Depuis l’entrée en vigueur du Règlement Européen sur la Protection des Données à caractère personnel (RGPD) en mai 2018, les entreprises sont obligées de mettre en place des technologies garantissant la mise en conformité au RGPD pour SAP afin de garantir l’accès, la modification et la restitution de ces données.
Mais alors quelles sont les premières étapes pour respecter ce règlement ? Comment devenir RGPD Compliant quand on est client SAP ? Sur la base de notre expérience dans la mise en œuvre de solutions de conformité, voici 10 recommandations à suivre pour protéger les données sensibles de votre entreprise :
1. Entreprendre une analyse d’impact sur la protection des données :
Faites participer vos auditeurs et votre conseil juridique dès le début : ils fourniront de précieux conseils sur les principaux domaines à risque et recommanderont un cadre de travail pour la gestion continue de la conformité.
Mettez en place une équipe de gestion du programme de protection de la vie privée. Au minimum, désignez un responsable de la protection des données et déclarez-le auprès de la CNIL et autres autorités de régulation pertinentes.
Effectuez un inventaire des informations personnelles et une cartographie des flux de données (par domaine d’activité). Vous pouvez aussi réaliser une évaluation des lacunes en matière de protection de la vie privée, ainsi qu’un contrôle de la « due diligence » de vos prestataires en la matière.
2. Accroître la sensibilisation à la législation en matière de protection des données :
Lancez une évaluation de la culture de la protection de la vie privée pour déterminer si les employés sont prêts et comprennent les enjeux.
Informez vos employés et les parties prenantes sur la législation pertinente en matière de protection des données, sur ce qui est nécessaire, et les responsabilités qui leur incombent.
Rejoignez les organismes professionnels de protection de la vie privée – pour rester informé des meilleures pratiques à mettre en oeuvre. Par exemple l’International Association for Privacy Professionals.
3. Effectuer un audit pour savoir où sont stockées les données sensibles dans les systèmes SAP :
Analysez vos environnements SAP pour déterminer les zones clés où ces données sont stockées. Il sera difficile de traiter les demandes et de divulguer des informations personnelles sans avoir une idée précise de l’endroit où elles se trouvent.
Informez vos équipes sur l’endroit où ces données sensibles sont stockées dans vos systèmes SAP (y compris les composants intégrés comme le Workflow, SAP BW, les documents de modification, etc) pour que les procédures de localisation et de suppression éventuelle de ces données puissent être correctement conçues et développées.
Examinez vos flux d’informations et processus au sein de l’entreprise pour identifier les étapes où des données sensibles (informations sur les clients, les employés, les fournisseurs, les partenaires commerciaux) sont impliquées et diffusées.
4. Réduire les données sensibles au sein de vos systèmes SAP non-productifs :
Réduisez votre profil de risque en masquant intelligemment les données dans les systèmes hors production. En retirant vos systèmes de test de l’équation, vous réduisez les risques et les frais généraux liés au traitement des demandes.
Recherchez les systèmes inutilisés contenant des données sensibles qui peuvent être supprimées, ou des données sensibles qui ne sont pas ou plus requises dans les environnements de test et qui pourraient être supprimées.
5. Sécuriser l’infrastructure :
Consultez régulièrement le SAP One Launchpad pour y trouver les correctifs de sécurité spécifiques à vos versions de SAP, système d’exploitation et type de base de données.
Veillez à ce que la responsabilité de l’examen et de l’application des notes SAP soit clairement établie au sein de votre organisation.
Assurez-vous que votre équipe possède les compétences nécessaires pour protéger les systèmes et les domaines Cloud hybrides, notamment les règles relatives au Cloud et au pare-feu.
6. Mettre en œuvre des politiques de conservation des données afin de réduire les données historiques SAP :
Élaborez une politique d’archivage/révision et de conservation des données pour indiquer clairement quand des données sensibles peuvent être archivées ou supprimées.
Automatisez si possible ces solutions de rédaction et d’archivage afin que la conservation des données fasse partie de votre cycle normal – plutôt que d’être basé sur un projet.
En fonction de vos politiques de conservation, entreprenez un projet de nettoyage et d’archivage pour supprimer, archiver ou éditer des données qui n’ont plus de raison légale d’être conservées.
7. Gérer les risques d’accès aux systèmes SAP, afin de limiter l’accès des employés aux données sensibles :
Identifiez les rôles et les utilisateurs qui ont accès à ces données et élaborez des règles ainsi que des alertes afin que les demandes d’accès tiennent compte des risques associés.
Mettez en place un processus permettant de vérifier régulièrement qui a accès aux données à caractère personnel.
Documentez clairement ces politiques d’accès et les étapes de validation.
8. Crypter les données qui quittent votre système SAP :
Implémentez un cryptage pour éviter que des données sensibles ne soient stockées au repos ; toute donnée stockée sur des serveurs de fichiers ou fournie par des interfaces doit être cryptée avant d’être transmise.
Ré-évaluez votre politique de sécurité pour vous assurer de bien utiliser des outils qui atténuent le risque pour les utilisateurs qui extraient des données sensibles par le biais de rapports, d’analyses et de partage de connaissances avec des collègues.
9. Revoir le système d’audit et d’exploitation des données sur SAP :
Contrôlez le risque de perte de données. Les utilisateurs SAP extraient des centaines d’enregistrements et de documents sensibles des systèmes et applications SAP afin d’effectuer des comptes rendus et des analyses et de partager ces informations avec leurs collègues, partenaires et fournisseurs. La plupart des entreprises ne contrôle que très peu à quel endroit se trouvent ces documents, qui y a accès ou comment ils sont utilisés. Il subsiste donc un risque élevé de perte de données en raison d’actions malveillantes ou accidentelles.
Simulez une réponse à une brèche ou violation de données et élaborez un plan d’action qui décrit les responsabilités essentielles de tous les acteurs concernés (base, sécurité du réseau, propriétaires d’applications, responsables des risques).
10. Définir une feuille de route pour devenir compliant :
Identifiez les outils techniques et processus proposés par SAP qui vous permettront de mieux gérer : les risques d’accès, la sécurité des infrastructures, les contrôles internes, l’archivage, la gestion des données non productives, la notification des violations et la gestion des demandes de divulgation.
Notre partenaire EPI-USE Labs a développé des solutions dédiées à la conformité au RGPD afin de renforcer la protection des données à caractère personnel sur SAP. Ces outils regroupés au sein de la Data Privacy Suite, permettent notamment de respecter les articles 15 et 17 du règlement européen relatifs au droit à l’accès aux données et à l’oubli. Découvrez la Data Privacy Suite expliquée en 5 minutes !