Stratégies clés pour l'adoption des règles du RGPD

L'application du règlement général sur la protection des données (RGPD ou GDPR en anglais) étant fixée au 25 mai 2018, les entreprises disposent d'à peine six mois pour se conformer aux nouvelles exigences de l'UE en matière de protection des données.

Lorsqu'elles se préparent à se mettre en conformité avec la réglementation à venir, les entreprises négligent souvent de prendre en compte la gestion des données de test dans leur démarche.

L'application du règlement général sur la protection des données (RGPD ou GDPR en anglais) étant fixée au 25 mai 2018, les entreprises disposent d'à peine six mois pour se conformer aux nouvelles exigences de l'UE en matière de protection des données. Et aucune ne peut prétendre y échapper puisque, qu'une entreprise gère directement les données personnelles des consommateurs, ou indirectement par le biais des informations de production, elle sera soumise au RGPD.  

La gestion des données de test (GDT) est un domaine qui nécessite une attention toute particulière dans le cadre du RGPD. Elle est essentielle à un traitement efficace des données et au contrôle de la qualité des livrables, mais peut être source de vulnérabilités face aux normes réglementaires et organisationnelles, d'autant plus que les exigences de conformité actuelles ne sont pas aussi rigoureuses qu'avec le RGPD.

Lorsque les données de production sont systématiquement copiées dans un environnement non productif à des fins de test, les entreprises doivent pouvoir s'assurer que ces données sont sécurisées tout en améliorant leurs processus internes et leur efficacité. Le RGPD devrait avoir un impact significatif sur le type de données pouvant être utilisées dans des environnements non productifs ; les entreprises devront être en mesure de comprendre la nature des données, de savoir qui les utilise et elles devront pouvoir en limiter l'utilisation aux tâches pour lesquelles un consentement a été donné.

Différentes stratégies existent pour veiller au cryptage des données personnellement identifiables (DPI), notamment le recours aux sous-ensembles et au masquage. Voici quelques lignes directrices à destination des entreprises souhaitant s'assurer que leurs données de test sont conformes au RGPD.

L'impact du RGPD sur les tests

Les données de production ne peuvent pas simplement être copiées telles quelles. Parmi les nouvelles règles mises en place par le RGPD figure le droit de restreindre l'utilisation des données à caractère personnel. Si les données de production sont recueillies à des fins de test, les gestionnaires de données doivent appliquer des techniques d'anonymisation de toutes les données personnellement identifiables, ce processus devant en plus être irréversible, d'où la nécessité de bien documenter les flux de données et les modèles de données, ainsi que d'un profilage adéquat des données de test. Si l'entreprise dispose déjà de techniques d'anonymisation existantes, elle devra faire le point sur ses techniques de masquage actuelles et déterminer si des contrôles supplémentaires sont nécessaires. Étant donné que le RGPD souligne la nécessité de sauvegarder les données qui sont transmises à des pays en dehors de l'UE, les entreprises doivent mettre en place un mécanisme de purge visant à supprimer toutes les données souhaitées de toutes les sources de données une fois les tests achevés.

Voici, dans les grandes lignes, comment garantir la conformité des données de test et des processus de test dans le cadre du RGPD :

 

- Une documentation bien définie des informations relatives aux données personnelles dans tous les environnements de test ;

- Une découverte des données efficace pour comprendre et identifier les données sensibles ;

- L'implémentation d'un processus de GDT pour l'ensemble du cycle de vie des données, comprenant le profilage, la création de sous-ensembles (subsetting), le masquage (masking), le provisioning et l'archivage des données dans les environnements de test ;

- Un processus irréversible de masquage « à la volée » des données de production au sein d'un référentiel centralisé ;

- Autorisations et alertes en place pour les exportations de données et l'accès en dehors de la région, étant donné sa nature restreinte ;

- Blocage de l'accès aux données personnelles à partir de points d'accès non autorisés ;

- Mise en place des meilleures pratiques pour garantir la conformité des données de test dans les environnements non productifs dans le cadre du RGPD.

1. Sensibilisation de toute l'entreprise : Avant toute chose, les entreprises doivent être conscientes et comprendre le défi que représente la mise en conformité avec le RGPD. Surtout, sachez que toutes les sociétés de traitement des données au sein de l'UE doivent se conformer au RGPD d'ici le 25 mai 2018. C'est une démarche complexe et fastidieuse qui les attend, pour s'assurer que toutes les données sont sécurisées comme il se doit. Il est donc plus que temps de lancer le processus. Cette mise en conformité concerne la sécurité des données, la protection informatique et la cybersécurité, ainsi que la restructuration des processus métier pour qu'ils soient conformes au RGPD. Les entreprises doivent comprendre le paysage de données existant spécifique aux données personnelles au sein de leur organisation et être en mesure d'identifier les données sensibles sous-jacentes dans leur base de données applicative.  

 2. Formulation de votre stratégie RGPD : L'étape suivante consiste à élaborer une stratégie solide visant à traiter les questions liées au RGPD. Il peut être opportun de créer une équipe dédiée à la gouvernance et à l'exécution dont le travail portera sur la livraison de solutions RGPD. Il est essentiel de pouvoir s'appuyer sur des règles de masquage complètes afin de respecter les exigences réglementaires. La règle de masquage doit être un processus irréversible et « à la volée », intégrant toutes les règles requises. Ensuite, il faut mettre en place une stratégie permettant de gérer à la fois les données masquées et les données synthétiques en fonction des différents besoins en matière de tests. L'objectif est de réduire au minimum la dépendance à l'égard des données de production masquées au cours des prochaines années.

3. L'impact du RGPD sur les ressources, les processus et la technologie : Idéalement, la gestion des données de test devrait disposer d'une équipe RGPD dédiée pour comprendre et résoudre les différentes problématiques qui peuvent survenir tout au long du cycle de vie des données : grâce au profilage, à la création de sous-ensembles (subsetting), au masquage (masking), au provisioning et à l'élaboration de référentiels de données. Grâce à des contrôles stricts de la version des données et à un accès centralisé aux données pour les intervenants chargés de procéder aux tests, l'équipe devrait être en mesure d'adopter un meilleur cadre.   

4. Adoption d'un cadre de données synthétiques : La création d'un cadre de production de données synthétiques à l'échelle de l'entreprise signifie que l'équipe sera en mesure de créer des ensembles de données à partir de modèles créés. La génération de données synthétiques doit également suivre les règles métier et les modèles de données des scénarios de test pour différents environnements. Les données synthétiques peuvent être générées à l'aide de différentes techniques, en produisant des données basées sur une variété de modèles - à savoir le modèle de base de données de production, le modèle de scénario de test, le modèle de processus métier, le modèle de données aléatoires, les packs de processus de test et le modèle de données basé sur le domaine. Des outils spécifiques peuvent être utilisés pour générer les données requises. Nous recommandons de mettre au point des techniques de virtualisation des services et des API qui permettront de reproduire la réponse attendue depuis les ensembles de données et de mener à bien le processus de test. Cela réduira le temps d'attente pour l'obtention des données requises auprès de services externes. 

5. Mécanismes d'audit et de contrôle des données : Enfin, la mise en place d'un audit régulier et d'une protection de la base de données limitera l'exposition au système d'utilisateurs externes qui ne sont pas censés avoir accès à ces données personnelles. Cela permet également de contourner toute fonctionnalité de sécurité au niveau des applications qui serait susceptible d'exposer l'entreprise à une violation de données. Les entreprises ayant un grand nombre de fournisseurs d'outils et de technologies à l'échelle mondiale pour satisfaire les besoins de leurs clients, un partenariat avec des solutions technologiques fiables devrait les aider à sécuriser leur système. La mise en conformité au RGPD devrait être un processus continu et non une solution ad hoc. Tout nouveau processus, toute nouvelle automatisation ou mise en conformité devrait soutenir à la fois les processus des activités courantes et les nouveaux défis.  

Conclusion

Les données de production ne seront plus utilisables dans l'environnement de test sans une anonymisation adéquate. Si une entreprise décide de mettre en œuvre une anonymisation, ce processus doit être irréversible car les données décryptées ne doivent pas pouvoir être retracées jusqu'aux données d'origine. Elle doit aussi procéder à un masquage cohérent avec un groupe de champs dans la base de données. Pour mettre en œuvre cette approche, le système et les processus doivent déjà être en place pour favoriser une découverte intelligente des données au niveau des informations sensibles, pour mettre en œuvre des techniques de masquage à la fois dynamiques et statiques, et pour avoir un cadre de production de données synthétiques réutilisable à l'échelle de l'entreprise. Les entreprises devraient tirer profit de leur système de copie de production masquée existant et adopter une stratégie à long terme visant à avoir de plus en plus recours à la génération de données synthétiques pour les versions ultérieures.