, administrés, …)
- Les destinataires des données, et plus particulièrement ceux qui résident hors de l’Union Européenne
Voici, ci-dessous, un exemple de déclaration d’un traitement que nous avons rempli pour déclarer l’envoi d’emailings dans une entreprise de voyage fictive (Voyage Discount) :
Si vous n’avez qu’une dizaine de traitements à cartographier, ce format Excel est tout à fait adapté. C’est le cas de la plupart des entreprises équipées d’un système d’information (SI) simple permettant de gérer les traitements classiques : gestion des employés (administration, paie, recrutement), gestion des droits d’accès (SI, bâtiments, …), gestion des clients et prospects (prospection, facturation, CRM, emailing, …).
Par contre, l’utilisation de fiches Excel trouve rapidement ses limites dès que l’on a affaire à un SI un peu plus complexe, avec de nombreuses applications, parfois redondantes, plus ou moins bien intégrées et déployées sur des filiales n’ayant pas toutes les mêmes processus métiers.
C’est également le cas lorsque les données personnelles des clients sont au coeur du métier de l’entreprise, puisque celles-ci font probablement l’objet de nombreux traitements spécifiques et interdépendants.
Les limites du format Excel sont d’autant plus criantes que le nombre et la complexité des traitements augmentent :
- Redondance et qualité des informations : certaines informations communes à plusieurs traitements sont recopiées dans plusieurs feuilles (ex: les coordonnées des responsables des traitements, les catégories de données manipulées, les destinataires). Les saisies multiples d’une même information sont source d’erreurs et de mauvaise qualité des informations (saisies différemment selon les personnes et le contexte). Au final, leur mise à jour devient un véritable casse-tête.
- Travail mono-utilisateur : un fichier Excel unique empêche plusieurs personnes de travailler en même temps. Sauf à découper le fichier en plusieurs sous-fichiers (par domaine métier par exemple), ce qui facilite encore moins la cohérence et la qualité globale des informations.
- Pas de traçabilité des informations : les traitements complexes nécessitent une cartographie détaillée qui va bien au-delà du format attendu par la CNIL. Pour être en mesure de remplir la fiche Excel, il est probablement nécessaire de décrire précisément les processus métiers qui sont en jeux, quelles sont les applications qui portent ces processus, comment elles communiquent entre elles, sur quels serveurs elles sont déployées, etc… Où et comment sont décrites toutes ces informations ? Comment les retrouver facilement depuis la description du traitement ?
- Visualisation limitée : les tableaux Excel ne sont pas toujours le meilleur moyen pour communiquer. Typiquement, on ne voit pas clairement les relations entre les différents types d’information, et encore moins les liens potentiels entre plusieurs traitements. Si l’on souhaite construire des représentations graphiques (diagrammes) avec un outil tel que Powerpoint ou Visio, cela nécessite de re-saisir graphiquement les informations concernées ... avec tous les risques de désynchronisation par la suite entre les données d’origine et chacune de leurs visualisations.
Pour y voir plus clair dans cet ensemble d’informations interdépendantes, nous avons opté pour une approche basée sur un référentiel de données partagées, adossé à un outil de modélisation graphique spécialement conçu pour cartographier une entreprise. Notre solution de gestion du registre des traitements a donc été créée en tant qu’extension de notre solution Obeo SmartEA.
Le référentiel permet à plusieurs utilisateurs de travailler en même temps. Un mécanisme très simple de collaboration permet de sécuriser l’activité de chaque utilisateur, en ne verrouillant que les données que celui-ci modifie. Les verrous sont automatiquement relachés lorsqu’il effectue sa sauvegarde. Il peut également verrouiller explicitement certaines données, s’il veut maintenir un verrou le temps d’effectuer plusieurs sauvegardes (plus d’informations sur ce mécanisme, dans cet article).
Au sein de ce référentiel, il est possible de déclarer des traitements grâce à un éditeur arborescent qui structure les informations à saisir selon l’organisation attendue par la CNIL. On retrouve ainsi les notions d’acteurs, de finalités, de données personnelles ou sensibles, de destinataires, etc…
Depuis cet éditeur, vous pouvez saisir de nouvelles informations et renseigner leurs propriétés RGPD selon le niveau attendu par la CNIL.
Vous pouvez également vous appuyer sur des informations déjà saisies pour d’autres traitements (par exemple un destinataire). Pour cela il suffit d’un simple drag&drop pour réutiliser des informations du référentiel.
Par exemple, ajouter le fournisseur Hébergeur Cloud parmi les destinataires des données d’un emailing.
Lorsqu’une donnée est ainsi partagée, en cas de mise à jour il suffira qu’elle soit modifiée une seule fois pour que les changements soit répercutés automatiquement sur l’ensemble des traitements concernés ainsi que sur toutes les représentations sur lesquelles elle figure.
Enfin, pour communiquer plus facilement sur les traitements que vous avez cartographiés, Obeo SmartEA vous permet de créer des vues graphiques sur-mesure. Pour cela vous pouvez créer des diagrammes et y déposer par simple drag&drop les informations relatives à un traitement particulier.
Lorsque vous avez besoin d’analyser un traitement de manière plus détaillée, Obeo SmartEA vous permet également de décrire d’autres aspects de votre entreprise. Vous pouvez ainsi cartographier précisément l’organisation en terme de filiales ou de services, , formaliser les processus métier, les applications, les flux de données, les serveurs, les sites géographiques, etc… Cette cartographie peut s’effectuer graphiquement pour vous permettre de mieux visualiser une réalité qui peut parfois s’avérer complexe.
Par exemple, dans le cas d’un envoi d’emailing, l'équipe marketing de l’entreprise Voyage Discount procède en deux étapes : elle commence par sélectionner dans le CRM les destinataires de l’emailing, en fonction de critères spécifiques, puis, à partir de cette sélection, elle crée une liste de cibles dans l’outil d’emailing. Une fois la campagne terminée, le CRM est mis à jour pour renseigner les mails invalides et les personnes qui se sont désinscrites. En analysant de manière plus détaillée cet échange entre les deux applications, on peut mettre en évidence deux informations importantes liées aux données personnelles :
- les applications CRM et Envoi d’emailing sont hébergées sur deux serveurs différents
- les applications ne sont pas intégrées, ce qui nécessite plusieurs opérations manuelles de requêtage et d’import/export de fichiers CSV via un troisième serveur.
Cette première analyse, nécessite donc d’aller un peu plus loin pour identifier précisément où sont localisés ces serveurs. Ce deuxième diagramme met en évidence que les données du CRM et du serveur de fichiers sont stockées sur deux machines déployées à Lyon, qui sont sauvegardées (backup) localement sur une troisième machine, qui est elle-même répliquée à Toulouse. Et que le serveur utilisé pour l’envoi d’emailings est localisé aux Etats-Unis. Un schéma permet de mieux comprendre la situation.
Dans le cadre du RGPD, l’entreprise Voyage Discount se doit donc de déclarer cet envoi d’informations en dehors de l’Union Européenne. Et pour déclarer les mesures de sécurité liées aux applications CRM et Envoi d’emailing, elle doit analyser les mesures mises en oeuvre pour sécuriser, non pas seulement deux applications, mais également cinq serveurs sur lesquelles les données sont stockées et les différents flux entre ces serveurs.
Toutes ces informations collectées dans le référentiel Obeo SmartEA peuvent être restituées et communiquées aux différentes personnes concernées dans l’entreprise afin de valider les constats et décider des actions à mener. Cette communication peut s’effectuer de plusieurs manières.
Soit par un accès web qui permet aux personnes autorisées de consulter les différents traitements et les représentations graphiques qui leurs sont associées.
Soit par l’intermédiaire d’un document MS Office généré automatiquement dans le format attendu par la CNIL, éventuellement augmenté par les analyses détaillées que vous aurez pu effectuer.
Enfin, pour vous permettre d’élaborer les transformations que pourraient nécessiter la mise en conformité RGPD au sein de votre entreprise (évolutions de procédures, changements de logiciels, ou renforcements des mesures de sécurité) Obeo SmartEA vous permet de gérer plusieurs branches (versions) dans votre référentiel. Ceci afin d'élaborer vos différents scénarios de transformation. La branche principale contient l’état actuel de votre entreprise, tandis que les autres branches décrivent des cibles ou des états passés.
Avec cette solution, vous êtes équipé pour gérer votre registre de traitements dans la durée, avec des données de qualité que vous pouvez partager tranquillement avec vos collègues … ou avec la CNIL en cas de contrôle.