La gestion du patrimoine de données, son stockage, sa protection, sa valorisation métier et, bien entendu, sa mise en conformité avec le règlement européen sur la protection des données personnelles (RGPD ou, en Anglais, GDPR) : tels étaient les thématiques de la CIOnférence du 23 janvier 2018 à Paris. Organisée par CIO en partenariat avec ASG, IBM, OneTrust, Rubrik et Veritas, cette matinée a permis d'entendre les témoignages issus de grandes entreprises et organisations comme la Sacem, SCOR, RelevanC, le GIP-MDS, GRDF et Saint-Gobain.

La rédaction de CIO a d'abord présenté les résultats de l'étude « Quelles pratiques de data management à l'heure du RGPD ? ». Le moins que l'on puisse dire est que les bonnes pratiques sont très loin d'être suivies dans bon nombre d'entreprises. Et même la conformité avec les obligations légales ou avec celles du RGPD n'est pas acquise. Pire : bon nombre de répondants n'envisagent pas de s'y conformer.

Martin Claich, GDPR Solutions Advisor EMEA chez OneTrust a expliqué comment « Opérationnaliser le GDPR ».

Le premier partenaire à apporter son expertise était OneTrust, précisément autour de la question centrale en matière de conformité : « Opérationnaliser le GDPR ». OneTrust est certes avant tout un éditeur de logiciels mais il déploie également ceux-ci chez ses clients et est donc confronté aux réalités du terrain. « Nous voyons ce qui marche et ce qui ne marche pas » a observé Martin Claich, GDPR Solutions Advisor EMEA chez OneTrust.
Or mettre en place les bonnes pratiques -l'étude « Quelles pratiques de data management à l'heure du RGPD ? » l'a d'ailleurs démontré- est tout sauf simple. Martin Claich a insisté : « le GDPR nécessite l'implication de tous les services dans toutes les entreprises, c'est ce qui rend la chose complexe. » La mise ne place d'une réelle conformité, selon lui, nécessite donc des équipes mixtes IT/métiers. OneTrust a proposé un plan en dix étapes (avec itérations au fur et à mesure des avancées) pour mettre en place cette conformité.

« Le data management à l'heure du RGPD » a été l'objet de l'intervention d'Etienne Papin, Avocat Associé au Cabinet Feral-Schuhl.

Le GDPR étant avant tout une question juridique, Etienne Papin, avocat associé au Cabinet Feral-Schuhl, est ensuite intervenu pour expliquer comment le data management doit être réalisé à l'heure du Règlement Européen. Pour lui, « à la question faut-il gérer ses données ?, la réponse du juriste ne peut être que oui. » Un datalake où tout est déversé plus ou moins en vrac est une sorte de cauchemar pour le juriste. Si, au départ, la sécurité et la pérennité des données étaient des problèmes de l'entreprise et une question de sa survie économique, la réglementation a évolué. « Aujourd'hui, la Loi s'intéresse à vos données » a-t-il observé.

Obligations précises, contraintes divers... Le RGPD n'est pas un bouleversement mais un renforcement par rapport aux règles antérieures autant du point de vue des mesures à prendre que des sanctions encourues en cas de manquements. Pour respecter les obligations et éviter les sanctions, un travail commun DSI/métier est indispensable, nous l'avons vu, mais Etienne Papin ajoute un troisième larron : la direction juridique évidemment. « La CNIL n'hésite plus à sanctionner lourdement, même si les données ne sont pas particulièrement sensibles » a pointé l'avocat. Et les sociétés internationales doivent tenir compte non seulement des règles européennes mais aussi des règles de chaque pays d'implantation.

Frédéric Assuncao, Spécialiste Gouvernance de l'Information chez Veritas France, a indiqué qu'il fallait « Exploiter la donnée à 360° pour accélérer l'innovation ».

Bien entendu, le GDPR n'est pas le seul sujet du Data Management. Pour Veritas, deuxième partenaire à s'exprimer lors de la matinée, le maître-mot pourrait être « visibilité ». Par définition, le Data Management est l'application de règles émises dans les entreprises... mais rarement totalement mises en oeuvres. « La plupart de nos clients n'ont pas de visibilité sur la moitié des données et seulement 13 % des volumes auraient une certaine utilité, ce qui va à l'encontre des obligations de documentation incluses dans le GDPR » a pointé Frédéric Assuncao, Spécialiste Gouvernance de l'Information chez Veritas France.
Ce qui est constaté sur le terrain, c'est que les entreprises investissent en stockage au lieu d'assainir le patrimoine de données.

Cela implique des coûts inutiles et des risques potentiellement importants. Frédéric Assuncao a ainsi rappelé : « les données vieillissantes peuvent être toxiques, pas seulement du point de vue GDPR mais aussi d'autres réglementations. » Et, bien entendu, ces données vieillissantes obsolètes peuvent amener à de mauvaises décisions. Veritas propose donc d'adopter un examen exhaustif, ce que l'éditeur appelle une « vision 360° », mise en oeuvre grâce à une plate-forme extensible par API, et ce qui débute évidemment par une cartographie. Viennent ensuite des programmes de réduction des données, de protéger les données (avec les produits les plus connus de Veritas), de gestion des droits d'accès et des habilitations...

La première table ronde « Rendre son SI conforme au RGPD » a réuni François Marical, Chief Data Officer chez RelevanC, et Michaël Nguyen, Head of IT Management and Control au sein du groupe SCOR.

Dans la foulée, la première table ronde portait sur « Rendre son SI conforme au RGPD ». Elle réunissait François Marical, Chief Data Officer chez RelevanC, et Michaël Nguyen, Head of IT Management and Control au sein du groupe SCOR. RelevanC est une entreprise récente mais elle s'appuie sur le groupe de distribution Casino, non seulement ses magasins physiques (Casino, Franprix, Sherpa, Go Sport...) mais aussi sa filiale e-commerce C-Discount. SCOR, groupe de réassurance, de son côté, est un « assureur des assureurs ». Tout l'objet de la table ronde était d'expliciter comment traiter des données personnelles massivement mais légalement, y compris dans le cadre futur du RGPD.

« Entreprise neuve qui a pu construire son SI from scrach directement de manière conforme à la législation, RelevanC vise à proposer aux annonceurs une manière simple de viser des segments de population, par exemple les acheteurs de yaourts » a expliqué François Marical. Pour ce faire, il s'appuie sur les données de tickets de caisse et de cartes de fidélité du groupe Casino, y compris de C-Discount, ce qui représente une cinquante de millions de profils de consommateurs.

Gérer le consentement

Tous les traitements sont bornés et le fait d'une dizaine de personnes. La plate-forme va permettre aux annonceurs de pousser leurs annonces auprès des personnes ciblées et uniquement elles, mais sans aucune cession de données : les données restent chez RelevanC. François Marical garantit que « l'impression sur cible est de 100 % ». Ce sont les enseignes du groupe Casino qui gèrent les consentements des consommateurs, via les conditions générales ou une communication spécifique faite lors de la création de RelevanC. Les données traitées par cette société ne sont d'ailleurs pas réellement nominatives car « techniquement, nous n'en avons pas besoin » a souligné François Marical.

SCOR, réassurant les assureurs traitant de sujets tels que la santé, a connaissance de données davantage sensibles, notamment médicales. Michaël Nguyen est le responsable de la conformité GDPR mais est avant tout le responsable de la gouvernance des données, rapportant au DSI groupe. Cependant, Michaël Nguyen a insisté : « la mise en conformité GDPR n'est pas un projet IT car ce sont les métiers qui créent et utilisent les datas. Ce sont les métiers qui savent quand ils besoin et quand ils n'ont plus besoin de données. » Présent dans 38 pays, la problématique de la conformité chez SCOR dépasse le cadre du RGPD. Et SCOR a décidé de faire un programme global au niveau maximal d'exigence car tout son modèle économique repose sur la confiance.

Mener un programme global

Le GDPR a été utilisé comme un framework mondial de mise en conformité. Le projet a débuté dès juillet 2016 avec une dizaine de personnes consacrées totalement au sujet et une soixantaine ayant un rôle sur le sujet dans le monde. A cela s'ajoutent des équipes, telles que des équipes juridiques, métier ou techniques, lorsque c'est nécessaire. Le défi juridique était déjà important puisque des concepts tels que « consentement » peuvent être interprétés de façon différente selon les pays ou les contextes. Il fallait déjà se mettre d'accord. « Une position SCOR a donc été fixée une bonne fois pour toutes sur les trente questions juridiques majeures » a explicité Michaël Nguyen.

A cela s'est ajouté un défi métier. En effet, seul chaque métier sait quelles données existent, où elles sont, à quoi elles servent, etc. Il a donc fallu fixer clairement qui a accès à quoi, pour quelle raison et comment gérer les évolutions d'affectations des collaborateurs avec celle des droits associés. Enfin, le troisième défi était bien sûr technique. Mais il fallait adopter des mesures à la fois nécessaires et raisonnables. L'exemple type est celui du chiffrement. Michaël Nguyen a ainsi précisé : « la moitié de notre budget GDPR a concerné le renforcement de la cyber-sécurité ».

« Protéger et valoriser ses données tout en étant conforme avec le RGPD » a développé Nicolas Groh, Consultant technique chez Rubrik France.

Pour en terminer avec cette première partie de matinée largement consacrée aux conséquences du GDPR sur le data management, Nicolas Groh, consultant technique chez Rubrik France, a voulu expliquer comment « Protéger et valoriser ses données tout en étant conforme avec le RGPD ». Pour lui, en effet, le RGPD peut être un excellent prétexte pour mieux protéger et mieux valoriser ses données, au bénéfice de l'entreprise bien entendu. Un point important du RGPD -qui se loge dans son article 40- concerne le droit d'accès et de rectification. Là encore, rien de bien révolutionnaire mais ce droit peut facilement s'exercer sur les données dans les bases de données. C'est tout de suite plus compliqué quand on parle des données dispersées sur divers supports et formats, notamment des fichiers bureautiques.

Pour éviter d'impacter la performance des systèmes de production, Rubrik propose de valoriser les sauvegardes au delà des PRA. Grâce à sa brique unique, empilable, « il s'agit d'utiliser la copie de sauvegarde, scellée et inaltérable bien sûr, pour toutes les tâches exigées par le GDPR ou pour d'autres raisons, notamment pour l'indexation, la recherche... » a expliqué Nicolas Groh, consultant technique chez Rubrik France. L'architecture full API de la solution proposée permet également une parfaite automatisation des processus. La première partie de la matinée s'est achevée par une pause de réseautage et d'échanges conviviaux autour des stands des partenaires.

Alain Bueno, expert Data Intelligence chez ASG Technologies, a présenté « De la collecte à la valorisation des données ».

Pour ouvrir la deuxième partie de la matinée, Alain Bueno, expert Data Intelligence chez ASG Technologies, a présenté « De la collecte à la valorisation des données ». Cet éditeur américain équipant 70 % des entreprises du classement Fortune 500 propose d'adopter une approche par l'Enterprise Data Intelligence. Il s'agit de passer d'une logique de gestion des données en silos à une logique de gestion en plate-forme. Cette nouvelle approche permet bien sûr d'architecturer les données pour en construire la valeur mais aussi de respecter le principe du Privacy by design imposé par le GDPR.

« L'Entreprise Data Intelligence est un socle complet de gouvernance des données pour réconcilier les visions IT et métier » a expliqué Alain Bueno. Cette solution est avant tout destinée aux data stewarts et elle permet également de générer des rapports d'audit automatiques à tout moment destinés aux CDO. Alain Bueno a insisté : « la gouvernance des données n'est pas un projet délimité mais une série sans fin d'itérations ».



Pascal Roche, Directeur des Systèmes d'Information de la SACEM, a été le Grand Témoin de la matinée.

La gestion des données constitue le coeur de métier de la SACEM, la Société des Auteurs, Compositeurs et Editeurs de Musique. Son rôle est en effet de collecter les droits d'utilisation de la musique, quelque que soit cet usage, et de répartir au plus juste en fonction des ayant-droits concernés. Pascal Roche, Directeur des Systèmes d'Information de la SACEM, a été le Grand Témoin de la matinée. Or l'information de consommation de la musique ne cesse de se complexifier à l'heure où la vente de supports physiques ne cesse de baisser mais la consommation en ligne se diversifie (vente ou streaming) et s'intensifie. Et cela sans compter la mode du sampling ou les innombrables reprises qui imposent d'identifier les oeuvres et les auteurs concernés.

« Finalement, cela a été une opportunité pour la SACEM qui est ainsi devenue une global company opérant à l'international puisque la plupart des plates-formes de streaming n'opèrent pas à partir de la France » s'est réjoui Pascal Roche. Et la SACEM sert d'ailleurs de mandataire pour des sociétés homologues pour le on-line. La SACEM gère ainsi plus de 100 millions d'oeuvres pour environ 60 000 sociétaires de plus de 160 nationalités.

Une croissance à deux chiffres d'un trimestre à l'autre

Le streaming représente d'ailleurs un défi considérable pour des sociétés de gestion de droits. Pascal Roche a révélé : « nous constatons, en termes de volumétrie de collecte, des croissances à deux chiffres d'un trimestre à l'autre ». Si la traçabilité et la granularité de la donnée sont nettement améliorés, avec une amélioration de la collecte financière induite, la complexité du traitement est évidemment également croissante. Cela a amené à des projets très techniques comme la refonte du stockage.

La SACEM a eu également à mener des chantiers innovants tels que le recours à l'intelligence artificielle Watson d'IBM. Ce projet est l'initialisation de la logique de plate-forme ouverte. Le contexte de granularité, de vélocité et de volume a obligé la SACEM à adopter une approche Big Data. Mais la reconnaissance des oeuvres a pu être améliorée au travers de Watson. Par ailleurs, le recours à de la blockchain privée entre sociétés de gestion collective (pour l'instant avec les homologues anglais et américains de la SACEM), voire peut-être demain d'autres acteurs (labels, opérateurs de streaming...), est une manière de valider des contributions à des identifications d'oeuvres appartenant à tel ou tel catalogue. « Le monde de la musique n'est pas très structuré et pas du tout standardisé au niveau de la data » a déploré Pascal Roche.

« Les enjeux du Data Lake 2.0 » ont été présentés par Christophe Burgaud, Big Data Architect & Data Scientist chez IBM.

Le traitement des données se complexifie comme nous venons de le voir. Cela a évidemment des impacts sur les outils techniques. Christophe Burgaud, Big Data Architect & Data Scientist chez IBM, s'est ainsi penché sur « Les enjeux du Data Lake 2.0 ». « Les premiers use cases des data lakes consistaient à décharger les data warehouse pour effectuer des analyses à moindre coût » a-t-il rappelé. Avec l'étape Data Lake 2.0, s'y ajoutent des fonctionnalités avancées telles que le décisionnel, le SBA, diverses optimisations...

Les outils se doivent d'être agnostiques en matière de localisation des données : cloud ou pas cloud, locale ou externalisée, cela ne doit pas être une question. Ils ont un seul objet : la Data Science. Pour Christophe Burgaud, « les data-scientists ont un métier récent, de moins de cinq ans, et ils passent donc encore leur temps à apprendre. »

La seconde table ronde « Accroître la valeur d'usage des données » a réuni (de gauche à droite) Elisabeth Humbert-Bottin, Directrice du GIP-MDS ; Isabelle Drochon, Responsable du Programme Données chez GRDF ; et Pierre-Antoine Faure, Responsable du service OpenData4SG chez Saint-Gobain.

Des exemples de valorisation des données ont justement été donnés sur la seconde table ronde « Accroître la valeur d'usage des données ». Celle-ci a réuni Elisabeth Humbert-Bottin, Directrice du GIP-MDS ; Isabelle Drochon, Responsable du Programme Données chez GRDF ; et Pierre-Antoine Faure, Responsable du service OpenData4SG chez Saint-Gobain. Chacun a mené une utilisation massive de données en leur donnant une vraie valeur métier. Réunissant une trentaine d'organismes sociaux, le GIP-MDS avait été créé initialement pour réaliser les procédures dématérialisées de ses adhérents au travers du portail Net-Entreprise. Son rôle a bien évolué depuis et le dernier chantier majeur du GIP a été de mener la fameuse et très décriée DSN (Déclaration Sociale Nominative).

« La DSN, c'est la transformation numérique au sens propre » a martelé Elisabeth Humbert-Bottin. En effet, cette DSN a amené les organismes sociaux à prendre les informations utiles dans des données de paye (au lieu de réclamer chacun telle ou telle information avec sa propre définition) et les entreprises à disposer de données de ressources humaines exactes et propres. Pour certains, cela a été un cauchemar. Le GIP-MDS a donc amené tout le monde à travailler avec des référentiels de données de référence. La qualité initiale de données sera ainsi maintenue sur toute la chaîne de traitement, y compris, demain, pour le calcul des prestations à clause de ressources. Elisabeth Humbert-Bottin a relevé : « cela ouvre des perspectives de services pour les entreprises, comme le calcul de niveaux de salaires par territoires et fonctions. » Et le prochain défi sera le Prélèvement à la Source de l'impôt sur le revenu... avec la base de la DSN.

Partager la donnée pour la valoriser

Un autre exemple est Saint-Gobain, une entreprise de 35 milliards d'euros de chiffre d'affaires et vieille de 350 ans, aux multiples métiers autour du bâtiment, y compris la distribution de matériaux. Ce groupe immense gérait des données très diverses un peu partout. L'idée a donc été d'adopter une démarche d'open-data... interne. Le portail créé a donc permis de mieux partager les données entre les différentes entités du groupe mais aussi pour mieux intégrer des données externes. « Nous avons ainsi intégré au siège la base SIREN, des données de la Banque Mondiale ou de l'OCDE pour les distribuer via un portail unique » a raconté Pierre-Antoine Faure. Les données peuvent être utilisées via API ou téléchargement.

Chez GRDF, la donnée est également en train de prendre davantage de place. Avec 11 millions de clients dans 95 % des communes françaises, GRDF est le premier distributeur de gaz en France. Cette distribution se fait à partir de dizaines de fournisseurs, ce nombre s'accroissant avec l'intégration du bio-gaz notamment d'origine agricole. « Le nouveau compteur connecté Gazpar permet de remonter la consommation de chacun des onze millions de clients chaque jour par télérelève » a précisé Isabelle Drochon. Ces données de consommation vont pouvoir être mieux valoriser parce que plus exactes et régulières, tant au service des clients eux-mêmes que de collectivités ou d'organismes bailleurs voire de start-up, notamment pour assurer la maîtrise de l'énergie. Un enjeu majeur est la gestion des consentements des particuliers pour que les données qui demeurent leur propriété puissent être utilisées.

Pauses et cocktail déjeunatoire ont permis aux participants d'échanger autour des stands des partenaires de l'événement.

Pour terminer, comme sur chaque CIOnférence, un cocktail déjeunatoire a permis de poursuivre les échanges de façon conviviale et ouverte.