DXC accompagne la mise en conformité RGPD d’une multinationale de l’assurance

Construire de la confiance, interpréter les données et conduire l’innovation

La date butoir pour la mise œuvre du RGPD arrive à grand pas, comme en témoigne le compte à rebours affiché à tous les étages de DXC. C’est un calendrier que toutes les sociétés, et notamment les établissements financiers et compagnies d’assurances suivent de près. Décrit comme l’un des changements les plus importants dans la réglementation de la confidentialité des données dans l’histoire récente, le RGPD rentre en vigueur le 25 mai 2018.

Les organisations non conformes à la nouvelle réglementation seront passibles d’amendes allant jusqu’à 4% de leur chiffre d’affaires mondial ou une pénalité de 20 millions d’euros. Des amendes peuvent être infligées si une organisation n'a pas reçu, documenté et archivé le consentement explicite et éclairé du client pour traiter les données personnelles, ou si elle ne respecte pas les principes de base de RGPD. Parmi toutes les données traitées, les données personnelles des clients vont devenir une préoccupation majeure pour tous les organismes financiers à l’avenir.

Tant à faire et si peu de temps…

L’équipe de direction du client de DXC Technology – une compagnie multinationale de l’assurance avec un important portefeuille de services et produits divers – a reconnu le besoin d’une stratégie rigoureuse pour organiser la gestion effective et la suppression des données non conformes.

En fait, l’entreprise souhaitait automatiser le processus de gestion et de suppression des données personnelles non conformes. Pour y arriver, plusieurs facteurs de complication ont dû être pris en compte et résolus. Tout d’abord, les règles métiers, à l’origine de la gestion des enregistrements étaient trop complexes. Par exemple, elles comprenaient, entre autres choses : la durée de la tenue d'un dossier, l'âge des personnes impliquées et le type d'enregistrement. De plus, la société maintenait en parallèle plusieurs systèmes non compatibles ou non synchronisables de manière cohérente.

Cette situation était due à l’historique particulier du système informatique de l'entreprise : issu en partie de sa croissance interne, de transformations numériques successives mais aussi héritée de différents systèmes à la suite des fusions et acquisitions. A cela s’ajoutait la dispersion des documents commerciaux sur diverses parties du système - ce qui signifiait que la suppression d'un enregistrement à un endroit, n’offrait aucune garantie de la suppression de son contenu dans l’ensemble des systèmes concernés.

Une première étude menée par l'équipe du client a déterminé que l'effort manuel pour identifier et supprimer les données non conformes prendrait un temps considérable. L'élaboration d'un système automatisé aurait permis de respecter le calendrier mais les compétences et les technologies requises n'existaient pas en interne. L'entreprise a fait appel à DXC pour avancer dans cet environnement complexe.

La solution de DXC

DXC et le client ont établi une solide relation de collaboration, impliquant des discussions ouvertes sur ce qui était nécessaire. Les conseils de DXC ont permis d'identifier à quoi pourrait ressembler une solution technologique.

"L'équipe de DXC nous a rassurés dès le départ en proposant de mettre en œuvre une solution robuste dans les délais", explique le responsable du programme RGPD de la société. "Ce que nous avons trouvé le plus encourageant était leur approche du challenge - pas seulement comme une tâche réglementaire obligatoire mais comme l'opportunité de déclencher une plus grande collaboration entre nos différentes fonctions commerciales."

DXC a livré sa solution de gestion et d’identification des données de bout en bout. Elle réunissait des outils logiciels clés, des modèles d'architecture et des connaissances exclusives de la pratique DXC Analytics. DXC a travaillé avec des équipes de toute l'entreprise pour explorer les stratégies actuelles de gestion des données, identifier les nombreux emplacements de conservations des données et faciliter leur exploitation possible.

L'approche de DXC et son offre de services RGPD mettent l'accent sur le fait qu'il ne suffit pas de traiter uniquement les exceptions (demandes d'accès par sujet, demandes de suppression, etc.). Les entreprises doivent démontrer et exécuter les processus de « business as usual » au jour le jour sans attendre qu'ils soient contestés par les clients. Le principe RGPD de "protection par conception" exige que les données soient systématiquement supprimées ou que leur accès soit réduit et contrôlé, chaque fois que cela est possible.

Après le processus de conception initial, le principe de fonctionnement a continué à être basé sur la collaboration et la livraison agile. DXC a travaillé en étroite collaboration avec l'équipe du client pour développer, construire, tester et déployer une solution en adéquation avec les besoins, le budget et les délais du client. Après le déploiement, DXC a transféré la solution à un service de support géré permanent fourni par un des centres de production mondial de DXC pour assurer une gestion continue efficace de la solution.

Automatisé, précisément aligné

La solution DXC Data Management and Minimization a fourni au client un moteur d'orchestration centralisé qui automatise l'identification, la gestion et la suppression des données personnelles non conformes sur les systèmes, à la fois pour les types de données structurées et non structurées.

DXC a conçu la solution pour tenir compte des règles métier complexes du client, à respecter avant qu'un enregistrement puisse être supprimé. Ce n'est qu'une fois que toutes les règles commerciales applicables ont été suivies qu'un enregistrement peut être considéré comme éligible à la suppression. Cette coordination est une caractéristique clé de la solution DXC, car elle fournit à l'entreprise l'assurance et la justification nécessaires pour « supprimer de manière défensive » un enregistrement.

Une fois qu'un enregistrement a été identifié pour suppression et que le client l'a autorisée, la solution supprime alors l'enregistrement proprement sur l’ensemble des systèmes où il réside. DXC a également permis au client de maintenir une piste d'audit pour montrer toutes les actions qui ont été menées. Cet historique fournit des informations sur quoi, pourquoi, comment et quand les données ont été supprimées des systèmes du client. Il fournit au client des preuves clés concernant la suppression d'un enregistrement en cas de contestation ou si l’entreprise se voit tenue de les produire.

Depuis le premier contact avec DXC jusqu’à la fin de la mise en œuvre, le projet a duré six mois. L'entreprise a tiré de nombreux bénéfices résultant du nouveau système de gestion automatisé mis en place. Les économies de temps et de coûts sont importantes comparées à ce que l’entreprise aurait dépensé pour identifier manuellement les enregistrements à supprimer. De plus, la solution continuera à offrir des avantages qui vont au-delà des économies ponctuelles.

La solution DXC Data Management and Minimization fournit aux entreprises un modèle à suivre pour la gestion du cycle de vie de leurs informations. Le client sera en mesure de réagir rapidement aux évolutions futures des réglementations de protection des données et il a fortement diminué le risque d'amendes réglementaires potentielles pour non-conformité.

Fort du succès de la solution, le responsable RGPD a indiqué que d'autres départements de la société ont commencé à l'utiliser dans différentes applications, notamment pour une gestion plus efficace des données de test : « En tant qu'organisation, nous voyons désormais l’entrée en vigueur du RGPD avec confiance et cela nous donne une approche de l'information : centrée sur les données, axée sur le client et diligente, qui résiste à l'examen minutieux tout en favorisant une plus grande efficacité au sein de l'entreprise. »