Développez et transformez vos environnements technologiques pour supporter les stratégies de votre entreprise et placer l’innovation au cœur de vos opérations
En savoir plus1.300+ clients de renom dont
Une liste croissante d’entreprises qui choisissent LeanIX
Maximisez votre potentiel sur le marché avec un programme partenaire offrant des solutions LeanIX adaptées à votre modèle d’entreprise
En savoir plusTout ce que vous devez savoir sur le RGPD et ses implications pour votre entreprise, les grands changements apportés par ce règlement et les mesures que les architectes d’entreprise doivent prendre pour s’y conformer.
►Découvrez pourquoi l’architecture d’entreprise est essentielle pour surmonter les écueils liés à la protection des données et au RGPD.
Le règlement général sur la protection des données, ou « RGPD », est un règlement européen qui vise à renforcer et harmoniser la protection des données et la vie privée tant au sein de l’Union européenne (UE) que dans l’ensemble de l’Espace économique européen (EEE). Élaboré par la Commission européenne, il inclut un ensemble de législations normalisées dont le but est de protéger les données à caractère personnel de tous les citoyens européens. Par ailleurs, le RGPD règlemente également le transfert des données personnelles en dehors de l’UE et de l’EEE.
Le RGPD a été adopté pour la première fois en 2016, puis est entré en vigueur deux ans plus tard. Étant donné que le RGPD est un dispositif réglementaire et non une directive, il fait force de loi dans tous les États membres de l’UE depuis mai 2018. En tant que nouveau cadre règlementaire visant à protéger les données personnelles et établir des règles pour les entreprises, il concerne toutes les organisations, entreprises et personnes physiques au sein de l’EEE. Par conséquent, il établit des règles claires sur la façon dont les entreprises doivent traiter et stocker les données personnelles des personnes physiques.
Étant donné que la protection des données personnelles est le principal cheval de bataille du RGPD, les citoyens européens ont une meilleure idée de ce que les entreprises font de leurs informations. Par conséquent, les clients des sites en ligne sont de plus en plus conscients de leurs droits. Les entreprises doivent dès lors atteindre le niveau de transparence imposé par les nouveaux règlements. Si votre entreprise traite des données personnelles et opère au sein de l’UE, vous avez l’obligation de respecter le RGPD. Plus facile à dire qu’à faire.
Certes, la normalisation introduite par le RGPD dans le monde des entreprises numériques comporte de nombreux avantages, mais son application peut s’avérer difficile pour les sociétés qui manquent de préparation ou de connaissances. Par ailleurs, la complexité et la qualité de leurs données peuvent compliquer la transition vers un nouveau mode de fonctionnement. À l’heure actuelle, de nombreuses entreprises ne respectent pas encore toutes les exigences du RGPD et s’exposent dès lors à de lourdes sanctions.
Pour se conformer pleinement au RGPD, les entreprises doivent prendre tout un lot de mesures complexes, qui peuvent comprendre une refonte de leur politique de confidentialité, un nettoyage des listes de distribution de leurs bulletins d’information ou une révision des modes d’utilisation des cookies et plug-ins. Les problèmes se posent surtout au début lorsque l’incertitude juridique ralentit le processus ou prête à confusion. Pour obtenir l’onéreuse expertise dont elles auront probablement besoin, les entreprises n’ont d’autre choix que d’augmenter leur budget consacré à la sécurité des données.
Le RGPD a bouleversé le paysage des entreprises numériques, notamment sur le plan de la transparence et du consentement des usagers par rapport à la collecte de données personnelles. Voici une liste non exhaustive des principaux changements que doit prendre en compte chaque entreprise qui fait affaire avec des citoyens européens
Article 3 du RGPD : Champ d’application territorial
Ce nouveau règlement s’applique au traitement des données à caractère personnel par les entreprises opérant au sein de l’UE, que le traitement ait lieu ou non dans l'Union. C’est ainsi que le législateur souhaite garantir la protection totale des données et un certain degré d’équité.
Article 7 du RGPD : Conditions applicables au consentement
Les entreprises ne peuvent plus se cacher derrière des conditions générales opaques lorsqu’elles traitent des données personnelles. Elles doivent ainsi obtenir le consentement de la personne concernée tout en présentant leur demande de façon claire en utilisant un langage simple et accessible.
Article 33 du RGPD : Notification à l'autorité de contrôle d'une violation de données à caractère personnel
Aussi strictes soient les mesures prises en matière de sécurité des données, des violations de données ne sont pas à exclure. Si les droits et libertés des personnes sont menacés, une entreprise doit agir dans les 72 heures après avoir pris connaissance d’une violation de données et notifier l’autorité de contrôle.
Article 15 du RGPD : Droit d’accès de la personne concernée
La personne concernée a le droit d'obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées, et notamment les informations suivantes : nature des données, finalité du traitement, durée de conservation des données, destinataires auxquels les données seront communiquées, etc.
Article 17 du RGPD : Droit à l’effacement ou « droit à l’oubli »
La personne concernée a le droit d'obtenir du responsable du traitement l'effacement, dans les meilleurs délais, de données à caractère personnel la concernant. Ceci s’applique, entre autres, lorsque les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées ou lorsque les données ont fait l’objet d’un traitement illicite.
Article 20 du RGPD : Droit à la portabilité des données
Lorsque les personnes concernées partagent des données à caractère personnel, elles ont le droit de recevoir ces données dans un format structuré, couramment utilisé et lisible par machine. L’entreprise ou le responsable doit faire en sorte que les données à caractère personnel soient transmises directement d'un responsable du traitement à un autre si la personne concernée en émet le souhait.
Article 25 du RGPD : Protection des données dès la conception et protection des données par défaut
Lors du traitement des données à caractère personnel, l’entreprise ou le responsable du traitement doit mettre en œuvre les principes relatifs à la protection des données, par exemple la pseudonymisation, la minimisation des données et d’autres mesures appropriées de nature technique et organisationnelle. Ces mesures garantissent que les données à caractère personnel sont correctement conservées.
Article 37 du RGPD : Désignation du délégué à la protection des données
Lorsque le traitement est effectué par une autorité publique ou si une organisation traite à grande échelle des catégories particulières de données, un délégué à la protection des données est nommé. Son rôle consiste à surveiller les données et à s’assurer que les mesures de protection des données sont mises en œuvre à l’aide d’une technologie de pointe.
De lourdes sanctions sont prévues en cas de violation. Elles se divisent en deux catégories.
Amende : 10 000 000 euros ou 2 % du chiffre d’affaires annuel mondial, pour des infractions relatives aux domaines suivants :
Amende : 20 000 000 euros ou 4 % du chiffre d’affaires annuel mondial, pour des infractions liées aux domaines suivants :
En résumé, le RGPD doit être pris très au sérieux et chaque membre de votre entreprise doit connaître la marche à suivre pour garantir la conformité. Voici comment un architecte d’entreprise peut y contribuer.
Tools
EA Maturity AssessmentDans la plupart des cas, un délégué à la protection des données aura besoin d’aide au début de la mise en œuvre du RGPD. Une étude a démontré que le plus grand défi de la conformité au RGPD est de garantir la qualité des données (73%) et la gestion de la complexité des données (67%). Les architectes d’entreprise aident les délégués à la protection des données à garantir la conformité en fournissant toutes les informations sur les données, processus et applications que l’entreprise utilise. Ils fournissent également des informations essentielles sur les personnes concernées et les flux de données, et mettent en exergue les risques et les failles de sécurité potentielles.
Les architectes d’entreprise déterminent également les technologies nécessaires à la mise en place des nouvelles mesures relatives au RGPD et réalisent une évaluation d’impact sur la protection des données avant le déploiement de nouvelles applications. Il sera parfois amené à consulter des responsables de technologies. Étant donné que l’intégration du RGPD complique le cadre architectural existant d’une entreprise, il incombe à l’architecte d’entreprise de reconcevoir l’architecture d’entreprise en appliquant les bonnes pratiques et les nouveaux outils d’AE. En réalité, il s’agit d’un élément indispensable pour une application fluide et réussie du RGPD.
Toutefois, l’architecte d’entreprise n’est pas le seul responsable. Les architectes d’entreprise et les délégués à la protection des données travaillent en étroite collaboration et coordonnent toutes les mesures de conformité au RGPD. Par ailleurs, compte tenu de l’obligation de tenir informés les dirigeants et d’autres parties concernées, l’AE fait également office d’intermédiaire entre le délégué à la protection des données et le reste de l’entreprise. Dès lors, le travail avec un architecte d’entreprise qualifié donne non seulement un coup d’accélérateur à la mise en œuvre, mais constitue en outre le meilleur moyen d’éviter les lourdes amendes imposées par le RGPD ou d’autres réajustements à cet égard.
Dans la section précédente, nous avons souligné l’importance d’un architecte d’entreprise pour appliquer le nouveau RGPD dans un cadre architectural existant. Les architectes d’entreprise s’assurent qu’une entreprise dispose de l’architecture appropriée, en particulier de tous les outils technologiques et d’une approche structurée pour le traitement des informations personnelles de toutes les personnes concernées.
Mais comment cela se traduit-il dans la pratique ? Voici les cinq étapes qui aident les AE à créer une architecture adaptée au RGPD.
Pour commencer, les architectes d’entreprise doivent identifier toutes les données qui sont « à caractère personnel » au sens du RGPD. Étant donné qu’il existe plusieurs niveaux de sensibilité en matière de vie privée, l’AE peut catégoriser les données selon différents attributs comme la confidentialité, l’intégrité ou la disponibilité.
L’AE doit définir la finalité de la collecte de données et s’assurer que les personnes concernées ont donné leur consentement. Le RGPD interdit l’utilisation de données qui concernent des identifiants biométriques ou liés à la santé, ou des informations personnelles relatives à la politique, l’ethnicité, la religion ou l’appartenance syndicale.
Lors de cette étape, l’AE analyse la façon dont l’entreprise utilise des données personnelles, en précisant les applications, processus ou personnes qui les utilisent et pourquoi. Cela permet d’évaluer tous les risques de sécurité dans la mesure où l’AE doit détecter les menaces et failles principales de l’environnement architectural.
Pour limiter les menaces susvisées, l’AE doit définir des contrôles utiles et un budget. Il importe d’évaluer le coût des mesures de protection des données en fonction des risques et des conséquences possibles pour l’entreprise.
Une fois les risques technologiques vérifiés et les contrôles définis, il importe de mettre en œuvre des contrôles de sécurité et des mesures préventives. À l’issue de ce processus, l’AE doit pouvoir prouver la conformité au RGPD et la transparence aux organismes de règlementation.
L’exemple de McKesson, leader de la distribution de produits sanitaires et pharmaceutiques, illustre parfaitement comment l’architecture d’entreprise peut permettre de respecter le RGPD à la lettre. Ayant son siège en Amérique du Nord, McKesson était, avec plus de 2 millions de clients quotidiens répartis dans 13 États membres de l’UE, concernée par le nouveau RGPD publié par la Commission européenne.
Pour appliquer avec brio le nouveau Règlement général sur la protection des données, cette entreprise classée dans les Fortune 500 a pu compter sur son architecte d’entreprise interne, Andreas Bosch, qui a utilisé LeanIX pour surmonter les écueils informatiques et commerciaux.
Votre organisation est-elle prête à mettre en place le RGPD avec l’architecture d’entreprise ? Complétez le quiz ci-dessous pour savoir si vous êtes prêt à appliquer le RGPD.
Dans notre monde très numérisé, la plupart des transactions commerciales sont réalisées sur Internet, ce qui engendre des risques importants en matière de protection des données. Le nouveau RGPD publié par la Commission européenne vise donc à harmoniser les traitements et les utilisations de données personnelles, et à en garantir la transparence. Depuis mai 2018, les entreprises opérant au sein de l’UE et de l’Espace économique européen sont obligées de se conformer au RGPD.
Toutefois, les entreprises qui ne respectent pas les nouvelles règlementations en matière de protection de données sont encore nombreuses et s’exposent donc à des amendes allant jusqu’à 10 millions d’euros pour les infractions les moins graves, et 20 millions pour les infractions plus graves. Une violation du RGPD est souvent le fruit d’incertitudes juridiques, de la complexité des données ou d’une architecture d’entreprise engorgée. Il est donc nécessaire pour chaque entreprise de désigner un délégué à la protection des données qui travaille en étroite collaboration avec un architecte d’entreprise durant toutes les étapes de la mise en œuvre.
Un architecte d’entreprise qualifié connait parfaitement l’architecture d’entreprise actuelle, y compris ses écueils et ses risques en matière de sécurité des données. Grâce à des outils et logiciels d’AE de pointe, les AE peuvent traiter une énorme quantité de données complexes et en garantir la qualité. En bénéficiant d’une vue d’ensemble des données et en concevant une architecture adaptée au RGPD, l’AE peut surmonter tous les écueils relatifs à la protection des données, et garantir ainsi le respect du RGPD.
LIVRE BLANC GRATUIT