Le Règlement général sur la protection des données (RGPD), introduit par l’Union européenne (UE), est entré en vigueur le 25 mai 2018. Ce règlement ne s’applique pas seulement aux données à caractère personnel utilisées dans les systèmes informatiques centraux, mais aussi aux applications informatiques de l’utilisateur final qui sont souvent des outils indépendants développés de manière native.

Nous avons récemment mis en ligne un webinaire à la demande, Étapes pratiques pour la mise en conformité au RGPD, qui porte sur un plan global en 16 étapes de mise en œuvre d’un programme de gouvernance des données en vue d’assurer la conformité au RGPD.

La gestion de l’End User Computing est l’Étape 13 de ce plan. Pour en savoir plus sur les douze premières étapes, consultez les liens dans la barre latérale.

Télécharger Comment gérer l’End User Computing [Étape 13 du RGPD] maintenant
En savoir plus

L’impact du RGPD sur les applications informatiques de l’utilisateur final

L’End user computing (EUC) fait référence à la création par les utilisateurs professionnels de leurs propres applications ad hoc pour répondre à des exigences spécifiques. Comme ces utilisateurs ne sont généralement pas les programmeurs principaux, les applications informatiques des utilisateurs finaux peuvent être des scripts ou une interface visuelle qui édite des codes.

Les entreprises utilisent un volume important d’applications informatiques des utilisateurs finaux sous la forme de feuilles de calcul et de bases de données pouvant être stockées sur des ordinateurs de bureau ou dans des référentiels basés dans le cloud. Par exemple, il arrive souvent que les utilisateurs aient des feuilles de calcul indépendantes qui génèrent des rapports et calculent des indicateurs.

L’Article 32 du RGPD concerne la sécurité du traitement des données à caractère personnel. Cette exigence de protection des données s’applique également aux applications informatiques de l’utilisateur final.

Ces applications échappent généralement au contrôle du service informatique et peuvent contenir des données à caractère personnel sensibles. Elles sont souvent sujettes à des vulnérabilités, car elles ne sont pas régulées comme les systèmes informatiques. Le service de gouvernance des données doit donc se concentrer sur ces applications afin d’éviter une atteinte à la réputation de l’entreprise et de lourdes amendes.

La gestion des applications informatiques de l’utilisateur final est importante dans le contexte du « droit à l’oubli » des personnes concernées, détaillé dans l’Article 17 du RGPD. Si un utilisateur choisit d’être effacé des systèmes, les entreprises n’ont pas le droit d’avoir des données restantes dans ces applications non contrôlées.

Comment gérer les applications informatiques de l’utilisateur final : 5 étapes clés

La plupart des entreprises ne comprennent pas que les applications informatiques de l’utilisateur final relèvent de la compétence du service de gouvernance des données. Cependant, avec le RGPD, toute entreprise qui traite des données de l’UE doit être attentive à ces applications et prendre des mesures immédiates pour assurer la conformité.

Voici quelques étapes de la gestion des applications informatiques de l’utilisateur final :

  1. Élaborer des politiques — Le service de gouvernance des données, en collaboration avec les services juridique et de conformité, doit élaborer des politiques incluant ces applications dans les normes de protection des données. Ils doivent également recommander de ne plus intégrer des données à caractère personnel sensibles dans ces applications informatiques de l’utilisateur final à l’avenir.
  2. Faire un bilan — La gestion des applications informatiques de l’utilisateur final est problématique, car la plupart de ces applications sont indépendantes et souvent cachées. Les équipes de conformité ignorent parfois même l’existence de telles applications. Le service de gouvernance des données doit créer un inventaire de ces applications pour faire appliquer la protection des données.
  3. Analyser les données — Une fois les applications informatiques de l’utilisateur final identifiées, il est important d’analyser les données pour voir si des informations sensibles sont utilisées. Par exemple, l’utilisation de catégories spéciales comme la race, l’âge, etc., sont des violations directes du RGPD. Des mesures de remédiation appropriées doivent être prises.
  4. Instaurer des normes de protection des données — Une fois les applications informatiques de l’utilisateur final identifiées et leur utilisation des données comprise, les entreprises doivent instaurer des mécanismes de protection des données, par exemple masquer les champs pour garantir la confidentialité de l’identité, le cas échéant.
  5. Mettre les applications informatiques de l’utilisateur final sous la houlette du service informatique — L’objectif à long terme pour les entreprises est d’éviter l’utilisation d’applications indépendantes de ce type, et de les mettre sous la houlette du service informatique pour qu’elles soient mieux suivies et prises en charge.

Utiliser Talend pour gérer les applications informatiques de l’utilisateur final

Les outils Talend offrent deux options pour reprendre le contrôle de l’informatique des utilisateurs finaux.

1 Solution alternative pour l’End User Computing

La première solution pour reprendre le contrôle consiste à offrir à ceux qui traitent des données à caractère personnel une meilleure solution que les outils de bureautique. Environ douze pour cent des employés d’une entreprise participent à la préparation des données en libre-service à l’aide de diverses feuilles de calcul, le plus souvent (49 %) dans le cadre des opérations et prévisions.

Talend Data Preparation offre aux utilisateurs professionnels une approche plus efficace de la préparation des données, même personnelles. Il suit les activités connexes en capturant automatiquement les informations personnelles identifiables au sein d’une source de données, ainsi que les actions menées sur ces données par les utilisateurs (Figure 1).

End User Computing

Figure 1 : Talend Data Preparation offre de meilleures options en libre-service que Microsoft Excel et d’autres applications de bureautique pour la préparation des données et la capture des activités des utilisateurs métiers et garantit ainsi un contrôle et une réutilisation en toute sécurité.

2 La protection des données dans l’End User Computing

La seconde approche pour reprendre le contrôle sur l’End User Computing consiste à capturer les données d’un texte en format libre, après collecte, puis de prendre les mesures adéquates, en effectuant une catégorisation ou un masquage, par exemple.

Talend Data Quality utilise des capacités de machine learning—sous forme de traitement en langage naturel—afin d’extraire et d’identifier les éventuelles données à caractère personnel du texte en format libre d’un document (e-mail, Microsoft Word ou PDF), d’une application (Salesforce, Zendesk ou Service Now) ou du contenu généré par un utilisateur au sein d’une application web ou mobile (réseaux sociaux ou forum de discussion). Cette solution permet d’identifier et de traiter les références aux données à caractère personnel dans le texte en format libre, ce qui signifie que l’ensemble du processus peut être adapté à des besoins de traitement de big data en temps réel.

Étapes suivantes de gestion de l’End User Computing

Les entreprises ont tendance à ne pas inclure les applications informatiques de l’utilisateur final dans leurs priorités, en raison de leur faible visibilité. Avec l’introduction du RGPD, il n’est toutefois plus possible de les ignorer. Les entreprises doivent donc choisir entre passer à un autre système de bureautique ou gérer la protection des données dans une application End User Computing. Dans les deux cas, les outils Talend sont utiles.

L’étape suivante du plan global en 16 étapes de Talend pour assurer la conformité au RGPD est le contrôle du cycle de vie des informations.

Pour en savoir plus à ce sujet et voir l’ensemble des 16 étapes, ne manquez pas notre webinaire à la demande, Étapes pratiques de la conformité au RGPD. Ce webinaire comprend des informations sur le développement de normes et de contrôles, l’identification des propriétaires de données, l’identification d’éléments de données critiques, la mise en œuvre d’évaluations du risque, l’amélioration de la qualité des données et bien d’autres sujets encore.