Le RGPD ou Règlement Général de la Protection des Données est en vigueur depuis le 25 mai 2018.

Chez Couchbase, éditeur d’une plateforme de données NoSQL, nous avons constaté l’impact du RGPD sur tous les projets concernés par les données personnelles avec une accélération de la modernisation des projets de transformation digitale, une amélioration de la maîtrise des déploiements et un renforcement de la sécurité dès la phase de conception.

Leçon 1 : Amélioration de la connaissance client et de la personnalisation

Le règlement impose l’obligation pour l’entreprise de fournir sous 30 jours l’intégralité de ses données à toute personne les réclamant. Répondre à un client qui pose la question « quelles données avez-vous sur moi ? » – sans qu’un employé ait à fouiller manuellement dans des dizaines de sources de données disparates, est une condition sine qua non pour répondre en 30 jours à des dizaines de milliers de demandes simultanées comme c’est le cas pour un opérateur télécom, une banque ou un organisme public. Pour se conformer à cette demande, les entreprises ont donc entrepris d’investir massivement dans la construction de plateformes de données capables de fournir une vision client à 360°.

Là où un client était connu par plusieurs sources (email, programme de fidélité, compte web, etc), il est désormais identifiable d’une façon unique. Stocker l’ensemble des informations et interactions clients dans cette plateforme unique permet de pouvoir facilement retrouver les sources de références et reconstituer le dossier complet lorsque le client réclame l’intégralité de ses informations personnelles. Le plus souvent, une base de données NoSQL sous-jacente a été retenue en raison de la souplesse du format pour intégrer des données hétérogènes, d’une évolutivité plus importante pour absorber des volumes de données variables et d’un coût moindre via le déploiement sur des serveurs de commodité ou dans des conteneurs. Cette démarche a accéléré la transformation digitale des entreprises qui en ont profité pour moderniser leurs systèmes d’information. Les démarches à base de microservices faciles à maintenir et à coordonner se sont multipliées pour remplacer les anciens systèmes monolithiques complexes à faire évoluer. Mieux connaître ses clients a également permis aux entreprises d’améliorer l’expérience de leurs clients finaux en simplifiant la personnalisation des contenus, par exemple autour des programmes de fidélisation (coupons, recommandations).

Leçon 2 : Meilleure maîtrise des déploiements en limitant la rétention des données

Le RGPD impose que les données personnelles doivent être conservées pendant le plus court délai possible, à savoir la durée de leur traitement ou de ce pour quoi elles ont été collectées. Elles doivent donc être supprimées lorsque le traitement initial a été effectué ou lorsque la personne concernée souhaite exercer son droit à l'effacement (ou droit à l'oubli), prévu par l'article 17. La suppression de données peut s’avérer particulièrement complexe lorsqu’il s’agit de croiser les différentes pièces constituant le profil de l’utilisateur avec toutes ses informations sauvegardées dans l’ensemble du système d’information de l’entreprise. C’est la raison pour laquelle la première démarche des entreprises a été d’auditer les systèmes existants pour localiser ces données et vérifier leur durée de rétention. Chez Couchbase, nous avons été surpris de constater que peu de projets maîtrisaient réellement la durée de vie des données, et que la volumétrie de base de données pouvaient grossir organiquement plusieurs années avant qu’une revue de l’architecture des plateformes de données ne détecte l’existence de données périmées ou inutilisées. Une fois cet audit fait et les durée de rétention fixées, les réponses techniques sont relativement simples à mettre en place, par exemple via des des mécanismes de suppression automatique (TTL) ou périodiques. En conséquence, la volumétrie de stockage a pu être rationalisée et parfois fortement réduite, avec comme conséquence une meilleure maîtrise des déploiements et une diminution des coûts d’infrastructure.

Leçon 3 : De l’importance de l’accompagnement et du support éditeur

Depuis l’entrée en vigueur du RGPD dans l’Union européenne le 25 mai 2018, la CNIL annonce avoir reçu 742 signalements de fuite de données ayant compromis au total les données personnelles de 33,7 millions de personnes. Parmi ces fuites, 695 sont des atteintes portées à la confidentialité. En parallèle, les éditeurs de bases de données ont renforcé leurs fonctionnalités pour garantir en permanence la confidentialité en intégrant le chiffrement des données, de la pseudonymisation, des contrôle d’accès plus fins, des outils d’analyse de logs, etc. Qu’est-ce qui explique alors ces fuites de données ? Comme rappelé par la CNIL, les entreprises sont encore en train d’apprendre à penser la sécurité dès le lancement d’un projet, à effectuer régulièrement les mises à jour de sécurité sur les systèmes d’exploitation, les serveurs applicatifs, ou les bases de données et à informer régulièrement le personnel sur les risques et enjeux de la sécurité. En effet, quelques soient les facilités de sécurité mises à disposition par les éditeurs de solution, encore faut-il que ces nouvelles fonctionnalités soient comprises, intégrées, maintenues et promues au sein de l’entreprise pour que la sécurité des bases soient garanties. Chez Couchbase, nous avons constaté par exemple une très forte disparité dans les pratiques de mise à jour des logiciels. Il est fréquent qu’une entreprise retarde la mise à jour de sa base de données par crainte de l’impact sur toute la chaîne de développement et de déploiement. A l’inverse nos clients qui ont choisi d’opter pour une mise à jour de version régulière en alignant les composants applicatifs avec les dernières versions de la base de données bénéficient non seulement de la meilleure sécurité mais aussi d’une bien meilleure capacité d’innovation. Nous avons également constaté que de plus en plus d’entreprises qui avaient adopté des solutions de bases de données open source communautaires ont souhaité faire appel au support des éditeurs pour bénéficier de tout le portefeuille de sécurité et être accompagnées par des experts certifiés pour accélérer la mise en place des bonnes pratiques de sécurité.