Réglementation DCPM : Les enjeux du catalogage de données
7 février 2024
Frédéric Toumelin
Le catalogage de données pour répondre aux défis de la réglementation DCPM.
La mise en conformité des traitements impliquant des DCP (données à caractère personnel) est au cœur des missions quotidiennes de tout DPO. L’expérience montre que ces derniers ne sont pas toujours bien informés sur les obligations spécifiques ayant trait aux DCPM, c’est-à-dire les données à caractère personnel de militaire. Pourtant, les enjeux liés à ces obligations sont importants, et leur non-respect peut induire des conséquences lourdes pour les organisations et leurs responsables, y compris sur le plan pénal.
Un corps de règles particulièrement contraignant autour des DCPM.
L’objectif de la loi du 3 juin 2016 qui a instauré le contexte réglementaire applicable aux DCPM est explicite : il s’agit d’augmenter le niveau de protection des personnels de l’armée, dans un cadre relevant de la nécessité de renforcer « la lutte contre le crime organisé, le terrorisme et leur financement ». Afin d’atteindre cette finalité, le législateur impose aux entreprises concernées de suivre une procédure spécifique autour du traitement des DCPM dans leurs systèmes :
- Déclaration spécifique auprès de la DRSD (direction du renseignement et de la sécurité de la défense).
- Nomination d’un RTD (responsable de traitement de données), personne physique appartenant à l’entreprise, spécifiquement authentifiée par un correspondant zonal de la DRSD, et dévolue aux échanges avec la DRSD dans le cadre de l’application du dispositif.
- Le RTD est responsable de maintenir à jour et de communiquer à la DRSD la liste exhaustive des personnes accédant ou pouvant accéder aux DCPM.
- Le RTD prête assistance à la DRSD dans le cadre des enquêtes administratives de sécurité que celle-ci diligente auprès des personnes accédant ou pouvant accéder aux DCPM.
Le caractère contraignant du dispositif est parfaitement assumé, car outre son efficacité par rapport à l’objectif visé, il permet également de limiter la surface d’exposition aux risques cybersécurité en dissuadant les entreprises qui n’en ont pas absolument besoin de conserver des DCPM. Le site de la DRSD indique d’ailleurs de manière très directe que « Ce processus est itératif, long et contraignant. Si vous pouvez vous affranchir des DCPM, il vous est conseillé de les supprimer ou d'enlever toute référence à l'état militaire. ».
Qui est concerné par le cadre réglementaire DCPM ?
Tout d’abord, clarifions ce qui caractérise une DCPM. Le texte précise qu’il s’agit d’une « donnée permettant, à sa seule lecture, la relation entre une personne, sa qualité de militaire et une ou plusieurs données personnelles concernant cette personne. ». Pour clarifier l’interprétation qu’il convient d’avoir de cette formulation, des exemples sont donnés comme la mise en relation d’un nom et d’un grade, ou encore d’un grade et d’une adresse.
Toutes les entreprises du secteur privé sont concernées par le dispositif, y compris les sociétés étrangères disposant de traitements de données sur le territoire national. Si le recueil de la profession des clients est une pratique relativement répandue tous secteurs confondus, on pourra noter que celle-ci est d’autant plus fréquente chez les opérateurs du secteur financier (banques, établissements de crédit, assurances) du fait de l’utilisation de cette donnée dans l’appréciation de la solvabilité ou de l’accidentologie.
Différent du RGPD, le dispositif DCPM suit son propre calendrier, avec une entrée en vigueur au 1er avril 2019. Le décret du 29 octobre 2018 définissait en outre une période d’adaptation relativement courte, puisqu’en date du 21 juin 2019 une mise en conformité complète était attendue de la part des entreprises concernées.
Les sanctions prévues en cas de manquement se veulent dissuasives, comportant aussi bien des amendes (de 100.000 à 300.000 euros) que des peines de prison (de 1 à 3 ans d’emprisonnement). A noter que la négligence n’en constitue pas un facteur d’exonération de l’entreprise par rapport à sa responsabilité.
Le catalogage de données au service de la conformité DCPM.
A part quelques cas particuliers (par exemple la gestion de produits d’assurance spécifiquement destinés aux militaires), l’application de la réglementation DCPM passe donc par la nécessité de désensibiliser le patrimoine de données quant à cette caractérisation d’un état militaire.
Pour y arriver, la première étape consiste à identifier les zones concernées dans le Système d’Information. Immanquablement, pour les raisons expliquées plus haut de corrélation entre le métier et le profil de risque, des DCPM sont susceptibles de se retrouver dans les champs « profession » des applicatifs qui gèrent l’attribution et le cycle de vie de produits financiers : prêts immobiliers, prêts à la consommation, détention de comptes courant et d’épargne, assurances vie et non vie, etc. Des dizaines d’applications sont vraisemblablement en cause, avec pour chacune d’elles plusieurs tables pouvant comporter un champ « profession ». Bien entendu, cela concerne aussi des entreprises de tous secteurs d’activités, dans les services comme dans l’industrie.
Jusqu’ici, on pourrait dire qu’il reste envisageable pour le DPO de traiter le sujet de manière « manuelle », au travers d’échanges avec les référents métiers des différents applicatifs concernés. Mais ce n’est évidemment pas optimal, non seulement parce que cela nécessite de dégager de la disponibilité de la part de nombreux acteurs, mais aussi parce que pour certaines applications legacy il est à craindre que personne ne maîtrise complètement tous les schémas des différentes bases de données. Dès cette phase de cartographie, l’utilisation d’une solution automatisée de catalogage de données est donc pertinente pour aller plus vite et de manière plus exhaustive dans le travail consistant à répertorier toutes les tables dans lesquelles il existe un champ traitant de la profession d’un client.
Là où le recours à un outil automatisant la « data discovery » devient absolument incontournable, c’est lorsqu’il s’agit d’aller à un niveau de granularité plus fin, pour pousser les investigations au-delà des intitulés de champs pour descendre dans le contenu des champs eux-mêmes. Dans le cadre de la recherche de DCPM au sein du patrimoine applicatif, le besoin peut se trouver justifié pour au moins deux raisons :
- Dans le cas où les intitulés techniques de certains champs sont insuffisamment explicites pour comprendre le type de données qui s’y trouvent : une approche exploratoire du contenu du champ permet alors de vérifier s’il comporte des DCPM ou non.
- En cas de présence de champs commentaires au format libre et dont le contenu peut par définition comporter des DCPM. A noter que dans le contexte d’applications destinées à gérer de la relation clientèle, de tels champs sont généralement utilisés de bonne foi par les opérateurs pour recueillir un maximum d’informations, ce qui pose immanquablement des problèmes de conformité aussi bien au regard du RGPD que des DCPM.
Le besoin de savoir requêter au niveau des données unitaires est également un prérequis si on souhaite valider la conformité de sources de données non structurées comme les répertoires bureautiques, les serveurs de messagerie, ou encore les espaces de travail partagés.
Pour les entreprises qui souhaitent assurer le meilleur niveau de conformité par rapport à la réglementation DCMP, il est donc fondamental de s’équiper d’une solution qui, comme c’est le cas de MyDataCatalogue de Dawizz, est capable de cartographier les sources non seulement sur la base de leurs métadonnées mais aussi sur la base des enregistrements contenus dans ces sources.
MyDataCatalogue : un outil collaboratif de remédiation aux écarts de conformité DCPM.
Si la capacité à cartographier de manière automatique son patrimoine de données constitue une condition sine qua non pour identifier correctement et exhaustivement les sources contenant des DCPM, elle n’est pas pour autant suffisante pour atteindre l’objectif ultime qui est bien entendu la mise en conformité de l’entreprise. En effet, une fois d’éventuels écarts constatés du fait de la présence de DCPM, il va falloir mener des opérations de remédiation.
C’est dans cette faculté de remédiation que MyDataCatalogue se distingue à nouveau de la concurrence, en proposant des workflows collaboratifs qui permettent à chaque acteur d’intervenir efficacement dans son champ de responsabilité :
- Pour les sources de données non structurées, un portail simplifié permet à chaque propriétaire de sources contenant des DCPM de confirmer son accord pour leur suppression. Le cas échéant, si des raisons justifient de conserver certaines sources, il devra alors intervenir pour les désensibiliser au regard de la réglementation DCPM.
- Pour les sources de données structurées, le travail de remédiation peut être automatisé grâce à la solution dès lors qu’il s’agit d’un champ profession dédié, en remplaçant systématiquement la mention d’une profession militaire par une mention neutre de type « agent public ». Si la DCPM figure dans un champ commentaire, cette désensibilisation devra être effectuée par un opérateur, à qui notre solution permet d’affecter une tâche notifiée, avec si-besoin suivi du ticket pour constituer une piste d’audit.
Notre courbe d’apprentissage sur ce sujet délicat des DCPM est également passée par la résolution de difficultés inattendues. Un exemple parmi d’autres, les grades ambivalents : c’est le cas du mot capitaine, « capitaine de frégate » constituant clairement une DCPM dès lors qu’elle est associée à un nom, là où « capitaine d’équipe de football » n’entre évidemment pas dans le champ de la réglementation. Nous avons donc été amenés à mettre en place des règles spécifiques pour traiter ce type d’exception et éviter qu’elles ne génèrent des faux positifs qui viendraient polluer les dispositifs d’alerte.
Vous aussi, vous pouvez faire bénéficier votre entreprise de notre savoir-faire pour la mise en conformité – ou l’audit de la bonne conformité – de votre entreprise par rapport aux exigences réglementaires DCPM. N’hésitez pas à prendre contact, nous serons ravis d’en parler avec vous !