samedi 17 mars 2018

Architecture de Protection des données personnelles dès la conception (Privacy by Design)

La Réglementation Européenne de Protection des données personnelles (GDPR alias RGDP) prévoit que, dès la conception des projets, ceux-ci soient conformes. Ce "Privacy by Design" est un disposition particulièrement économique et prudent pour les très nombreuses entreprises et organisations soumises à cette réglementation. En effet elle leur évite les coûteux frais d'adaptation, en particulier pour les applications informatiques qui représentent près de 70 % du coût de mise en conformité à la GDPR.


Composante architecturale du Privacy by Design


Le Privacy by Design se décline en de nombreux aspects (organisation, processus, juridique, sécurité informatique) qui concernent autant de responsabilités internes.
Parmi tous ces aspects, la composante architecturale est sans doute celle qui a le plus d'impact potentiel, le plus fort effet de levier. En effet la réglementation est transverse à l'entreprise, quelles que soient les personnes concernées (clients, salariés, prospects, partenaires, ..), et quels que soient les "traitements" et "finalités".

L'architecture Privacy by Design s'impose donc à toutes les organisations de l'entreprise : sa qualité fondera la qualité des solutions locales ou subsidiaires, ou, à contrario, ses défauts se propageront dans tous les domaines du SI de l'Entreprise.

Dans de grands comptes, il existe une équipe d'Architecture d'Entreprise : il lui revient en toute évidence, sauf à démissionner de son rôle, de définir le socle de conformité commun à l'Entreprise.
D'ailleurs, il serait pour elle illusoire de s'en remettre au marché des éditeurs et autres fournisseurs de service : ce marché est historiquement fragmenté et organisé face aux silos des métiers. Bien sûr chaque éditeur affirme qu'il répond au problème dans sa globalité. Mais il ne peut le faire de par sa position spécialisée. Et s'il propose une architecture globale, une architecture intégrée, elle pousse le client, d'intégrations en intégrations, à confier toutes les clés de son SI. Autre démission dangereuse sur un sujet hyper-sensible. Soyons lucides : les GAFA sont les mieux placés pour cette offre globale et transversale. No comment.

Le sujet parait d'ailleurs insoluble, tant les données personnelles se sont subrepticement localisées dans de nombreux domaines du SI, avec des duplications incontrôlées, des conservations non-gérées,...

Pourtant ...

Le modèle architectural de conformité


Du point de vue architectural, le sujet se divise, grâce à la cohérence de la réglementation, à l'application des canons de l'Architecture Flexible, en un problème architectural central majeur, et 4 problèmes subsidiaires.

La plateforme de conformité


La question majeure est celle de l'architecture de conformité : le principe est simple, mettre en commun l'ensemble des fonctions communes nécessaires, et les rendre les plus "génériques" possible. On aperçoit ainsi 3 dimensions de généricité :


  • par rapport aux différentes catégories de personnes (catégories dans la réglementation : clients, salariés, etc.)
  • par rapport aux différents "traitements" (répertoriés dans le registre légal article 30)
  • par aux différents droits des personnes (accès, consentement, oubli, portabilité, opposition, limitation, correction, ...)
Cette architecture de conformité, ainsi définie, est réduite : une cinquantaine de données réparties entre une douzaine de tables relationnelles ou équivalent, représentant un petit nombre d'objets génériques. Une "clé de voûte" de la conformité, strictement identique d'une organisation à l'autre. Dans l'optique du Privacy by Design, le respect de cette architecture est facile et peu coûteux, il se limite à des principes d'interface, par exemple par API, et de traçage par des "puits d'événements" dédiés.

Les 4 "façades" : des conformités subsidiaires


Dans le modèle architectural de conformité, dont la plateforme constitue l'élément central pour toute l'organisation, celle-ci interfonctionne avec 4 façades. Ces façades sont des domaines d'intégration orientés vers 4 problématiques spécifiques. Elles sont, dans une vision globale et systémique, les suivantes:


La façade personne : intégrer aux différents canaux d'interactions avec les personnes, et quelles que soient les variantes technologiques, les prescriptions de la réglementation pour informer, recueillir les demandes de droit, mettre à jour les consentements, etc... Certes cette intégration se subdivise selon les catégories de personnes (en particulier celles qui sont référencées dans le registre obligatoire au titre de l'article 30), et soulève les classiques sujets de référentiel des personnes, de cohérence, voire de subsidiarité. La GDPR peut être une opportunité, ou non, de faire le ménage dans cette "façade personnes". A tout le moins, dans le Privacy by Design, on alignera le CRM, la GRH, le marketing, aux modalités d'interaction exigées par la réglementation.

La façade des traitements a une autre dimension de complexité, car les traitements sont dispersés dans les applications "métier" diverses et variées. Il faudra ici appliquer le cœur de l’exécution des droits, conforme aux consignes générales (frugalité, limitation de la conservation, ...) et appliquant les droits demandés par les personnes. Dans le Privacy by Design, grâce à la plateforme, bien des aspects sont simplifiés, et l'effort "urbanistique" sera de répondre aux demandes des personnes (accès, correction, portabilité, ...), et en respectant le protocole porté par la plateforme. Dans l'absurde, si un tel effort n'est pas imposé aux projets, on créerait une coûteuse dette d'urbanisme.

La façade des modèles, regroupe la description du patrimoine SI bien connue des Architectes et des Data Officer : on y décrit les applications, les données, les processus. Ces informations sont précieuses pour formater le registre, et orienter l'accès aux données. Là aussi il faudra mettre en place les interfaces, les API, les points de vérité, pour relier les métiers (Architectes, responsables de traitement, DPO, CDO, ...) autour d'un équilibre de gouvernance intégrant les conformités qui s'imposent à l'organisation (GDPR, LCB-FT, et conformités sectorielles).

La façade DPO, de protection des données, est dédiée, quant à elle, aux métiers de la protection (Data Protection Officer, responsables de traitements, RSSI, ...). Elle doit aussi impérativement être outillée, autour du registre obligatoire qui en est l'élément clé. Ce registret ne doit pas se limiter à un rôle documentaire passif : il est le composant informatique central de l'architecture et du Privacy by Design, interfonctionnant par API avec la plateforme et la façade des modèles. Le registre est le point de vérité sur les traitements, finalités, catégories de personnes et de données.


Un projet inter-entreprises


La description ci-dessus est rapide, trop dense... elle montre une voie. Le Laboratoire du Club Urba-EA a engagé ce chemin avec l'aide de 6 Grandes Organisations (ACOSS, Agrica, Aéroports de Paris, Banque de France, Harmonie mutuelle, RATP)  et de 3 éditeurs (DPO Consulting, Axway, Orchestra Networks).

Une première étape est franchie. Les enjeux sont importants pour tous, enjeux de société, enjeux de coût, de délai, de faisabilité. Nous n'avons maintenant plus de doute sur le modèle : il faut aller plus loin et prolonger ce mouvement avec un plus grand nombre d'Entreprises et Organisations qui y trouveront une réponse opérationnelle, simple et efficace, et se l'approprieront en l'intégrant à leurs spécificités métier.

Rapprochez-vous du Club Urba-EA pour connaître les modalités d'adhésion à ce groupe.

Contact : René Mandel ou Marcyal Courtoux

Ce projet a été présenté lors de la demi-journée sur les Données Personnes et Architecture des Systèmes d'Information organisée le 10 avril après-midi à Paris, ouverte à tous, programme :


Le modèle French-Road : confiance et maturité digitale,
Emmanuel PESENTI Président de French-Road

L’accélérateur GDPR du Laboratoire du Club Urba-EA, architecture Data Centric : extension, adaptation et intégration
René MANDEL, Vice-président du Club Urba-EA, promoteur du projet, Nicolas CHEVALIER, Architecte d'Entreprise

Mise en œuvre du Règlement RGPD à l'Insee
Patrick REDOR, chef de l'Unité affaires juridiques et contentieuses, Insee

Droit à la portabilité du RGPD : quelles nouvelles opportunités ? Le Self Data et le projet « MesInfos »
Manon MOLINS, Fing (Fondation Internet Nouvelle Génération)

FranceConnect, facilitateur de la mise en place de la RGPD pour les services publics : principes, démonstration
Guillaume HARRY de la direction interministérielle du numérique et du système d'information et de communication de l'État (DINSIC), Responsable produits FranceConnect

Evolution de la protection des données personnelles : perspective par l’Association Française des Correspondants à la Protection des Données à caractère Personnel AFCDP :
Marie Noëlle SEHABIAGUE, Directeur et Cil mutualisé Cnaf et Caf, administrateur de l’AFCDP








3 commentaires: