GDPR : se préparer au Règlement Européen sur la Protection ... GDPR : SE PRÉPARER AU RÈGLEMENT EUROPÉEN SUR LA PROTECTION DES DONNÉES LE 21 NOVEMBRE 2017 ... •Désignation

© 2016 ASG Technologies Group, Inc.All rights reserved

GDPR : SE PRÉPARER AU RÈGLEMENT

EUROPÉEN SUR LA PROTECTION DES

DONNÉES

LE 21 NOVEMBRE 2017

ALAIN BUENO, SALES SPECIALIST ASG-DATA INTELLIGENCE


Introduction – A propos d’ASG Technologies

Cas d’utilisation: le GDPR

Les enjeux de la Gouvernance des Données

ASG-Enterprise Data Intelligence

AGENDA


L'accès, la gestion et le contrôle des informations d'ASG Technologies garantissent la sérénité de votre entreprise.

Vous gagnez en visibilité quels que soient vos environnements hérités ou de pointe.

COLLABORATEURS

CA ANNUEL

PAYS

70%DES FORTUNE 500 UTILISENT

LES SOLUTIONS ASG

À PROPOS D’ASG

240M+

INVESTISSEURS

EVERGREENCOAST CAPITAL


Digital Workspace

Management

AGILITÉ

Enterprise Data

Intelligence

Enterprise Content

Management

MAÎTRISE DES RISQUES

Performance

Operation

Infrastructure

Management

RÉDUCTION DES COÛTS

OFFRES ASG

BÉNÉFICES

DOMAINESD’EXPERTISE

NOTRE FOCUS

75% des organisations disent

qu‘elles auront du mal à être prêtes pour la date limite

LE COMPTE A REBOURS DE LA CONFORMITÉ GDPR

SEULEMENT 1 SUR 4 DES

SOCIÉTÉS INTERROGÉES SAIT OÙ RÉSIDENT SES DONNÉES

PERSONNELLES

77%

* Etude PwC GDPR preparedness pulse survey, 2016

90%

des organisations pensent

que la conformité impacte fortement leur activité

75% des organisations disent

qu‘elles auront du mal à être prêtes pour la date limite

LE COMPTE A REBOURS DE LA CONFORMITÉ GDPR

SEULEMENT 1 SUR 4 DES

SOCIÉTÉS INTERROGÉES SAIT OÙ RÉSIDENT SES DONNÉES

PERSONNELLES

77%

* Etude PwC GDPR preparedness pulse survey, 2016

90%

des organisations pensent

que la conformité impacte fortement leur activité

GDPR: DISPOSITIF GLOBAL

Organisation et compétencesRôle et responsabilités

Règles et procéduresTransparence et exercices de droit:le droit d’accès, le droit à l’effacement, le droit d’opposition, le droit à la portabilité et le droit à la limitation

Traitements

Outils et moyens techniques• Registre des activités de traitement,• Profilage, • Chiffrement,• Analyse d’impact, …

Politiques• Principes relatifs aux traitements des données

à caractère personnel • Principes relatifs aux transferts de données

Données à caractère personnel (DCP)

• Nom• N° d’identification• N° d’identification en ligne• Données de contact • Données de localisation• Condamnations pénales aux

infractions• Origine raciale et ethnique• Opinions politiques• Convictions religieuses et

philosophiques• Appartenance syndicale• Données génétiques• Données biométriques• Données de santé• Orientation et vie sexuelle• …

LE REGISTRE DES ACTIVITÉS DE TRAITEMENT

ORGANISATION

• Désignation du Délégué à la Protection des Données (DPO)• Stewardship (identification des rôles et responsabilités)• Organisation de la gouvernance des DCP• Préparation aux audits

OPERATIONS

• Recensement des DCP• Classification: degré de sensibilité, criticité et niveau de

partage• Localisation des données en fonction de la

classification• Identification des moyens protection (techniques et

humains)• Evaluation des pratiques internes et analyse d’impact• Mise en œuvre des modalités de contrôle

JURIDIQUE

• Formalisation des accords et des contrats de partage des données

• Création ou mise à jour des mentions d’information dans les contrats

• Information, formation et sensibilisation des nouveaux rôles et autres acteurs des traitements des DCP

IT

• Dictionnaire sémantique des DCP avec les rôles et responsabilités sur les données, les classes de risques

• Registre des activités de traitements, avec les rôles et responsabilités sur les traitements (RT = resp. de traitement, ST = sous-traitant,…)

• Référentiel des accords et des contrats de partage des données

LE REGISTRE DES ACTIVITÉS DE TRAITEMENT

ORGANISATION

• Désignation du Délégué à la Protection des Données (DPO)• Stewardship (identification des rôles et responsabilités)• Organisation de la gouvernance des DCP• Préparation aux audits

OPERATIONS

• Recensement des DCP• Classification: degré de sensibilité, criticité et niveau de

partage• Localisation des données en fonction de la

classification• Identification des moyens protection (techniques et

humains)• Evaluation des pratiques internes et analyse d’impact• Mise en œuvre des modalités de contrôle

JURIDIQUE

• Formalisation des accords et des contrats de partage des données

• Création ou mise à jour des mentions d’information dans les contrats

• Information, formation et sensibilisation des nouveaux rôles et autres acteurs des traitements des DCP

IT

• Dictionnaire sémantique des DCP avec les rôles et responsabilités sur les données, les classes de risques

• Registre des activités de traitements, avec les rôles et responsabilités sur les traitements (RT = resp. de traitement, ST = sous-traitant,…)

• Référentiel des accords et des contrats de partage des données

Garantir l’accès, le contrôle et la gestion des informations du

GDPR dans la durée

LES ENJEUX DE LA GOUVERNANCE DES DONNÉES

COMPÉTITIVITÉ

Initiatives stratégiques:

• Accompagner les orientations Business

• S’ouvrir plus largement sur son Ecosystème

(Clients, Partenaires…)

CONFORMITÉ

Les Gouvernements imposent :

• Sécurité des informations

• Protection des données

• Respect de la règlementation (e.g. RGPD,

Solvabilité II, Bâle II & III)

LES 4 CHALLENGES CONSTATÉS

• Gouverner les données critiques : Accéder à l’information certifiée et utiliser un langage commun

• Comprendre d’où vient la donnée, comment elle est fabriquée

• Fournir l’information qualifiée aux décideurs• Maintenir l’information à jour

AUTOMATISATION

• Analyse automatique des flux

•Workflows paramétrables

• Pilotage du référentiel

•Gestion du cycle de vie

• Diffusion de l’information


DÉFI N°1 LA CONVERGENCE DU MÉTIER ET DE L’IT

Evolution similaire des défis et des besoins

• Politiques• Standards• Règles Métier• Evènements Métier• DCP

Métier

• Eléments données critiques• Données de Référence • Règles ETL• Rapports BI • Source des fichiers• Data Profiling Metrics

I.T.

Processus de collaboration Métier/IT

Opérationnalisation de la Gouvernance des données


DÉFI N°2 COMPLEXITÉ CROISSANTE DES SI

Identifier ses données personnelles et retrouver ses archives sont des challenges…

• Mainframe• Distribué• Big Data• RDMBS• BI

TECHNOLOGIES ARCHITECTURE

• EDW• ERP• Big Data Lake• MDM Hubs• Data Governance

DÉPLOIEMENT

• On Premise• Cloud• Off-Shore

ARCHIVAGE

• Multi plateformes• Multi formats• Gestion des Records

L’APPROCHE ASG POUR ADRESSER GDPR


ÉTAPES TÂCHES ET MISSIONS

1Désigner un DPO

• s’informer sur le contenu des nouvelles obligations;• sensibiliser les décideurs;• réaliser l’inventaire des traitements de données ;• concevoir des actions de sensibilisation ;• piloter la conformité en continu.

2Cartographier /Inventorier

• Les différents traitements des DCP; • Les catégories des DCP; • Les objectifs des opérations de traitements de données ;• Les acteurs (internes ou externes) qui traitent ces données;• Les flux des DCP (origine et destination).

3 Prioriser

1. Ciblage des données strictement nécessaires.2. Identification des traitements.3. Révision des mentions d’information.4. Mises à jour des contrats avec les sous-traitants.5. Mise en place des modalités d'exercice des droits des personnes concernées.6. Vérifiez les mesures de sécurité mises en place.

CNIL - RÈGLEMENT EUROPÉEN : SE PRÉPARER EN 6 ÉTAPES

Automatisé par ASG


ÉTAPES TÂCHES ET MISSIONS

4 Gérer les risques

• description du traitement et de ses finalités,• évaluation de la nécessité et de la proportionnalité du traitement,• appréciation des risques sur les droits et libertés des personnes concernées,• les mesures envisagées pour traiter ces risques et se conformer au règlement.

5 Organiser• Privacy by design & by default; • traiter les réclamations et les demandes des personnes concernées• d'anticiper les violations de données en prévoyant les notifications.

6 Documenter

• Le registre des traitements ;• Les analyses d’impact sur la protection des données (PIA); • L'encadrement des transferts de données hors de l'Union européenne;• Les mentions d’information;• Les modèles de recueil du consentement des personnes concernées;• Les procédures mises en place pour l'exercice des droits;• Les contrats qui définissent les rôles et les responsabilités des acteurs;• Les contrats avec les sous-traitants• Les procédures internes en cas de violations de données;• Les preuves que les personnes concernées ont donné leur consentement lorsque

le traitement de leurs données repose sur cette base.

CNIL - RÈGLEMENT EUROPÉEN : SE PRÉPARER EN 6 ÉTAPES

Automatisé par ASG

SUPPORT À LA CONFORMITÉ

Preuves, rapports d’audit automatiques

GESTION DU PATRIMOINE DES DONNÉES

GOUVERNANCE / QUALITÉ

DÉCOUVERTE AUTOMATIQUE

TAGGING DES DONNÉES

TRAÇABILITÉ ZÉRO GAP

Référentiel de l’entreprise: modélisation métier, workflows, gestion des incidents, pilotage du référentiel

Trouver tous les endroits où les DCP sont référencées ou utilisées

Identification des DCP dans le SI

Tracer les mouvements et analyser les transformations de données pour identifier toutes les instances de DCP

Chapitres RGPD:

✓Assurance Qualité

✓Cartographie

✓Gestion des modifications

✓Registre des Traitements

✓Traçabilité

LE POUVOIR DES 3: DONNÉES, METADONNÉES ET LINEAGE

EMAIL_IDADDRESS_ID

USER_IDINPUT: EMAIL

ROBUSTESSEEXTENSIBILITÉ

Support de volumétrie conséquente avec la garantie de performances optimales.

GESTION DU PATRIMOINE DOCUMENTAIRE

SÉCURITÉ

INTEROPÉRABILITÉ

PRODUCTIVITÉ

GOUVERNANCE CYCLE DE VIE

Automatisation des droits d’accès et de distribution. Encryption et Anonymisation des contenus.

Capacités intégration évoluées.Réduction de la complexité opérationnelle.

Restitution efficace et contextualisée des archives.

Gestion des politiques de conservation et automatisation des traitements d’effacement. Audit constant des évènements associés aux archives.

Chapitres RGPD:

✓Anonymisation

✓Droit à l’effacement

✓Droit à l’oubli

✓Droit à la portabilité

✓Encryption

✓Protection des DCP


Data Lineage

Information Supply Chain

Data Centric Org

Infonomicsand Monetization

VISION ASG: ÉVOLUTION DE L’ARCHITECTURE DE L'INFORMATION

“Avec l’argent on peut acheter des “choses". Avec l’Information on peut accéder à des idées, des relations, de la performance et des choses. En décloisonnant la gestion des données (organisation en silos) vous obtiendrez des informations d’une plus grande valeur.“

Laney, Douglas B.. Infonomics: How to Monetize, Manage, and Measure Information as an Asset for Competitive Advantage

Construire la ValeurÉconomique des

Données


ASG-DI: UN SOCLE COMPLET DE GOUVERNANCE DES DONNÉES

• Établir le glossaire métier

• Établir des politiques, des processus, des procédures, des normes

• Identifier et documenter les règles métier

• Assurer la bonne source des données

MÉTIER

• Compléter les métadonnées

• Gérer l’évolution des flux de données automatiquement

• Comparer les nouvelles analyses à la production

• Analyser comment les données sont déplacées/transformées

• S'assurer que l'ETL répond aux exigences de l'entreprise

TECHNIQUE

• Lier les objets métier aux données physiques

• Établir les Données Critiques (Critical Data Elements)

• Assurer l'alignement entre les données physiques et techniques

• Affichage et résolution des problèmes de données (Remédiation)

HYBRIDE

ASG-ENTERPRISE DATA INTELLIGENCE: CAS D’UTILISATION

Glossaire(s) Métier

Reference Data Management

Patrimoine Applicatif

Dictionnaire Technique des Données

S y s t è m e d' I n f o r m a t i o n

V i s i o n e x h a u s t i v e d e s M é t a d o n n é e sQualité

CodeData

Quality

Applications

MainframeDistribuéBig Data

Données Transformations Data WarehouseBusiness

Intelligence

Data stagingArea

Data MartODS

SGBDFichiers

Données externes

ReportOLAP

Data Mining

Traçabilité des Données « Zero Gap »

Language commun

Traçabilité des données

Analyse d'Impact

Gestion des valeurs

Analyse d’impact

ASG-DI


POUR UNE RÉELLE CONVERGENCE MÉTIER & IT

Politiques

ProcéduresRègles SLA’s

Contrôles EvènementsTermes MétiersStandardsRegistre

/ Glossaire

FONCTIONNEL

Source authentifiée

IT / Dictionnaire

technique des données

Critical Data Elements

Mise en œuvre via les données personnelles (Critical Data Elements)

TECHNIQUE


LA GOUVERNANCE POUR TOUS

DATA STEWARDS• Assigner des Rôles• Implémenter les Workflows• Assigner des tâches• Gérer les anomalies

DATA SPECIALISTS/OWNERS• Comprendre les données• Investiguer et rectifier les

remédiations• Collaborer avec les Data Stewards,

le métier et les Citizen Data Scientists

Les tableaux de bord

permettentde piloter

l’efficacité du programme

L’automatisationdes tâches et la

mise à jour automatique des

lineages techniques

permettent de maîtriser les

données

Le puissant moteur de

workflows permetde s’aligner sur les

organisations

Notificationsautomatiques

UTILISATEURSMÉTIER

• Trouver, comprendre et utiliser les données

• Identifier et signaler les anomalies

• Être automatiquementnotifiés des changements

GOUVERNANCE DES DONNÉESDÉCOUVERTE ET

COMPREHENSION DES DONNÉES


MISE EN ŒUVRE D’ASG-DI

• Une interface web conviviale

• Visualisation des flux de données à travers l’entreprise

• Ciblés pour les utilisateurs métiers et les propriétaires/responsables de données (data stewards)

• Inventaire des métadonnées, analyse, traçabilité/flux

• Gouvernance des données – responsables /processus

• Glossaires métier, gestion des données de référence

• Gestion des problèmes, intégration de la qualité des données

• Inventaire automatisé des métadonnées du patrimoine des données

• Couverture et étendue inégalées – plus de 220 scanners disponibles

• Supporte les environnements distribués, Mainframe et Big Data

RÉFÉRENTIELAPPLICATIF

& METADONNÉES

SCANNERSCAPTURER D’AUTRES

SOURCES

Supporte tout type de navigateur

Sur site ou hébergé chez le partenaire

Sur site ou hébergé chez le partenaire

13

Documents

GDPR : se préparer au Règlement Européen sur la Protection ... GDPR : SE PRÉPARER AU RÈGLEMENT EUROPÉEN SUR LA PROTECTION DES DONNÉES LE 21 NOVEMBRE 2017 ... •Désignation