I LOVE GDPR ♥

La sécurité est l’affaire de tous.
Edouard PHILIPPE

Depuis le 25 mai 2018, le RGPD (Règlement Général sur la Protection des Données) est entré en application pour l’ensemble des pays de l’Union Européenne. L’objectif principal de ce règlement est d’unifier la protection des données à caractère personnel des individus. Le RGPD est clairement un sujet technique, juridique et organisationnel.

A mon sens, ce règlement est une incontestable occasion de contrôler nos données et de reprendre le contrôle de notre vie numérique. C’est un bel outil qu’il sera cependant nécessaire de faire vivre.

Pour rappel, l’article 4 du RGPD ([01]) précise qu’une donnée à caractère personnel doit être considérée comme une information se rapportant à une personne physique identifiée ou identifiable. Dans la catégorie des données à caractère personnel, nous retrouvons aussi les informations (rendues ou non anonymes, chiffrées ou pseudonymisées) dont le regroupement permet l’identification précise d’une personne.

Le RGPD concerne aussi bien les entreprises que les administrations et collectivités. Chaque « organisation » peut disposer de données personnelles (a minima, des données de type Ressources Humaines) dans différentes bases… qu’il faut agréger pour avoir une vision complète et réelle.

Dans l’article [02] publié sur le blog de Systancia, notre Directeur Scientifique Frédéric Pierre annonce le produit Systancia Identity, formerly Avencis Hpliance comme une solution souple et performante pour la gestion des identités et des accès. Pour les organisations disposant de plusieurs bases de données contenant des données de ce type, il est effectivement important (et nécessaire pour optimiser le temps) de les centraliser via l’outil Systancia Identity afin d’avoir une vue globale sur les données considérées personnelles détenues par une organisation.
Reprenons le RGPD et notamment les principes relatifs à la manipulation des données à caractère personnel (article 5 dans [01]) :

• Principe de licéité, loyauté et transparence : tous les traitements d’une donnée à caractère personnel doivent correspondre à ce qui a été décrit à la personne concernée ;
• Principe de limitation des finalités : la collecte des données à caractère personnel doit être effectuée pour des motivations « déterminées, explicites et légitimes » ;
• Principe de minimisation des données : au regard des traitements réalisés, les données traitées doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire » ;
• Principe d’exactitude : les données à caractère personnel doivent être « exactes et, si nécessaire, tenues à jour » ;
• Principe de limitation de la conservation : les données à caractère personnel doivent être « conservées […] pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées » ;
• Principe d’intégrité et de confidentialité : les données à caractère personnel doivent être « traitées de façon à garantir une sécurité appropriée ».

Ainsi, conformément à [02], la solution Systancia Identity, solution d’IAM (Identity & Access Management) de Systancia, aide à la mise en œuvre du RGPD en termes de gestion des droits et habilitations. Cette solution offre la possibilité de centraliser les identités et droits des membres d’une organisation mais aussi de créer des processus de rectification et de suppression.

La solution Systancia Identity permet aussi de répondre aisément et rapidement au droit d’accès et de rectification pour chaque demande réalisée. En effet, le RGPD prévoit que toute personne puisse accéder à l’ensemble (et connaître l’origine) des informations la concernant et exiger que ces données puissent être rectifiées, complétées, mises à jour ou supprimées.

La solution Systancia Identity gère le cycle de vie des identités numériques (ensemble des informations caractérisant les personnes sur des structures organisationnelles) en automatisant l’alimentation « amont » ainsi que le provisioning des applications locales et cloud. Enfin, comme annoncé précédemment, Systancia Identity automatise également l’exécution des flux d’informations ainsi que les circuits de validation.

La solution Systancia Identity crée un référentiel central unique et apporte ainsi une réponse technique adaptée aux principes RGPD suivants :

• Traitement licite et transparent : Systancia Identity fournit dans un format imprimable, à travers la ‘Fiche Personne’, l’ensemble des éléments détenus par une organisation sur l’ensemble des bases connectées ;
• Limitation des finalités : les données à caractère personnel ne sont recueillies et traitées que pour un usage déterminé et légitime ; à savoir la gestion des droits et habilitations ;
• Minimisation des données : par conception, le modèle de gestion des habilitations de Systancia Identity (OrBAC) permet de modéliser simplement les organisations et de définir les règles d’attributions de droits automatiques. Ainsi seules les données utiles au traitement sont utilisées ;
• Exactitude : la solution Systancia Identity contrôle l’intégrité des informations par des mécanismes de réconciliation des données et d’identification des comptes orphelins/spécifiques ;
• Limitation de la conservation : la solution Systancia Identity offre (à la demande par des scripts dédiés) la possibilité de supprimer dans les bases connectées à la solution les données à caractère personnel.

Enfin, il est à noter que toutes les opérations de modification, de suppression et/ou d’attribution réalisées à travers la solution Systancia Identity sont tracées et donc éventuellement auditables par un tiers.
Pour conclure, la solution Systancia Identity est une solution de gestion des identités et des accès souple et performante [02] mais également efficace pour établir et maintenir la conformité avec les nombreuses et complexes exigences du RGPD.

Références

[01]       Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016  (https://www.cnil.fr/fr/reglement-europeen-protection-donnees)
[02]       IAM GDPR (https://www.systancia.com/iam-gdpr)