Le Règlement Général pour la Protection des Données (RGPD) est entré en vigueur le 25 mai. Pour vous mettre en conformité, voici nos conseils et solutions spécifiquement dédiés à SAP !
Si vous avez manqué notre webinar sur les différents outils mis à disposition pour les environnements SAP en termes de RGPD et de protection des données, alors vous êtes au bon endroit ! Cette article reprend les grandes lignes de notre présentation ainsi que des démos des différentes solutions apportées par Epi-Use Labs.
Car si le RGPD vient d’entrer en vigueur, ce règlement suscite beaucoup d’interrogations quant à la gestion des données dans les environnements SAP, notamment pour assurer par exemple le respect du droit à l’accès à ses données personnelles (Art. 15) ou du droit à l’oubli (Art. 17).
En effet, derrière une personne dans un système d’information se cache une multitude de données à caractère personnel qu’il est souvent difficile de localiser ou de dénombrer. Un élément de donnée peut ainsi être contenu dans une multitude de tables.
Par exemple, “Name1_GP” est présent dans 128 tables sous SAP S/4 !
Vient s’ajouter à cela la complexité inhérente à SAP : la multiplication des systèmes, des lignes de développement et de support, les environnements de BI, etc… De plus, il faut veiller à maintenir la cohérence des données, ce qui rend la question de leur “suppression” particulièrement sensible, car le simple archivage n’est pas toujours la bonne solution, eu égard à la nouvelle législation.
1. Le RGPD dans les environnement de test :
Data Secure
Toute organisation est maintenant tenue à une obligation légale d’assurer la sécurité des données personnelles qu’elle détient. Vous devez pouvoir garantir l’intégrité de votre patrimoine de données en minimisant les risques de pertes de données ou de piratage. De plus, il vous faudra rendre publique toute brèche de sécurité.
Or, les données hors production sont souvent peu sécurisées, et accessibles à de nombreux tiers. Au delà du RGPD, il fait sens de protéger ses données, ne serait-ce que d’un point de vue compétitif par rapport à d’autres organisations qui pourraient les consulter en cas de fuite.
Data Secure permet justement d’anonymiser des mandants et objets SAP. Cette solution permet de masquer toutes les données sensibles dans les systèmes non productifs pour répondre à ces exigences légales.
L’intégrité des données est toutefois maintenue : M. Dupont deviendra simplement M. Robert, ce qui rendra leur identification impossible. De nombreux autres champs peuvent être ainsi masqués, en fonction de règles préétablies ou personnalisées ( sélection des champs, méthode aléatoire, table de correspondance, etc.).
Avec Data Secure, vous disposez d’un contrôle total sur l’ensemble des données sensibles !
2. Le RGPD dans les environnements productifs :
Data Disclose
Les personnes dont vous traitez les données (clients, collaborateurs, prestataires, etc.) ont un droit d’accès à leurs données, ce qui implique de savoir où elles se trouvent dans une multitude de systèmes complexes. Il faut être en mesure de pouvoir répondre à leurs demandes de façon effective et dans un délai court (la CNIL recommande 1 mois maximum).
Data Disclose permet donc l’identification et la localisation des données à caractère personnel au sein de l’ensemble des systèmes SAP. L’application recherche, récupère et présente la totalité des informations demandées par l’utilisateur.
Data Redact
Le fameux “droit à l’oubli” est maintenant inscrit dans la loi, ce qui donne le droit à toute personne de “disparaître” de votre système d’information, à condition bien sûr ne pas avoir de raison légitime pour l’y maintenir (employé, client actif…). Mais comment supprimer des données dans SAP sans affecter la cohérence de l’information ?
Data Redact est une application spécialement développée pour répondre à la question du Droit à l’oubli. L’application permet d’effacer des données sans affecter l’intégrité référentielle. Les données ne sont alors plus identifiées et associées à un individu spécifique, cela n’affectant ni le reporting d’entreprise ni la cohérence des ces données au sein de SAP.
Data Retain
La durée de conservation des données personnelles est maintenant entre les mains de chaque organisation, qui doit déterminer le délai qui lui parait le plus juste, en fonction de la “finalité” de cette donnée.
Par exemple, un client inactif sans relation contractuelle depuis 10 ans ne se gérera pas de la même façon qu’un ancien employé parti depuis 10 ans mais dont vous gérez la retraite. Tout cela doit s’anticiper en amont, car faire le ménage a posteriori peut s’avérer être un terrible casse-tête.
L’application Data Retain permet ainsi de mettre en évidence de manière proactive les données sensibles pour lesquelles il est nécessaire de procéder à un masquage suivant des règles prédéfinies flexibles, sur une base périodique selon les besoins de l’entreprise. Une organisation pourra donc créer ses propres règles en termes de conservation des données.
