Le jeudi 29 novembre 2018, je suis parti à un meet-up organisé par Matem, une SSII basé à Neuilly sur Seine. Le thème du meetup était le suivant “RGPD : Comment cette réglementation impact l’environment Big Data ?“
Ce fut une occasion pour moi d’en apprendre un peu plus sur cette législation qui impact tous les sociétés qui gèrent le traitement des données et de leur conservation, transmission et transformation. Les intervenants furent
Abdesatar Hammedi : Practice Manager BI et Big Data chez Matem
Sébastien Oueslati : Directeur adjoint du pole sécurité chez Humanis
Javier Franco Contreras : Président de Watoo
Je vais me concentrer sur les 2 premières interventions dans ce post.
Arrivée dans les locaux : Le meet-up a débuté vers 19.30
L’Agenda :
Pourquoi gouverner les données ? – L’impact du Big Data et du cloud
Programme de mise en conformité – Quand et de quel manière traiter la problématique et les difficultés rencontrées
Présentation des solutions – Axé sur le tatouage numérique
1ère partie : Pourquoi gouverner les données ? – L’impact du Big Data et du cloud
Présentation par Abdesatar Hammedi
Pourquoi gouverner les données ?
Avec la transformation numérique, notamment avec la collecte d’informations de divers sources que sont les mobiles, les équipements connectés entre autres, il est devenu indispensable de penser à la mise en place d’une gouvernance des données.
Le data est devenu indispensable pour beaucoup d’entreprises, d’organismes et de gouvernements. La collecte de données privés entrainent des conséquences dans la manière dont le partage de ces données se fait.
Pourquoi gouverner les données ?
On a ensuite eu un rappel sur les grands principes du RGPD, notamment sur les fondements que sont
La loi de 1978
La Directive 95 – 86 europe
L’importance des acteurs participant dans la gouvernance fut décrit, aussi bien les acteurs internes qu’externes à l’entreprise. Le Chief Data Officer a un role essentiel à jouer dans ce registre.
Une liste d’étapes pour se préparer à la GDPR fut décrit, comme un rappel aux entreprises qui ne sont pas encore en conformité
Désigner, Cartographier, Prioriser, Gérer, Organiser, Documenter
Le bilan après 6 mois fut discuté notamment avec des chiffres sur le nombre de controles et de violations notifiés à la CNIL.
Centralisation des données – une stratégie ?
Avec la diversité de sources, une stratégie de centralisation peut etre une solution.
Recuperation des données de l’application référentiel, des applications métiers et des sources externes. Passer par une étape de Data Ingestion. Ensuite récupérer les données brutes ’’Le Raw Data’’. Viennent ensuite les étapes de normalisation et d’optimisation de ces données.
Avoir une SI Data Centric est aussi essentielle dans la mise en oeuvre de cette réglementation, qui englobe les domaines suivants
L’organisation
Roles, les responsibilités, les socles logiciels et données, usages projets.
Pratiques
Architecture, développements, tests
Pratiques d’exploitation ( multi-usage, multi-tenant,DevOps,sauvegardes..)
Gouvernance
Données ( connaissance, cycle de vie, accès, qualité )
Socle ( cycle de vie initier-construire-run, financer, Roadmap )
Usages ( connaissances, réutilisation,évolutions..)
Conformité et règles éthiques
Sécurité
Accès à la donnée, habilitations, usages
Anonymisation, archivage
Technologies
Compétences logiciels ’’Big Data’’
Pratiques de conception-dev associées
Infrastructures
Architecture
Architecture fonctionnelle SI
Le thème de la gouvernance des données fut discuté en peu plus en profondeur, notamment sur les nouveaux savoir-faire et process au niveau SI, les usages et la maitrise de l’information.
La plateforme de conformité, une architecture conceptuelle
2ème partie : Programme de mise en conformité – Quand et de quel manière traiter la problématique et les difficultés rencontrées
Présentation par Sébastien Oueslati
Cette deuxième partie fut consacré à un retour d’expérience sur la mise en place du RGPD, au sein du groupe Humanis.
Le contexte fut décrit, notamment sur les métiers du groupe et ses filiales
Un inventaire des données sensibles traités par l’entreprise fut présenté, notamment
Le NIR, l’appartenance syndicale, les données de santé, les données de sécurité, les données relative aux effractions et condamnations pénales et mesure de sureté, conditions de ressources financières ou matérielles, les données relatives aux difficultés sociales des personnes, les données d’identification, les situations de famille et statut, le dossier professionnel, les données relatives aux recrutement et les dossiers d’embauche, la géolocalisation, les données de badgeage, les enregistrements des conversations téléphoniques, correspondances privés.
La Démarche
Les résultats obtenus et une définition des prioritées
Le programme : De quel manière il a été traité ?
Le programme : ses thématiques
Les droits des personnes, notamment la gestion du consentement, la gestion des cookies sur les sites et applications, la revue des mentions d’informations
La responsabilité des acteurs ( Accountability )
Le programme et les difficultés rencontrés
Le cas du consentement des données de santé
Comment concilier RGPD et Big Data ?
Conclusion
Assez simple…celles qui étaient conformes aux lois informatique et libertés de 1978 et celles qui ne l’ètaient pas.
Dans le premier cas, le RGPD est une évolution réglementaire et dans le deuxième cas, c’est une révolution !
Expérience personnelle de la mise en place du RGPD
J’ai eu à participer activement dans la mise d’une partie de cette réglementation au sein du groupe Fnac Darty. J’ai participé à l’évolutions d’une solution web pour la prise en compte de la gestion et du cryptage des mots de passes, la réinitialisation et la récupération du mot de passe et les techniques de blocage et de vérrouillages des comptes.