K2 et le GDPR

Qui dit début d’année dit bonnes résolutions et l’une d’elles consiste à finaliser tous les billets entamés qui n’ont pas été publiés en 2017 . Nous allons commencer par le sujet du GDPR, ou RGPD en français (le Règlement Général sur la Protection des Données). Vous en avez forcément entendu parler, car il concerne toutes les entreprises Européennes (mais aussi les associations et collectivités locales), peu importe leur taille ou secteur d’activité. Le règlement a été adopté en 2016 et il est applicable à partir du 25 mai 2018…. autant dire demain.

Est-ce que la plateforme K2 est compatible GDPR ou est-ce qu’elle peut aider à la mise en conformité? Nous allons donc répondre à ces questions dans la suite de ce billet.

Image trouvée sur le net… mais je n’ai pas trouvé les crédits 🙁

Le GDPR, kesaco ?

Je ne vais pas rentrer dans le détail de ce qu’est le GDPR, vous trouverez pleins de ressources sur internet qui l’expliqueront beaucoup mieux que moi. En résumé, ce règlement repose sur l’obligation pour les entreprises de maîtriser les informations personnelles dont elles disposent sur leurs employés, clients, partenaires, prospects etc. Mais aussi, d’être transparent sur le sujet auprès de leurs interlocuteurs (quelles données sont récoltées, pour quel usage, informer lorsqu’il y a eu une violation), de fixer une durée de conservation des données récoltées, de limiter leur usage, d’obtenir un consentement explicite pour l’enregistrement de ces données, et également d’en assurer la sécurité.

Les entreprises qui ne respectent pas ces obligations se confrontent à une amende qui peut s’élever à 4% du chiffre d’affaire annuel mondial de l’entreprise .

Si vous voulez approfondir le sujet, le journal du net vient de mettre à disposition quelques vidéos explicatives parmi lesquelles : quelles sont les enjeux du GDPR pour les entreprises ou quels sont les droits et obligations des entreprises ou qu’est-ce qu’une donnée personnelle.

Et puis, si vous voulez interpréter vous même le règlement, vous pouvez en prendre connaissance ici (en français, 88 pages, 99 articles).

K2 est il compatible GDPR ?

K2 étant une boîte à outils, qui, pour son installation ne nécessite pas de données personnelles, la question ne se pose effectivement pas en ces termes. En effet, ce sont les applications que vous allez mettre en place avec K2 qui peuvent potentiellement devoir être compatibles. Cela va dépendre des données que vous allez décider d’y manipuler. Cependant, il y a quand même un aspect de compatibilité dépendant du mode de déploiement de K2 choisit (à demeure ou en ligne, K2 Five ou 4.7 ou K2 Cloud).

En effet, concernant la version online de K2 (K2 Cloud), même si K2 (l’éditeur) n’est toujours pas plus responsable des applications que vous mettez en place avec et donc des données que vous collectez au travers de celles-ci, nous proposons un espace de stockage de ces informations potentiellement personnelles. Vous pouvez décider de stocker les données collectées sur des ressources à vous ou utiliser cet espace de stockage. Ce dernier, s’appuyant sur du Azure SQL, est, d’un point de vue sécurité, compatible GDPR. De plus, dans le contrat Cloud qui lie le client à K2, les options de réversibilité et de durée de conservation des données en cas de rupture de contrat sont bien définies, tout comme la sécurité mise en place pour accéder aux données.

Concernant la version à demeure de K2, celle que vous installez chez vous ou chez l’hébergeur que vous avez sélectionné, K2 (l’éditeur) n’est pas responsable de ce que vous faîtes de la plateforme. Etant donné que, par défaut, K2 ne stocke pas d’informations personnelles sur quoi que ce soit, ce sont les applications que vous allez mettre en place avec K2 qui portent le stockage éventuel d’informations personnelles, et ce sont donc aux applications d’être compatibles. Concernant la sécurité des données qui circuleront au travers de la plateforme, c’est l’architecture que vous mettez en place qui devra être sécurisée. On peut donc dire que K2 on-prem n’est pas directement concerné par la réglementation.

K2 peut-il m’aider à me mettre en conformité ?

Pour se mettre en conformité, il va falloir établir une gouvernance autour des données récoltées. Aujourd’hui, dans la plupart des organisations, les informations personnelles sont dispatchées et voire même souvent dupliquées dans différents outils (dans l’annuaire, dans le SIRH, dans le CRM, de temps en temps dans SharePoint puis dans diverses sources de données dépendant des applications existantes). Il est donc nécessaire d’en faire une cartographie précise.

Ensuite, il y a l’aspect technique de la réglementation, obligeant les organisations à recueillir le consentement des individus, à le tracer puis à répondre aux demandes de consultation, modification et suppression de ces informations, à gérer les traitements périodique et à notifier en cas de fuite etc. On parle ici de processus et on se retrouve donc évidemment dans la cour de K2… si vous devez construire de telles applications, vous avez donc intérêt à le faire avec la plateforme. Quant à l’accès aux données, s’il est nécessaire d’interroger de multiples outils au sein du SI, une fois la cartographie des données réalisée, il suffira de la « transformer » en un ou des smartobjects K2 afin de faciliter leur manipulation. Ces derniers pourront également être utilisés pour éviter la duplication d’une même information dans votre SI. Bref… on parle de la philosophie même de K2. La plateforme K2 est donc pensée et structurée pour pouvoir faciliter la mise en conformité au GDPR.

Quelques ressources K2 sur le sujet

Deux webinars sur le sujet ont été menés par nos collègues européens. Si vous souhaitez les revoir, vous pouvez suivre les liens suivants :

Happy K2ing!

jean

Directeur technique de K2 France depuis 2006 et passionné par les technologies, je travaille dans le monde du BPM et des applications métier depuis... que je travaille :). Vous pouvez également me suivre sur twitter, linkedin.

One thought to “K2 et le GDPR”

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.