Auteur : Mani Singh , Consultant SAP chez TJC Group
La réglementation GDPR est entrée en vigueur en mai 2018. De la même manière que les nouveaux parents commencent à apprécier les défis émotionnels de la petite enfance à environ cette même période de 20 mois, les organisations commencent également à expérimenter ce que la non-conformité au RGPD signifie financièrement.
Carrefour et sa branche bancaire ont été condamnés à une amende de plus de 3 millions d’euros (3,7 millions de dollars) par le régulateur local de la protection des données, la Commission nationale de l’informatique et des libertés (CNIL), pour de multiples violations du RGPD au début de 2020. À la fin de l’année, la Commission irlandaise de protection des données (DPC) avait infligé à Twitter une amende de 450 000 € pour ne pas avoir déclaré et documenté rapidement une violation de données en vertu du Règlement général européen sur la protection des données (RGPD). Les entreprises technologiques doivent également se préparer à une avalanche d’amendes. Facebook aurait mis de côté 302 millions d’euros pour d’éventuelles amendes du DPC irlandais, pour violation du règlement général sur la protection des données (RGPD).
D’après notre expérience de discussions avec des entreprises intéressées par la mise en œuvre de stratégies de gestion du cycle de vie des informations (ILM), beaucoup auront du mal à se conformer au RGPD. C’est parce que leurs processus métier ne sont toujours pas corrects, ou s’ils sont corrects, c’est qu’ils ne sont pas entièrement suivis par les employés. Par exemple, lorsque nous commençons un audit de projet et que nous commençons à analyser les données des clients, nous découvrons des écarts tels que des commandes client et des livraisons effectuées il y a de nombreuses années qui n’ont pas été clôturées comme terminées et, par conséquent, les données de ces types de documents ne sont pas dans un état qu’il peut être supprimé.
Il doit être détruit conformément à une stratégie ILM stricte pour éviter les problèmes de risque et le coût total de possession (TCO) de la conservation de ces données inutiles.
Le problème de la conservation des données
Du point de vue du RGPD, si la destination des données pour ces documents a expiré (utilisation commerciale et réglementaire) et que des données personnelles sont conservées dans ces documents, ces données ou documents doivent être détruits pour garantir la conformité au RGPD. Par exemple, les documents de vente et les livraisons contiennent généralement des informations sur les clients, notamment le nom, l’adresse et les données téléphoniques, qui sont des données personnelles et identifiables.
Pour en revenir à cet exemple, les grandes entreprises ont souvent des centaines de milliers d’enregistrements comme ceux-ci, datant de plusieurs années. Le problème de la conservation des données qui doivent être supprimées se pose généralement parce que le processus métier consistant à modifier le statut des documents de vente et des livraisons pour compléter entièrement le document de vente n’a pas été défini dès le départ ou est ignoré par les employés.
Par exemple, si une entreprise expédie des marchandises à des clients, dès que les produits sont reçus, la livraison doit être terminée. Si le processus est mal géré et que la livraison reste ouverte – et si cela se produit pour chaque commande à grande échelle – l’entreprise pourrait bientôt avoir 500 Go d’enregistrements de données incomplets liés aux livraisons. Cela peut créer des défis spécifiquement en ce qui concerne 1) les coûts opérationnels de stockage des données qui ne doivent plus être conservées après leur période de conservation (la période après laquelle les données n’ont plus de finalité commerciale ou légale), 2) les frais juridiques de conservation des données personnelles ou identifiables après leur période de conservation, 3) la performance des systèmes en raison de la saturation des données et des risques supplémentaires.
Cela semble incroyable, mais c’est quelque chose que nous voyons régulièrement. Il est également tout aussi courant de trouver un manque de considération pour l’ILM dans les implémentations nouvelles que dans les systèmes hérités . En effet, la priorité lors des implémentations greenfield est toujours de mettre le système en place et de le faire fonctionner. La gestion du cycle de vie continu des informations n’est jamais au premier plan des préoccupations de quiconque, ou du moins, elle passe au second plan.
Détruire des données dans SAP
Si une entreprise utilise SAP, la situation est encore plus compliquée. Les données doivent être stockées dans un certain état et les processus de données correctement suivis pour que les dernières étapes de la gestion du cycle de vie des informations (suppression des données) soient automatisées.
Prenons un exemple, un détaillant d’ordinateurs portables. Dans le cadre du flux de travail des ventes, leurs dossiers de livraison doivent avoir été remplis et les factures envoyées à l’équipe financière. Une fois cela fait, l’enregistrement peut être entièrement complété et supprimé pour assurer la conformité GDPR.
La période de conservation ou le cycle de vie des données est défini par l’objectif qu’elles servent et cela peut varier considérablement d’une organisation à l’autre. Dans l’exemple de livraison d’un ordinateur portable, les données peuvent devoir être conservées pendant 3 ans en cas de réclamation ou de problème avec les appareils. Un autre fabricant pourrait souhaiter conserver les informations sur les pièces du produit plus longtemps encore, en cas de rappel.
Cet exemple simple montre que lorsque les processus métier sont laissés incomplets, l’introduction de l’ ILM et de l’archivage des données devient beaucoup plus difficile, car il est plus difficile de repérer où se trouvent les erreurs, ce qui ajoute une couche de complexité. En pratique, les entreprises finissent par devoir clôturer manuellement tous ces enregistrements, ce qui prend plus de temps et augmente les coûts du projet. Les données de livraison héritées peuvent ne pas poser trop de problèmes de conformité, mais lorsqu’il s’agit d’informations financières ou de machines complexes dont les pièces doivent être suivies pendant de nombreuses années.
Ayant participé à de nombreux projets d’archivage et de suppression pour les clients afin de rectifier les problèmes de conservation légale des données en raison de processus commerciaux non terminés, nous sommes bien placés en tant qu’organisation pour faire ces observations. TJC a fourni des conseils pratiques et des solutions de gestion pour résoudre les problèmes dus aux incohérences des données et des processus dans ces cas. Il s’agit de fixer avec l’équipe commerciale les conditions de clôture des anciens bons de commande et documents financiers.
Pressions financières dans un monde Covid-19
Désormais, en raison du Covid-19 et des pressions financières que cela a créées, les entreprises devront adopter des solutions automatisées de gestion des informations capables d’identifier et de gérer les données à détruire de la manière la plus rentable possible et de réaliser un retour sur investissement maximal.
Cela demande des efforts et une compréhension claire des données et de leur utilisation. Tout d’abord en identifiant où se trouvent les données, puis en commençant à définir une stratégie ILM spécifiquement pour la phase de destruction de ce cycle de vie. Ce faisant, si et quand les auditeurs remettent en question leurs données pour la conformité au RGPD, l’organisation peut démontrer qu’elle prend des mesures raisonnables.
Contactez-nous si vous souhaitez obtenir des conseils d’experts sur la façon de gérer la conformité GDPR et SAP ILM dans vos systèmes SAP.