Le Global Chief Data Office d’IBM a choisi IBM Data Risk Manager pour fournir un centre de contrôle visuel aux dirigeants et à leurs équipes. Grâce à son tableau de bord utilisable par l’entreprise, Data Risk Manager permet aux responsables de la confidentialité et des données d’IBM de déceler, d’analyser et de visualiser les risques métier liés aux données sensibles pour leur permettre de prendre des mesures correctives.
Les entreprises qui contrôlent les données personnelles des personnes concernées au sein de l’UE sont tenues de connaître les types de données, leur emplacement, leur propriétaire et le niveau de risque associé dans le cadre de la préparation du RGPD.
En tant qu’élément clé de l’architecture de référence et des services communs du RGPD d’IBM, IBM Data Risk Manager aide à déceler, à analyser et à visualiser les risques métier et de conformité relatifs aux données dans un contexte métier.
les risques relatifs aux données sur des milliers d’applications et dans des téraoctets de données
des informations essentielles pour répondre aux audits et rendre compte aux dirigeants
les amendes qui peuvent résulter d’un défaut de conformité au RGPD et à d’autres réglementations
Entreprise internationale présente dans plus de 170 pays, IBM doit depuis longtemps veiller au respect des lois et réglementations relatives à la protection des données dans le monde entier. Lors de l’adoption du Règlement général sur la protection des données (RGPD) de l’UE en avril 2016, IBM a profité de l’occasion pour actualiser ses pratiques en matière de confidentialité et pour améliorer ses produits et services tout en se préparant à l’échéance du 25 mai 2018, date de mise en application du RGPD. Pour ce faire, IBM a mis le RGPD en œuvre à l’échelle internationale, sous la forme d’un programme mondial de transformation au sein de la société, au profit de tous les clients.
Ce programme mondial comprenait, entre autres axes de travail, la prise en compte des exigences liées au RGPD pour comprendre le type de données personnelles contrôlées par IBM, leur emplacement, leur utilisation et leur propriétaire. « Le travail a consisté à examiner plus de 6 500 applications dans l’ensemble de l’entreprise, parmi lesquelles environ 3 400 sont critiques du point de vue du RGPD, » explique Neera Mathur, membre principale du personnel technique au sein du Global Chief Data Office.
Les résultats de cette initiative ont été rassemblés dans un catalogue central de confidentialité des données, la première étape essentielle du processus de préparation. Mais une question subsistait : comment identifier et évaluer les risques associés aux données relatives au RGPD sous le contrôle d’IBM, et comment partager ces informations avec les dirigeants d’entreprise.
Le Global Chief Data Office d’IBM, chargé de développer une architecture de référence et un ensemble de services communs pour aider les départements commerciaux à préparer leurs magasins de données au RGPD, a sélectionné IBM Information Governance Catalog pour le magasin central de données de confidentialité (le catalogue de confidentialité) et IBM Data Risk Manager pour mettre à disposition des dirigeants et de leurs équipes un centre de contrôle visuel des risques relatifs aux données : le tableau de bord des risques relatifs à la réglementation.
En offrant un tableau de bord utilisable par l’entreprise, Data Risk Manager aide les responsables de la confidentialité et les responsables des données à tous les niveaux d’IBM à déceler, à analyser et à visualiser les risques métier relatifs aux données pour leur permettre de prendre des mesures correctives. Au cours des mois précédant la date de mise en application du RGPD, Data Risk Manager était par exemple capable de fournir des informations sur les cas où les données personnelles pouvaient être déplacées vers un système doté de meilleurs contrôles pour les protéger, sur ceux où elles devaient être chiffrées, ou sur ceux où elles pouvaient être tout simplement supprimées. Les visualisations comprennent des cartes d’hébergement des données ainsi que des graphiques axés sur les risques et les vulnérabilités.
Désormais, en s’appuyant sur les informations hébergées dans le catalogue de confidentialité au niveau du magasin de données et des applications, Data Risk Manager peut fournir des réponses à la question de base qu’un régulateur se poserait : quelles sont les données personnelles dont vous disposez ? A quoi servent-elles ? Quelles sont les applications, les processus métier et les personnes qui y ont accès ? Qui est le propriétaire de ce magasin de données en particulier et quel est son emplacement ? A mesure que des modifications sont apportées au catalogue de confidentialité, les informations mises à jour sont reflétées dans le tableau de bord, ce qui répond de façon continue à l’exigence de conformité aux multiples réglementations en matière de confidentialité des données, y compris le RGPD.
Data Risk Manager peut agir au niveau mondial dans l’ensemble de l’entreprise, par département commercial ou par application, permettant aux utilisateurs de ne voir que les données pertinentes pour leur rôle. Le directeur de la confidentialité et le responsable de la confidentialité des données d’IBM peuvent voir l’état des données personnelles sensibles à l’échelle de l’entreprise, par exemple, tandis qu’un responsable de la confidentialité des données au niveau d’un département commercial ne peut voir que les données relatives à ses activités ou à son site.
« IBM est une entreprise très diversifiée avec de nombreux départements commerciaux et des milliers d’applications qui traitent des données personnelles. Data Risk Manager et l’Information Governance Catalog nous ont aidés à visualiser et à gérer des données confiées en très peu de temps », explique Inderpal Bhandari, Directeur des données chez IBM.
Elément clé de l’architecture de référence des services communs du RGPD d’IBM, Data Risk Manager aide les responsables de la confidentialité au sein de l’entreprise à rendre compte des risques liés aux données et de la stratégie de conformité au RGPD ainsi qu’aux autres réglementations relatives à la confidentialité des données. Il leur permet en outre de répondre aux demandes d’informations des auditeurs ou des personnes internes à l’entreprise.
Grâce à la visualisation des risques qui permet aux cadres de l’entreprise de les identifier rapidement, de les comprendre facilement et de les traiter correctement, Data Risk Manager peut aider IBM à éviter les amendes imposées en cas de défaut de conformité aux réglementations relatives à la confidentialité des données, RGPD inclus.
IBM est un leader reconnu en matière de protection des données. L’entreprise se conforme aux lois relatives à la confidentialité des données dans le monde entier. Dans le cadre de l’engagement continu d’IBM en faveur de la confidentialité dès la conception, IBM a intégré encore plus profondément les principes de protection des données dans ses processus métier, produits et services pour donner à nos clients les moyens d’atteindre plus aisément leurs propres objectifs de protection des données. Outre une sécurité renforcée, IBM propose des solutions innovantes en matière de confidentialité des données et de gouvernance, capables d’aider les clients et les partenaires à se conformer au RGPD. Pour en savoir plus sur le parcours d’IBM pour la préparation du RGPD ainsi que sur nos capacités RGPD et nos offres pour vous accompagner dans votre démarche de conformité, cliquez ici.
Aspects juridiques
© Copyright IBM Corporation 2018. IBM Security, 75 Binney Street, Cambridge MA 02142
Produit aux Etats-Unis d’Amérique. Août 2018
IBM, le logo IBM et ibm.com sont des marques commerciales d’International Business Machines Corp., déposées dans de nombreux pays. Les autres noms de produits et de services peuvent être des marques d’IBM ou d’autres sociétés. La liste actualisée de toutes les marques d’IBM est disponible sur la page Web « Copyright and trademark information » à l’adresse suivante : ibm.com/trademark.
Les informations contenues dans le présent document étaient à jour à la date de sa publication initiale et peuvent être modifiées sans préavis par IBM. Les offres mentionnées dans le présent document ne sont pas toutes disponibles dans tous les pays où la société IBM est présente. Les offres mentionnées dans le présent document ne sont pas toutes disponibles dans tous les pays où la société IBM est présente.
Les exemples de clients cités sont uniquement présentés à titre indicatif. Les résultats réels peuvent varier en fonction des configurations et des conditions de fonctionnement spécifiques.
Il incombe à l'utilisateur d'évaluer et de vérifier le fonctionnement de tout autre produit ou programme avec les produits et programmes IBM.
LES INFORMATIONS CONTENUES DANS LE PRÉSENT DOCUMENT SONT FOURNIES « EN L'ÉTAT », SANS AUCUNE GARANTIE EXPLICITE OU IMPLICITE, NOTAMMENT SANS AUCUNE GARANTIE DE QUALITÉ MARCHANDE, D'ADÉQUATION À UN USAGE PARTICULIER ET AUCUNE GARANTIE OU CONDITION D'ABSENCE DE CONTREFAÇON. Les produits IBM sont garantis conformément aux dispositions des contrats qui régissent leur utilisation.
Déclaration de bonnes pratiques de sécurité : la sécurité des systèmes informatiques consiste à protéger les systèmes et les informations par la prévention, la détection et la réponse aux accès non autorisés depuis l'intérieur et l'extérieur de votre entreprise. Tout accès non autorisé peut conduire à la modification, à la destruction ou au détournement d'informations, y compris pour attaquer d'autres personnes. Aucun système ou produit informatique ne doit être considéré comme entièrement sécurisé, et aucun produit ou mesure de sécurité ne peut être totalement efficace pour empêcher des accès non autorisés. Les systèmes et produits d'IBM sont conçus pour fonctionner dans le cadre d'une approche de sécurité globale qui implique nécessairement des procédures opérationnelles supplémentaires, et peuvent avoir besoin d'autres systèmes, produits ou services pour optimiser leur efficacité. IBM ne garantit pas que les systèmes et les produits sont à l'abri de tout comportement malveillant ou illégal de la part d'une quelconque partie.
Les clients sont responsables d’assurer leur propre conformité aux diverses lois et réglementations, y compris au Règlement général sur la protection des données de l’Union européenne. Les clients sont seuls responsables de l’obtention de conseils d’un conseiller juridique compétent quant à l’identification et à l’interprétation de toute loi et réglementation pertinente susceptible d’affecter les activités des clients et de toute mesure que les clients sont susceptibles de devoir prendre pour se conformer auxdites lois et réglementations. Les produits, services et autres fonctionnalités décrits dans le présent document ne conviennent pas à toutes les situations de client et peuvent être soumis à une disponibilité limitée. IBM ne fournit pas de conseils juridiques, comptables ni d’audit et ne déclare ni ne garantit que ses services ou ses produits mettront les clients en conformité avec la législation ou la réglementation en vigueur.
Pour en savoir plus sur le parcours d’IBM de préparation au RGPD, mais aussi sur nos capacités et nos offres pour vous accompagner dans votre démarche de conformité, cliquez ici.