RGPD – Comment les utilisateurs de systèmes SAP peuvent-ils minimiser les risques de non-conformité ?

15-07-2024 | 7 lecture minimale | Archivage des données SAP, Conformité au RGPD, SAP Information Lifecycle Management

En mars 2024, l’Information Commissioner’s Office (bureau du commissaire à l’information) a clarifié les méthodes qu’il utilisera pour calculer les amendes infligées en cas de violation de la législation sur la confidentialité des données au Royaume-Uni. Cette clarification est importante car 2023 était une année plutôt coûteuse pour certaines entreprises lorsqu’elles envisageaient d’appliquer le RGPD .

Parmi toutes les amendes prononcées par le passé, Meta s’est vu infliger une pénalité record de 1,2 milliard de livres sterling en 2023 pour avoir échangé des données non conformes entre ses activités dans l’Union européenne et aux États-Unis. Il s’agit de l’amende la plus importante jamais infligée à une entreprise pour une infraction au RGPD. Cependant, n’oubliez pas qu’ils n’ont pas été les seuls à être pénalisés ; l’année 2023 a été une année chargée. Au cours de cette période, TikTok et Spotify ont également été condamnés à des amendes de plusieurs millions de livres sterling pour non-respect du GDPR. Spotify s’est vu infliger une amende en Suède pour manque de transparence dans l’utilisation des données collectées auprès de ses utilisateurs. TikTok a été condamné à une amende pour avoir traité les données personnelles de 1,4 million d’ enfants de moins de 13 ans et pour ne pas avoir protégé ces utilisateurs et n’avoir pas effectué de contrôles adéquats.

Ces histoires soulignent toutes que les risques de se voir infliger une lourde pénalité au titre du RGPD sont restés les mêmes depuis la vague de cas survenus au cours de la période 2019-2021, lorsque Amazon, British Airways, Google, Marriott International et H&M – ont tous été confrontés à des amendes assez lourdes pour non-conformité.

  • En 2021, Amazon s’est vu infliger une amende de 746 millions d’euros par la Commission nationale de protection des données (CNPD) du Luxembourg pour traitement non conforme de données à caractère personnel[1].
  • En 2019, Google a été condamné à une amende de 50 millions d’euros par la Commission nationale de l’informatique et des libertés (CNIL) pour manque de transparence et de consentement valable concernant les publicités personnalisées[2].
  • En 2020, British Airways a été condamnée à une amende de 20 millions de livres sterling par l’Information Commissioner’s Office (ICO) du Royaume-Uni pour une violation de données qui a touché plus de 400 000 clients. La violation a porté sur des données personnelles telles que des informations de connexion, des détails de cartes de paiement et des informations sur les réservations de voyage[3].
  • En 2020, Marriott s’est vu infliger une amende de 18,4 millions de livres sterling par l’ICO pour une violation de données informatiques qui a exposé les données personnelles d’environ 339 millions de clients dans le monde entier[4].
  • En 2020, H&M a été condamnée à une amende de 35,3 millions d’euros par l’autorité allemande de protection des données pour surveillance illégale des employés en raison de la tenue de dossiers détaillés sur la vie privée des employés[5].

Les marques ont donc été condamnées à une amende pour avoir gravement enfreint les exigences du RGPD. Qu’est-ce que cela signifie pour les utilisateurs de SAP ? Peuvent-ils également être condamnés à une amende ? En fait, oui ! Toute infraction au règlement général sur la protection des données peut entraîner de lourdes sanctions, que vous soyez basé dans l’UE ou que vous traitiez avec des citoyens de l’UE. Les autorités de l’UE imposent deux niveaux différents de sanctions aux organisations qui ne respectent pas les règles. L’une concerne les infractions moins graves, avec des amendes pouvant aller jusqu’à 10 %, et l’autre les infractions graves, avec des amendes pouvant aller jusqu’à 20 %. Nous avons abordé le RGPD et ses sanctions dans le blog ci-dessous. Cliquez sur le bouton pour en savoir plus !

En ce qui concerne les risques RGPD les plus courants pour les utilisateurs de systèmes SAP, rappelez-vous que SAP est l’un des systèmes ERP les plus puissants et qu’il est généralement adopté par les grandes organisations. Les utilisateurs exploitent généralement leur entreprise sur plusieurs sites, ce qui signifie que de grandes quantités de données à caractère personnel sont réparties entre différents modules, systèmes et sites.

De plus, SAP est utilisé par de nombreuses fonctions de l’entreprise – des finances à la fabrication et des ressources humaines à la gestion des relations avec la clientèle. Cela signifie que différents types de données concernant les individus, le personnel, les clients et les fournisseurs sont stockés dans plusieurs bases de données. Toutes ces données acquises doivent être traitées et stockées conformément aux exigences fondamentales du RGPD. Il s’agit notamment de ne conserver les données que le temps nécessaire (règle du droit à l’oubli), de s’assurer que les données conservées sont exactes et que leur traitement est licite. Cependant, il a été observé que les organisations prennent souvent la tenue de registres à la légère, ce qui entraîne plusieurs problèmes de non-conformité. En fait, la mauvaise tenue des dossiers est l’une des violations les plus courantes du RGPD.

SAP promeut le concept de « garder le noyeau propre » pour s’assurer que les utilisateurs puissent bénéficier d’une performance maximale du système. Cela crée des risques supplémentaires liés au RGPD pour les utilisateurs du système SAP, car ils devront s’intégrer à des applications et des services tiers pour obtenir des fonctionnalités système plus spécifiques. Cela signifie que les intégrations avec d’autres fournisseurs doivent également être conformes, à la fois en termes de modalités d’échange des données entre les systèmes et de conformité au RGPD du fournisseur du système. Outre la complexité du système, la sécurité est un autre facteur de risque important pour les utilisateurs de SAP. Les entreprises qui utilisent des systèmes SAP doivent mettre en place des contrôles d’accès stricts pour s’assurer que les utilisateurs non autorisés ne peuvent pas accéder à des données qu’ils n’ont pas le droit de consulter ou de traiter.

Le changement le plus important que la législation RGPD a apporté est le niveau de contrôle que tout individu a maintenant sur la façon dont les données personnelles peuvent être utilisées. Ils peuvent demander l’accès à toutes les données détenues à leur sujet et demander qu’elles soient modifiées ou supprimées. Tous les utilisateurs du système SAP doivent avoir mis en place des systèmes garantissant que, si une demande de ce type est formulée, elle peut être exécutée très rapidement. L’un des utilisateurs de TJC Group nous a engagés dans un projet visant précisément à faire cela et à s’assurer qu’il serait prêt à répondre à ces demandes si elles étaient formulées à l’avenir.

TJC Group Étude de cas Groupe Carlsberg Archivage des données SAP et conformité RGPD

Le « droit à l’oubli », c’est-à-dire l’obligation de réagir rapidement en cas de violation des données, y est lié. C’est très important car le premier risque de perte de données auquel les entreprises sont confrontées est celui des cyberattaques et, de plus en plus, les pirates informatiques s’en prennent aux données personnelles. En cas de violation de données, les utilisateurs SAP doivent être en mesure de détecter la violation, d’y répondre et de la signaler dans les 72 heures, comme l’exige le règlement RGPD.

Il existe de nombreuses façons pour les utilisateurs de SAP de s’aider eux-mêmes et de réduire leur exposition à la non-conformité au GDPR. L’une des solutions les plus efficaces consiste à mettre en œuvre la solution SAP Information Lifecycle Management (ILM). Voici comment l’ILM permet d’éviter la non-conformité au RGPD –

ILM aide les organisations à définir et à mettre en œuvre des politiques de conservation des données. En précisant la durée de conservation des différents types de données, l’ILM garantit que les données à caractère personnel ne sont conservées que le temps nécessaire, ce qui est une exigence cruciale du RGPD. Il automatise la suppression des données une fois que la période de conservation a expiré, réduisant ainsi le risque de conserver des données de manière illégale.

L’ILM permet d’archiver efficacement les données qui ne sont plus utilisées activement mais qui doivent être conservées pour des raisons de conformité ou de gestion. Les données archivées sont stockées en toute sécurité et peuvent être récupérées en cas de besoin, ce qui permet aux organisations de trouver un équilibre entre le besoin d’accessibilité des données et les exigences de conformité.

ILM provides functionality for the secure deletion and destruction of data. This ensures that personal data can be permanently removed from the system in a controlled and auditable manner, fulfilling GDPR’s right to be forgotten rule.

Les organisations qui utilisent des systèmes SAP doivent être vigilantes quant à la conformité au RGPD, car elles s’exposent à des sanctions importantes. Ils doivent s’assurer que de solides mesures de protection des données sont en place, que des audits réguliers sont réalisés et qu’une documentation précise existe afin de minimiser le risque d’être jugé non conforme.

GDPR, General data protection regulation compliance | TJC Group

Cela dit, même lors de la mise en œuvre de SAP ILM, les organisations doivent faire preuve d’une grande prudence, car la mise en œuvre peut être délicate. Dans de tels cas, vous avez besoin de partenaires qui peuvent faciliter le processus pour vous, et le groupe TJC est là pour vous aider. Notre vaste expertise en matière d’ILM, d’archivage et de gestion des données peut vous aider non seulement à vous mettre en conformité avec le GDPR, mais aussi à réduire le coût total de possession, la sécurité et les risques juridiques. Contactez-nous pour plus d’informations !