Le Règlement Général de l’Union Européenne sur la Protection des Données (RGPD) impose aux entreprises d’effectuer un suivi de toutes les occurrences des données à caractère personnel des clients au sein de leur organisation, d’obtenir le consentement des clients concernant l’utilisation de leurs informations personnelles (y compris le « droit à l’oubli ») et de documenter l’efficacité de cette gouvernance des données pour les auditeurs.
Deux tiers (68 %) des entreprises, selon Compuware, risquent de ne pas être en conformité avec le RGPD, en raison d’une augmentation de la collecte des données, de la complexité informatique grandissante, de la multiplicité des applications, de l’externalisation et de la mobilité. Ce risque tient aussi aux politiques laxistes concernant le masquage des données et l’obtention d’une autorisation explicite des clients en matière de données. Les entreprises européennes comme américaines doivent, par conséquent, adopter une série de bonnes pratiques, notamment un masquage plus rigoureux des données de test et de meilleurs pratiques concernant le consentement des clients, afin d’éviter des sanctions financières et une altération possible de leur image de marque résultant d’une non-conformité.
Le RGPD de l’Union européenne a été adopté en avril 2016, afin d’unifier des obligations auparavant réparties à travers différentes juridictions européennes concernant l’utilisation, la gestion et la suppression des informations personnellement identifiables (IPI) des clients par les entreprises. Toutes les entreprises dans l’UE, aux États-Unis et ailleurs, qui collectent des IPI relatives à des citoyens de l’UE, ont jusqu’en mai 2018 pour se conformer à ces dispositions. Tout non-respect du RGPD expose les entreprises à des amendes pouvant atteindre 20 millions € ou 4 % du chiffre d’affaires mondial.
RGPD et les données de test : une vulnérabilité critique
L’étude montre aussi deux vulnérabilités critiques, prépondérantes et interdépendantes en rapport avec le respect du RGPD par les entreprises : les données de test et le consentement des clients.
Les données de test constituent une vulnérabilité critique et omniprésente en matière de conformité, car elles constituent une des méthodes les plus courantes pour répliquer et transférer des IPI des clients dans l’entreprise. Des jeux de données de test sont régulièrement nécessaires à mesure que les développeurs créent des applications ou améliorent les applications existantes, et ce travail/produit des développeurs doit être testé en permanence en termes d’assurance qualité fonctionnelle et non fonctionnelle. Si les données de test ne sont pas masquées et « anonymisées » correctement, tout nouveau jeu de données de test devient un problème de conformité potentiel dans l’avenir. Pourtant, malheureusement, 43 % des répondants admettent ou ont un doute sur le fait qu’ils font courir un risque aux IPI des clients en ne garantissant pas l’anonymisation systématique de leurs données avant leur utilisation pour des tests. Votre entreprise utilise-t-elle l’anonymisation ou d’autres techniques pour dépersonnaliser les données des clients avant de les utiliser dans des environnements de tests ? L’absence de masquage des données de test crée en fait plusieurs vulnérabilités de conformité, notamment :
- L’impossibilité de localiser chaque occurrence d’information personnelle des clients.
- L’incapacité à supprimer chaque occurrence d’information personnelle des clients.
- L’impossibilité de respecter les exigences de documentation pour les auditeurs concernant ces deux obligations.
- L’absence de masquage des données clients avant leur partage avec des sous-traitants, qu’il s’agisse de développeurs ou testeurs, présente un risque supplémentaire pour les entreprises car elles sont à la merci des pratiques de sécurité et de conformité du sous-traitant.