New call-to-action

RGPD – Comment les utilisateurs de systèmes SAP peuvent-ils minimiser les risques de non-conformité ?

15-07-2024 | 7 | Archivage des données SAP, Conformité au RGPD, SAP Information Lifecycle Management

Auteur : Priyasha Purkayastha, Sr. Rédacteur de contenu | Co-auteur : Laura Parri Royo, Directrice Marketing

Au sein de la communauté SAP, la non-conformité au RGPD a toujours été considérée comme une menace sérieuse. Cela s’explique par la grande complexité de l’architecture des systèmes SAP et par le volume important de données traitées dans ces systèmes. Cet article présente une mise à jour détaillée du règlement général sur la protection des données, les niveaux de sanction auxquels vous pouvez vous attendre si votre entreprise est jugée non conforme, et la façon dont les utilisateurs de systèmes SAP peuvent atténuer ce risque. Lire la suite !

Table des matières

Pénalités RGPD – Qui a été sanctionné récemment ?

En mars 2024, l’Information Commissioner’s Office (bureau du commissaire à l’information) a clarifié les méthodes qu’il utilisera pour calculer les amendes infligées en cas de violation de la législation sur la confidentialité des données au Royaume-Uni. Cette clarification est importante car 2023 était une année plutôt coûteuse pour certaines entreprises lorsqu’elles envisageaient d’appliquer le RGPD .

Parmi toutes les amendes prononcées par le passé, Meta s’est vu infliger une pénalité record de 1,2 milliard de livres sterling en 2023 pour avoir échangé des données non conformes entre ses activités dans l’Union européenne et aux États-Unis. Il s’agit de l’amende la plus importante jamais infligée à une entreprise pour une infraction au RGPD. Cependant, n’oubliez pas qu’ils n’ont pas été les seuls à être pénalisés ; l’année 2023 a été une année chargée. Au cours de cette période, TikTok et Spotify ont également été condamnés à des amendes de plusieurs millions de livres sterling pour non-respect du GDPR. Spotify s’est vu infliger une amende en Suède pour manque de transparence dans l’utilisation des données collectées auprès de ses utilisateurs. TikTok a été condamné à une amende pour avoir traité les données personnelles de 1,4 million d’ enfants de moins de 13 ans et pour ne pas avoir protégé ces utilisateurs et n’avoir pas effectué de contrôles adéquats.

Ces histoires soulignent toutes que les risques de se voir infliger une lourde pénalité au titre du RGPD sont restés les mêmes depuis la vague de cas survenus au cours de la période 2019-2021, lorsque Amazon, British Airways, Google, Marriott International et H&M – ont tous été confrontés à des amendes assez lourdes pour non-conformité.

Leçons d’histoire – Les grandes marques qui ont dû faire face à des pénalités RGPD

  • En 2021, Amazon s’est vu infliger une amende de 746 millions d’euros par la Commission nationale de protection des données (CNPD) du Luxembourg pour traitement non conforme de données à caractère personnel[1].
  • En 2019, Google a été condamné à une amende de 50 millions d’euros par la Commission nationale de l’informatique et des libertés (CNIL) pour manque de transparence et de consentement valable concernant les publicités personnalisées[2].
  • En 2020, British Airways a été condamnée à une amende de 20 millions de livres sterling par l’Information Commissioner’s Office (ICO) du Royaume-Uni pour une violation de données qui a touché plus de 400 000 clients. La violation a porté sur des données personnelles telles que des informations de connexion, des détails de cartes de paiement et des informations sur les réservations de voyage[3].
  • En 2020, Marriott s’est vu infliger une amende de 18,4 millions de livres sterling par l’ICO pour une violation de données informatiques qui a exposé les données personnelles d’environ 339 millions de clients dans le monde entier[4].
  • En 2020, H&M a été condamnée à une amende de 35,3 millions d’euros par l’autorité allemande de protection des données pour surveillance illégale des employés en raison de la tenue de dossiers détaillés sur la vie privée des employés[5].

Risques les plus courants liés au RGPD pour les utilisateurs de systèmes SAP

Les marques ont donc été condamnées à une amende pour avoir gravement enfreint les exigences du RGPD. Qu’est-ce que cela signifie pour les utilisateurs de SAP ? Peuvent-ils également être condamnés à une amende ? En fait, oui ! Toute infraction au règlement général sur la protection des données peut entraîner de lourdes sanctions, que vous soyez basé dans l’UE ou que vous traitiez avec des citoyens de l’UE. Les autorités de l’UE imposent deux niveaux différents de sanctions aux organisations qui ne respectent pas les règles. L’une concerne les infractions moins graves, avec des amendes pouvant aller jusqu’à 10 %, et l’autre les infractions graves, avec des amendes pouvant aller jusqu’à 20 %. Nous avons abordé le RGPD et ses sanctions dans le blog ci-dessous. Cliquez sur le bouton pour en savoir plus !

En ce qui concerne les risques RGPD les plus courants pour les utilisateurs de systèmes SAP, rappelez-vous que SAP est l’un des systèmes ERP les plus puissants et qu’il est généralement adopté par les grandes organisations. Les utilisateurs exploitent généralement leur entreprise sur plusieurs sites, ce qui signifie que de grandes quantités de données à caractère personnel sont réparties entre différents modules, systèmes et sites.

En savoir plus sur les défis de la conformité au RGPD pour les utilisateurs de SAP

De plus, SAP est utilisé par de nombreuses fonctions de l’entreprise – des finances à la fabrication et des ressources humaines à la gestion des relations avec la clientèle. Cela signifie que différents types de données concernant les individus, le personnel, les clients et les fournisseurs sont stockés dans plusieurs bases de données. Toutes ces données acquises doivent être traitées et stockées conformément aux exigences fondamentales du RGPD. Il s’agit notamment de ne conserver les données que le temps nécessaire (règle du droit à l’oubli), de s’assurer que les données conservées sont exactes et que leur traitement est licite. Cependant, il a été observé que les organisations prennent souvent la tenue de registres à la légère, ce qui entraîne plusieurs problèmes de non-conformité. En fait, la mauvaise tenue des dossiers est l’une des violations les plus courantes du RGPD.

SAP promeut le concept de « garder le noyeau propre » pour s’assurer que les utilisateurs puissent bénéficier d’une performance maximale du système. Cela crée des risques supplémentaires liés au RGPD pour les utilisateurs du système SAP, car ils devront s’intégrer à des applications et des services tiers pour obtenir des fonctionnalités système plus spécifiques. Cela signifie que les intégrations avec d’autres fournisseurs doivent également être conformes, à la fois en termes de modalités d’échange des données entre les systèmes et de conformité au RGPD du fournisseur du système. Outre la complexité du système, la sécurité est un autre facteur de risque important pour les utilisateurs de SAP. Les entreprises qui utilisent des systèmes SAP doivent mettre en place des contrôles d’accès stricts pour s’assurer que les utilisateurs non autorisés ne peuvent pas accéder à des données qu’ils n’ont pas le droit de consulter ou de traiter.

Droits de l’individu

Le changement le plus important que la législation RGPD a apporté est le niveau de contrôle que tout individu a maintenant sur la façon dont les données personnelles peuvent être utilisées. Ils peuvent demander l’accès à toutes les données détenues à leur sujet et demander qu’elles soient modifiées ou supprimées. Tous les utilisateurs du système SAP doivent avoir mis en place des systèmes garantissant que, si une demande de ce type est formulée, elle peut être exécutée très rapidement. L’un des utilisateurs de TJC Group nous a engagés dans un projet visant précisément à faire cela et à s’assurer qu’il serait prêt à répondre à ces demandes si elles étaient formulées à l’avenir.

TJC Group Étude de cas Groupe Carlsberg Archivage des données SAP et conformité RGPD

Le « droit à l’oubli », c’est-à-dire l’obligation de réagir rapidement en cas de violation des données, y est lié. C’est très important car le premier risque de perte de données auquel les entreprises sont confrontées est celui des cyberattaques et, de plus en plus, les pirates informatiques s’en prennent aux données personnelles. En cas de violation de données, les utilisateurs SAP doivent être en mesure de détecter la violation, d’y répondre et de la signaler dans les 72 heures, comme l’exige le règlement RGPD.

Comment minimiser les risques de non-conformité au GDPR ?

Il existe de nombreuses façons pour les utilisateurs de SAP de s’aider eux-mêmes et de réduire leur exposition à la non-conformité au GDPR. L’une des solutions les plus efficaces consiste à mettre en œuvre la solution SAP Information Lifecycle Management (ILM). Voici comment l’ILM permet d’éviter la non-conformité au RGPD –

Gestion de la conservation des données

ILM aide les organisations à définir et à mettre en œuvre des politiques de conservation des données. En précisant la durée de conservation des différents types de données, l’ILM garantit que les données à caractère personnel ne sont conservées que le temps nécessaire, ce qui est une exigence cruciale du RGPD. Il automatise la suppression des données une fois que la période de conservation a expiré, réduisant ainsi le risque de conserver des données de manière illégale.

Archivage des données

L’ILM permet d’archiver efficacement les données qui ne sont plus utilisées activement mais qui doivent être conservées pour des raisons de conformité ou de gestion. Les données archivées sont stockées en toute sécurité et peuvent être récupérées en cas de besoin, ce qui permet aux organisations de trouver un équilibre entre le besoin d’accessibilité des données et les exigences de conformité.

Effacement et destruction des données

ILM provides functionality for the secure deletion and destruction of data. This ensures that personal data can be permanently removed from the system in a controlled and auditable manner, fulfilling GDPR’s right to be forgotten rule.

Conclusion

Les organisations qui utilisent des systèmes SAP doivent être vigilantes quant à la conformité au RGPD, car elles s’exposent à des sanctions importantes. Ils doivent s’assurer que de solides mesures de protection des données sont en place, que des audits réguliers sont réalisés et qu’une documentation précise existe afin de minimiser le risque d’être jugé non conforme.

GDPR, General data protection regulation compliance | TJC Group

Cela dit, même lors de la mise en œuvre de SAP ILM, les organisations doivent faire preuve d’une grande prudence, car la mise en œuvre peut être délicate. Dans de tels cas, vous avez besoin de partenaires qui peuvent faciliter le processus pour vous, et le groupe TJC est là pour vous aider. Notre vaste expertise en matière d’ILM, d’archivage et de gestion des données peut vous aider non seulement à vous mettre en conformité avec le GDPR, mais aussi à réduire le coût total de possession, la sécurité et les risques juridiques. Contactez-nous pour plus d’informations !

Retour à tous les blogs
Archivage des données SAP Carrières Conformité au RGPD Conformité entre les entreprises et les gouvernements Conformité SAF-T Cybersécurité DART Décommissionnement des systèmes legacy Durabilité Enterprise Legacy System Application (ELSA) Événement Facturation et déclaration électroniques au niveau mondial Fichier des Écritures Comptables (FEC) Gestion des données pour la migration S/4HANA Gestion des données SAP Points forts de SAP Préparation fiscale et d'audit SAP BTP SAP Information Lifecycle Management Tendances informatiques TJC Group Corporate
November 2024October 2024September 2024August 2024July 2024June 2024May 2024April 2024March 2024February 2024January 2024December 2023November 2023October 2023September 2023August 2023July 2023June 2023May 2023April 2023March 2023February 2023January 2023December 2022November 2022October 2022September 2022August 2022June 2022April 2022March 2022February 2022December 2021November 2021October 2021September 2021July 2021June 2021May 2021April 2021March 2021February 2021January 2021December 2020November 2020October 2020September 2020August 2020June 2020May 2020April 2020March 2020February 2020January 2020December 2019October 2019September 2019July 2019November 2018August 2018July 2018June 2018April 2018February 2018December 2017May 2017February 2016December 2015May 2015February 2014March 2013

Articles récents

New Zealand - Data Privacy - Header
Loi sur la confidentialité des données : Qu’est-ce qui se cache derrière la loi néo-zélandaise sur la protection de la vie privée de 2020 ?

04/11/2024 |  

7

NIS2 patching derogation
Faut-il appliquer la dérogation NIS2 aux systèmes legacy SAP ?

29/10/2024 |  

5

Plus comme ça

New Zealand - Data Privacy - Header

Loi sur la confidentialité des données : Qu’est-ce qui se cache derrière la loi néo-zélandaise sur la protection de la vie privée de 2020 ?

04/11/2024 |  

7

ISO27001 and Legacy Systems Header (1) (1)

ISO27001 et les systèmes legacy | Tout ce que vous devez savoir à ce sujet !

28/10/2024 |  

11

Data Privacy Law Argentina

Loi sur la protection des données : Tout savoir sur la loi argentine sur la protection des données personnelles

15/10/2024 |  

6