Automatisation de la confidentialité du RGPD pour les PME
Qu’ont en commun les services qui traitent des données relatives à la santé et à la sécurité sociale, la relation-client d’un concessionnaire automobile ou les agences immobilières qui utilisent des services hébergés sur le cloud? Depuis mai 2018, ils font l’objet du règlement général sur la protection des données (RGPD). Ou, peut-être pour être plus précis, l’arrivée d’une charge supplémentaire occasionnée par la création des procédures opérationnelles de conformité du RGPD. La question est bien documentée, mais pas encore complètement résolue. Atteindre la conformité du RGPD est loin d’être simple, particulièrement pour les PME qui possèdent des ressources et un savoir-faire limités. Chaque jour, les entreprises font face à de telles interrogations à propos de l’interprétation des dispositions et des exigences, l’adaptation opérationnelle du RGPD et les mesures techniques adéquates à mettre en œuvre. De même, la relation avec les personnes concernées, l’exécution de leurs droits, le point concernant la responsabilité et la gestion de la preuve de conformité n’ont jamais été des points aussi sensibles. C’est dans ce contexte que les outils du projet BPR4GDPR (Business Process Re-engineering and functional toolkit for GDPR compliance) ont été conçus. «Nous avons créé la toute première gamme d’outils capables de prendre en compte la quasi-totalité de la conformité du RGPD tout au long des différentes phases du cycle de vie des procédures opérationnelles», déclare Spiros Alexakis, membre du Conseil d’administration de la société CAS Software et coordinateur du projet BPR4GDPR. «Ces outils peuvent adapter et transformer automatiquement les processus pour les rendre conformes aux politiques en matière de confidentialité, tant au moment de la conception qu’après leur exécution». Le projet BPR4GDPR endosse principalement l’essentiel des contraintes liées au RGPD et subies par l’équipe de direction au sein de l’entreprise, quel que soit l’état d’avancement de leur exécution. Lors de la conception, les outils et les solutions du projet apporteront une aide aux entreprises pour comprendre les comportements et les règles prédéfinies lorsqu’ils ne sont pas conformes et comment les adapter. Pendant la durée d’exploitation, ils constitueront des solutions pour renforcer ou faire exécuter les politiques de confidentialité. Finalement, a posteriori, ils faciliteront l’instruction et l’analyse des situations non conformes.
Des opportunités multiples
Le projet présente quatre résultats principaux, comme le souligne Spiros Alexakis. Nous avons tout d’abord l’ontologie conforme, un accès respectueux de la vie privée et une utilisation d’un cadre de contrôle exhaustif qui régule le fonctionnement de tout le système opérationnel. Ensuite, nous avons une nouvelle ingénierie respectueuse de la vie privée qui génère automatiquement des modèles de procédures conformes au RGPD. Le troisième résultat est un cadre permettant d’identifier les écarts de conformité, et le quatrième représente un guide de conformité valable pour la durée d’exploitation. Cela procure des fonctionnalités caractéristiques et nécessaires à la mise en œuvre des indicateurs du RGPD tels que le chiffrement, l’anonymisation et la gestion des données, et renforce aussi les droits des individus concernés». L’équipe du projet a testé ses solutions dans trois essais en se concentrant respectivement sur des données sensibles concernant les secteurs de la santé et de la sécurité sociale, la conformité du service de clous CaaS pour des services de gestion de la relation-client (GRC) pour des concessions automobiles et des agences immobilières qui utilisent des services cloud. «Excepté les besoins d’une base commune, les trois pilotes reflètent des exigences de conformité distinctes. La première série nous a procuré un retour d’information précieux en termes de fonctionnalité, de performance et d’ergonomie, ce qui a ensuite été exploité lors de la seconde phase de mise en œuvre. Actuellement, nous réalisons la dernière phase, qui vise à tester minutieusement les solutions, à peaufiner le réglage et à ouvrir la voie à l’exploitation des résultats au-delà de la durée de vie du projet», explique George Lioudakis, co-fondateur de la société ICT Abovo et directeur dans le cadre de la politique du projet BPR4GDPR. Renata Medeiros de Carvalho, professeure adjointe à l’Université de Technologie d’Eindhoven, en charge de la coordination scientifique du projet BPR4GDPR et de sa diffusion, est particulièrement optimiste à propos des résultats des partenaires. «Nous avons tous des attentes différentes. Les grandes industries de logiciels informatiques espèrent augmenter leurs revenus soit en proposant la conformité pour leur service de cloud CaaS soit en l’intégrant dans leurs produits. Entre-temps, les PME spécialisées dans le domaine des technologies et du conseil s’attendent à disposer d’un moyen flexible et rentable d’intégrer la conformité dans leurs offres de services. Les cabinets d’avocats participants bénéficie d’un nouvel outil de conseil pour réaliser la codification, l’évaluation et l’exécution de la législation. Enfin, les organismes pilotes revoient actuellement leur approche en ce qui concerne la conformité». Pour les quelques mois à venir avant de finaliser ce projet, Spiros Alexakis précise que l’équipe du projet va à présent se focaliser sur la création d’impact, qui aura comme finalité la diffusion des résultats du projet, l’interaction avec les parties prenantes et l’exploitation commerciale et non commerciale de ces résultats.
Mots‑clés
BPR4GDPR, RGPD, conformité, automatisation, PME, confidentialité des données