Règlement européen sur la protection des données : Comment cette réglementation impact l’environment Big Data ?

Par défaut

Le jeudi 29 novembre 2019, je suis parti à un meet-up organisé par Matem, une SSII basé à Neuilly sur Seine. Le thème du meetup était le suivant « RGPD : Comment cette réglementation impact l’environment Big Data ?« 

Ce fut une occasion pour moi d’en apprendre un peu plus sur cette législation qui impact  tous les sociétés qui gèrent le traitement des données et de leur conservation, transmission et transformation. Les intervenants furent

Abdesatar Hammedi : Practice Manager BI et Big Data chez Matem

Sébastien Oueslati : Directeur adjoint du pole sécurité chez Humanis

Javier Franco Contreras : Président de Watoo

Je vais me concentrer sur les 2 premières interventions dans ce post.

Meetup RGPD

Arrivée dans les locaux : Le meet-up a débuté vers 19.30

imag1469

 

L’Agenda : 

Pourquoi gouverner les données ? – L’impact du Big Data et du cloud

Programme de mise en conformité – Quand et de quel manière traiter la problématique et les difficultés rencontrées

Présentation des solutions – Axé sur le tatouage numérique

 

1ère partie : Pourquoi gouverner les données ? – L’impact du Big Data et du cloud

imag1470

Présentation par Abdesatar Hammedi

Pourquoi gouverner les données ?

Avec la transformation numérique, notamment avec la collecte d’informations de divers sources que sont les mobiles, les équipements connectés entre autres, il est devenu indispensable de penser à la mise en place d’une gouvernance des données.

Le data est devenu indispensable pour beaucoup d’entreprises, d’organismes et de gouvernements. La collecte de données privés entrainent des conséquences dans la manière dont le partage de ces données se fait.

imag1472

Pourquoi gouverner les données ?

La valorisation du patrimoine data entraine des usages qui doivent respecter un périmètre bien défini sur les points suivants
Partage des données
Sémantique
Propriété
Confidentialité
Accès
Sécurité
Evolution

imag1473

On a ensuite eu un rappel sur les grands principes du RGPD, notamment sur les fondements que sont

La loi de 1978

La Directive 95 – 86 europe

imag1474

L’importance des acteurs participant dans la gouvernance fut décrit, aussi bien les acteurs internes qu’externes à l’entreprise. Le Chief Data Officer a un role essentiel à jouer dans ce registre.

 

imag1476

Une liste d’étapes pour se préparer à la GDPR fut décrit, comme un rappel aux entreprises qui ne sont pas encore en conformité

Désigner, Cartographier, Prioriser, Gérer, Organiser, Documenter

Le bilan après 6 mois fut discuté notamment avec des chiffres sur le nombre de controles et de violations notifiés à la CNIL.

imag1479

 

imag1481

Centralisation des données – une stratégie ?

Avec la diversité de sources, une stratégie de centralisation peut etre une solution.

Recuperation des données de l’application référentiel, des applications métiers et des sources externes. Passer par une étape de Data Ingestion. Ensuite récupérer les données brutes ’’Le Raw Data’’. Viennent ensuite les étapes de normalisation et d’optimisation de ces données.

imag1483

Avoir une SI Data Centric est aussi essentielle dans la mise en oeuvre de cette réglementation, qui englobe les domaines suivants

L’organisation

Roles, les responsibilités, les socles logiciels et données, usages projets.

Pratiques

Architecture, développements, tests

Pratiques d’exploitation ( multi-usage, multi-tenant,DevOps,sauvegardes..)

Gouvernance

Données ( connaissance, cycle de vie, accès, qualité )

Socle ( cycle de vie initier-construire-run, financer, Roadmap )

Usages ( connaissances, réutilisation,évolutions..)

Conformité et règles éthiques

Sécurité

Accès à la donnée, habilitations, usages

Anonymisation, archivage

Technologies

Compétences logiciels ’’Big Data’’

Pratiques de conception-dev associées

Infrastructures

Architecture

Architecture fonctionnelle SI

imag1484

Le thème de la gouvernance des données fut discuté en peu plus en profondeur, notamment sur les nouveaux savoir-faire et process au niveau SI, les usages et la maitrise de l’information.

imag1485imag1487

La plateforme de conformité, une architecture conceptuelle

imag1489

 

2ème partie : Programme de mise en conformité – Quand et de quel manière traiter la problématique et les difficultés rencontrées

Présentation par Sébastien Oueslati

Cette deuxième partie fut consacré à un retour d’expérience sur la mise en place du RGPD, au sein du groupe Humanis.

Le contexte fut décrit, notamment sur les métiers du groupe et ses filiales

imag1492

 

 

imag1494

 

imag1495

Un inventaire des données sensibles traités par l’entreprise fut présenté, notamment

Le NIR, l’appartenance syndicale, les données de santé, les données de sécurité, les données relative aux effractions et condamnations pénales et mesure de sureté, conditions de ressources financières ou matérielles, les données relatives aux difficultés sociales des personnes, les données d’identification, les situations de famille et statut, le dossier professionnel, les données relatives aux recrutement et les dossiers d’embauche, la géolocalisation, les données de badgeage, les enregistrements des conversations téléphoniques, correspondances privés.

imag1496

La Démarche

imag1502

Les résultats obtenus et une définition des prioritées

imag1504

 

Le programme : De quel manière il a été traité ?

imag1505

 

Le programme : ses thématiques

Les droits des personnes, notamment la gestion du consentement, la gestion des cookies sur les sites et applications, la revue des mentions d’informations

imag1508

 

 

imag1509

La responsabilité des acteurs ( Accountability )

imag1510

 

Le programme et les difficultés rencontrésimag1511

Le cas du consentement des données de santé

imag1513

Comment concilier RGPD et Big Data ?

imag1514

Conclusion

Assez simple…celles qui étaient conformes aux lois informatique et libertés de 1978 et celles qui ne l’ètaient pas.

Dans le premier cas, le RGPD est une évolution réglementaire et dans le deuxième cas, c’est une révolution !

imag1515

 

Expérience personnelle de la mise en place du RGPD

J’ai eu à participer activement dans la mise d’une partie de cette réglementation au sein du groupe Fnac Darty. J’ai participé à l’évolutions d’une solution web pour la prise en compte de la gestion et du cryptage des mots de passes, la réinitialisation et la récupération du mot de passe et les techniques de blocage et de vérrouillages des comptes.

Répondre

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l'aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s