1. 1
Laboratoire de la Flexibilité
RGPD-GDPR impacts sur l’Architecture SI
Club Urba-EA
Colloque DPO Consulting
30 mai 2017
René Mandel
Vice-Président du Club Urba-EA
2. 2
Rappels sur le Club Urba-EA
Association de 1901 créée en 2000
Regroupe les Architectes d’Entreprise et Urbanistes SI
Centrée sur le retour d’expérience et le partage de pratiques
Déontologie-positionnement :
Pas d’engagement dans une méthodologie
Indépendance par rapport aux fournisseurs
Partenaire du Cigref et de DPO Consulting
En 2017
70 entreprises membres
115 personnes adhérentes
3. 3
Impacts SI : la cible et le patrimoine
Le Privacy by Design
Conformité des nouveaux traitements
Avoir une « cible d’Architecture » pour les projets
Développer certains composants « en avance de phase »
Échéance mai 2018 (en pratique : dès maintenant)
Le patrimoine SI
Délai de 2 ans pour la mise en conformité
Peut impliquer des modifications diffuses : cumul des coûts ?
Quel équilibre entre le délai, le coût, le risque ?
Points difficiles : portabilité, Privacy by Defaut (minimisation)
4. 4
La Cible GDPR-EA
GDPR-EA
Plateforme de conformité
Référentie
ls et Puits
Règles
Exercice des
droits
Information
Administration
de la
protection
Relations
structure de
contrôle
ERP Applications Processus
Nouveaux
composants
Référentie
ls et Puits
Moteur
transfert
Moteur
portabilité
Audit -
démonstration
Alertes-
violations
Gestion des
risques
Registre
Copyright Club Urba-EAVersion 1 15/05/2017
Fonctions de conformité
Espace sécurisé
5. 5
4 types d’impacts pour le SI
Des « domaines fonctionnels » spécifiques
Exercice des droits,
Moteur de portabilité, de minimisation, de transfert (hors UE),
Administration de la Protection des données privées
Des impératifs de sécurité renforcés
Anonymisation, cryptage
Architecture de sécurité
Impact sur la cible d’architecture du SI
Licéité des traitements y compris dans le patrimoine existant
Impacts diffus dans le patrimoine
Problématique typique d’urbanisation
1
2
3
4
6. 6
Impacts 1
GDPR-EA
Plateforme de conformité
Référentie
ls et Puits
Règles
Exercice des
droits
Information
Administration
de la
protection
Relations
structure de
contrôle
ERP Applications Processus
Nouveaux
composants
Référentie
ls et Puits
Moteur
transfert
Moteur
portabilité
Audit -
démonstration
Alertes-
violations
Gestion des
risques
Registre
Copyright Club Urba-EAVersion 1 15/05/2017
Fonctions de conformité
Espace sécurisé
1
1 1
« domaines fonctionnels » spécifiques1
7. 7
Impacts 2
GDPR-EA
Plateforme de conformité
Référentie
ls et Puits
Règles
Exercice des
droits
Information
Administration
de la
protection
Relations
structure de
contrôle
ERP Applications Processus
Nouveaux
composants
Référentie
ls et Puits
Moteur
transfert
Moteur
portabilité
Audit -
démonstration
Alertes-
violations
Gestion des
risques
Registre
Copyright Club Urba-EAVersion 1 15/05/2017
Fonctions de conformité
Espace sécurisé
1
1 1
2
Impératifs de sécurité renforcés2
8. 8
Impacts 3
GDPR-EA
Impact sur l’architecture du SI
Plateforme de conformité
Référentie
ls et Puits
Règles
Exercice des
droits
Information
Administration
de la
protection
Relations
structure de
contrôle
ERP Applications Processus
Nouveaux
composants
Référentie
ls et Puits
Moteur
transfert
Moteur
portabilité
Audit -
démonstration
Alertes-
violations
Gestion des
risques
Registre
Copyright Club Urba-EAVersion 1 15/05/2017
Fonctions de conformité
Espace sécurisé
1
1 1
2
3
Impact sur la cible
d’architecture du SI
9. 9
Impacts 4
GDPR-EA
Impact sur l’architecture du SI
Plateforme de conformité
Référentie
ls et Puits
Règles
Exercice des
droits
Information
Administration
de la
protection
Relations
structure de
contrôle
ERP Applications Processus
Nouveaux
composants
Référentie
ls et Puits
Moteur
transfert
Moteur
portabilité
Audit -
démonstration
Alertes-
violations
Gestion des
risques
Registre
Copyright Club Urba-EAVersion 1 15/05/2017
Fonctions de conformité
Espace sécurisé
1
1 1
2
3
Impacts diffus4
10. 10
Migration par étapes
Installation progressive de la cible
Composants à développer ou rénover
Plateforme de conformité :
Non intrusive pour le patrimoine
Exécute la conformité des nouveaux traitements
Préserver l’indépendance par rapport aux éditeurs
Définir des API standards de marché
Garder le contrôle de la plateforme de conformité (transverse,
sécurisée)
Disposer de solutions flexibles
Reconfigurations
Evolutions réglementaires
11. 11
Espace sécurisé
Plateforme de conformité
Règles
Exercice des
droits
Information
Administratio
n de la
protection
Moteur
transfert
Relations
structure de
contrôle
ERP Applications Processus
Nouveaux
composants
Puits des
consenteme
nts
Puits des
validations
des
traitements
Portail personne Portail DPO
Demande de traitement
Autorisation de traitement
Compte rendu de traitement
Moteur
portabilité
Fonctions de conformité
Audit -
démonstration
Alertes-
violations
Gestion des
risques
Registre des
traitementsDictionnaire
des
informations
personnelles
Référentiels
des
personnes
Copyright Club Urba-EA
12. 12
Le groupe Inter-entreprises du Laboratoire
Urba-EASujets abordés
Mise en commun de moteur de règles (licéité, …)
Design de la plateforme de conformité
APIs : interactions avec applications de traitement
Solutions de portabilité, oubli, minimisation,…
Modalités
Adhésion pour un an au groupe de travail
Planning
Mise en place du Groupe avant l’été
Livrables pour fin 2017
1
2
3
13. 13
Liens utiles
Groupe de Travail du Club Urba-EA sur la GDPR :
Travaux 2017 du Club Urba-EA
Voir aussi Architecture d’Entreprise et GDPR :
http://www.value-architecture.com/2017/03/la-reglementation-gdpr-defi.html
Sur l’Architecture Flexible :
http://trame-business.fr/mon-installation/index.php/architecture-flexible/
Contact : rene.mandel@oresys.fr