Une nouvelle passionnante ! Thirdera est racheté par Cognizant.

Contactez-nous

Prenez le contrôle de la gestion de la confidentialité avec Thirdera et ServiceNow

CCPA, RGPD, VCDPA, FCRA, FERPA, la liste est longue. Et non, il ne s'agit pas seulement des dernières abréviations internet cool (YOLO). Ils font tous partie de la liste croissante des règlements relatifs à la protection de la vie privée que les entreprises doivent connaître et mettre en œuvre dans le monde d'aujourd'hui. Vous avez probablement vu les longs accords de confidentialité, souvent ignorés, qui accompagnent votre acceptation de nouveaux produits et services, et la liste des règlements s'allonge à mesure que la quantité de données que nous acceptons de partager avec nos appareils et services augmente. Cette croissance s'accompagne de nouvelles exigences en matière de protection de la vie privée, et la combinaison de la demande de ressources et de la réglementation croissante met à rude épreuve les équipes de gestion de la vie privée actuelles. Heureusement, la même évolution technologique qui a stimulé la réglementation a également permis de faire des progrès dans les technologies que les responsables de la protection de la vie privée peuvent exploiter. L'une de ces technologies est ServiceNow.

La plate-forme ServiceNow, qui s'est fait un nom initialement dans le domaine de la gestion des services informatiques (ITSM), dispose d'une suite de produits en constante évolution dont les entreprises peuvent tirer parti pour répondre à la demande dans de nombreux secteurs. Cela inclut des domaines tels que les ressources humaines, la GRC, les opérations de sécurité, le service clientèle, la confidentialité, et bien d'autres encore. La centralisation de diverses tâches et de divers processus opérationnels dans un seul et même outil présente un certain pouvoir (et une certaine valeur). Avec le bon conseiller en sécurité, les équipes de gestion de la vie privée peuvent exploiter ce pouvoir pour lutter contre un certain nombre de défis croissants dans leur secteur.

 

L'importance du suivi des informations d'identification personnelle

L'un des principaux défis auxquels les responsables de la protection de la vie privée sont confrontés aujourd'hui est le suivi des PII ( Personally Identifiable Information ou informations personnellement identifiables ) dans l'ensemble de l'organisation. Il est essentiel de comprendre quels systèmes traitent et manipulent les données PII, et quels éléments de PII ils touchent, pour déterminer les mesures à prendre à l'encontre de ces systèmes afin de continuer à respecter la réglementation. Et si des outils de gestion de la confidentialité cloisonnés peuvent certainement aider à gérer ce répertoire, ServiceNow combine ces fonctionnalités de répertoire avec d'autres éléments largement utilisés et précieux de la plate-forme - Asset Management (ITAM ou gestion des actifs), Business Management (ITBM ou gestion des opérations) et Service Management (ITSM ou gestion des services). Au cœur de tous ces services de plate-forme se trouve ce que l'on appelle la CMDB (Configuration Management Database ou base de données de gestion de la configuration), qui sert de répertoire central pour des éléments tels que le matériel, les logiciels, les services commerciaux et les relations entre ces éléments. Le stockage de ces données dans un emplacement centralisé permet, par exemple, d'associer des tickets dans la gestion des services à du matériel ou à des logiciels précis, ou de comprendre comment les pannes de certains éléments ou services peuvent affecter les processus opérationnels en amont. Ensuite, du point de vue de la protection de la vie privée, cette même CMDB permettrait de mettre en correspondance ces objets PII avec tous les éléments individuels de l'organisation, y compris le matériel, les logiciels, les services, les processus, etc. Ainsi, pour tout élément que nous suivons en tant qu'organisation, nous serions en mesure de visualiser tous les éléments PII qu'il touche, ainsi que toute relation en amont ou en aval et les PII que ces éléments associés touchent. Les responsables de la protection de la vie privée n'auront plus à gérer le répertoire réel des actifs mais pourront se concentrer sur l'utilisation de ce même répertoire pour conserver les éléments correspondants au PII. Nous pourrions même aller plus loin sur la même plate-forme, et suivre le respect des contrôles pour ces éléments ou envoyer des PIA (Privacy Impact Assessments ou évaluations des incidences sur la vie privée), mais je réserve cette discussion pour la prochaine fois.Priacy Mgmt Blog #1_2022Exemple de registre d'application professionnelle dans ServiceNow, montrant une application utilisant des PII. Notez les objets informatifs (éléments des PII) figurant dans la section " Related Items « ( ou éléments associés ) en bas de la page.

 

Il est temps de commencer à prendre les RH au sérieux

Si le suivi des PII est une excellente fonctionnalité de la plate-forme ServiceNow, ce n'est pas la seule que ServiceNow propose aux équipes de protection de la vie privée. Outre le fait qu'elles doivent savoir quels systèmes traitent les données personnelles, les équipes chargées de la protection de la vie privée sont chargées de veiller à ce que les processus de la société qui traitent les PII soient conformes à la réglementation. Comme nous l'avons mentionné, avec l'augmentation du nombre de réglementations et leur ampleur, ainsi qu'une surveillance accrue dans ce domaine, les équipes chargées de la protection de la vie privée doivent s'assurer que leur société ne néglige aucun secteur. L'un de ces secteurs, souvent négligé dans le traitement des PII, est le secteur des RH. Les données relatives aux employés et aux candidats contiennent également des PII, et les services des RH (qui sont souvent plus occupés que jamais) ne sont pas toujours pleinement conscients de tout ce qu'ils doivent faire pour respecter la réglementation relative au traitement de ces données.

Heureusement, la plate-forme ServiceNow peut également vous aider dans ce domaine. Avec un ensemble de fonctionnalités riches dans le domaine de la gestion des ressources humaines (RH), ServiceNow a introduit des flux de travail dédiés pour aider dans de nombreux cas fréquents en matière de RH. Si les applications RH apportent beaucoup aux entreprises dans les différentes phases de la gestion des ressources humaines ( comme le recrutement, la communication et l’intégration ), elles peuvent aussi aider les équipes de protection de la vie privée en organisant la collecte des informations RH.

ServiceNow propose aux entreprises un portail de services RH afin de les aider à utiliser certains aspects des fonctions RH et à saisir les informations relatives aux nouveaux employés (qui, comme nous l'avons mentionné, sont souvent des PII). En plus de certaines fonctionnalités intéressantes, comme le stockage de documents RH, la possibilité de trouver ou de poser des questions sur les RH, ou la possibilité de chatter avec le département RH, le portail de service RH peut servir de point central pour saisir les informations de nos nouveaux employés d'une manière plus structurée et organisée. Nous pouvons nous débarrasser des exemplaires papier et des courriels contenant des formulaires essentiels chargés de données d'identification personnelle, et demander aux utilisateurs de télécharger, de charger et même de remplir directement des formulaires et des informations sur ce portail. De même, les utilisateurs ont la possibilité de solliciter et de suivre directement les demandes relatives aux services RH, comme les prestations, les remboursements ou le virement automatique. Là encore, la réduction du nombre d'e-mails et la centralisation des processus nous permettent de mieux structurer et protéger les informations transférées dans le cadre de ces opérations. Ainsi, avec HR de ServiceNow, vos utilisateurs disposent d'un mécanisme plus facile pour tout ce qui concerne les RH, et l'équipe chargée de la protection de la vie privée peut être rassurée en sachant que les risques associés à la gestion de la collecte de données personnelles liée au processus d'embauche sont minimisés - tout le monde y gagne!  

Outre l'aspect de la gestion des nouvelles embauches facilité par le portail RH, il est également intéressant de disposer des données relatives aux processus RH et des autres données collectées dans le cadre de ces processus sur une plate-forme centralisée (idéalement la même plate-forme que celle utilisée pour les mesures de conformité). Grâce à la centralisation de ces données dans ServiceNow, nous pouvons mettre en place des mesures, des rapports et un suivi automatisé (comme les indicateurs ServiceNow) pour nous assurer que nous sommes conformes à toutes les composantes de notre programme RH utilisant des PII. Prenons l'exemple de la compilation des données relatives aux candidats, ou données de base, résultant d'une recherche d'emploi classique. De nombreuses réglementations essentielles en matière de protection de la vie privée, telles que le RGPD, comportent des règles sur ce qui peut être recueilli, la durée de stockage, etc. Grâce à la centralisation des données dans ServiceNow, nous pouvons utiliser les rapports de la plate-forme et le suivi automatisé pour nous assurer que nous faisons ce qu'il faut pour répondre à ces exigences et respecter les règles de confidentialité. Si, pour une raison quelconque, ce n'est pas le cas, la plate-forme ServiceNow a la capacité de nous en informer, voire de générer des questions sur la conformité pour y remédier. La centralisation des processus dans ServiceNow peut produire des éléments concrets pour prouver la conformité, et réduire les tâches manuelles de suivi de ces éléments.

Priacy Mgmt Blog #2_2022Exemple en capture d'écran du portail RH (Source: https://docs.servicenow.com/bundle/sandiego-employee-service-management/page/product/human-resources/concept/c_UseTheHRSMPortal.html)

 

Améliorer la gestion des données clients avec CSM

Nous avons vu que ServiceNow peut contribuer à l'établissement d'un référentiel de données PII et au respect des réglementations relatives aux processus d'embauche PII, mais il peut également contribuer à la collecte de certaines des données PII provenant des clients. Cette assistance est fournie par l'application et le portail CSM (Customer Service Management ou gestion du service client) de ServiceNow. Si les fonctions principales de l'application CSM sont d'automatiser les flux de travail autour du service client et de permettre aux clients de soumettre des requêtes à la société (ce qui est extrêmement utile en soi), l'application peut également être utilisée pour permettre aux clients de fournir les renseignements que vous devez rassembler. Cette fonctionnalité peut aider à réduire les tâches manuelles liées à la collecte de données et, par conséquent, à résoudre de nombreux problèmes associés aux processus manuels ou autres inadaptés à la collecte de données. Le cloisonnement des données en est un exemple. Lors de la collecte de données sur les clients, des données cloisonnées risquent de laisser plus de zones d'exposition et, pire encore, d'entraîner des violations de données et des temps de réaction trop lents. En centralisant les données dans la plate-forme ServiceNow, nous pouvons réduire le nombre d'applications que nous devons gérer et donc diminuer les points de vulnérabilité potentiels. En demandant aux clients de fournir des données directement dans la plate-forme avec l'application CSM, nous pouvons aller plus loin en limitant la collecte par des intermédiaires ou la collecte et la saisie manuelles précédemment évoquées. Dans le même ordre d'idées, une fois que ces données ne sont plus cloisonnées, nous pouvons tirer parti des fonctionnalités de la plate-forme ServiceNow pour résoudre d'autres problèmes courants liés à la collecte de données, comme les mots de passe trop faibles ou un accès trop étendu (en définissant des politiques de mot de passe et en gérant les rôles). Pour boucler la boucle, n'oubliez pas que nous pouvons également associer les données collectées aux applications qui ont besoin de les utiliser, ce qui permet à notre équipe chargée de la protection de la vie privée de mettre en place les contrôles appropriés dans les applications ou services concernés.

 

Le mot de la fin

Nous espérons que cela a permis de montrer comment ServiceNow s'attaque à quelques-uns des problèmes clés des responsables de la protection de la vie privée. La plate-forme ServiceNow permet de résoudre les problèmes liés à la gestion des référentiels de données, aux ressources humaines et aux données du service client. Et si ces fonctionnalités sont impressionnantes, elles ne sont certainement pas les seules que ServiceNow a à offrir. Grâce à des applications de pointe dans le domaine de l'IRM (conformité, risque, audit, confidentialité, etc.) et de la sécurité (réponse aux vulnérabilités, réponse aux incidents de sécurité, etc.), ServiceNow peut en fait prendre en charge la totalité de vos besoins en matière de gestion de la protection de la vie privée et de la conformité. L'élimination des cloisonnements et la normalisation des processus sur une seule et même plate-forme présentent des avantages, et ServiceNow est un excellent choix pour aider à réaliser ces objectifs. Heureusement, même si le nombre de réglementations et de problèmes auxquels les équipes chargées de la protection de la vie privée sont confrontées augmente, il existe des technologies qui peuvent être mises en place pour y remédier.

Ne manquez pas de consulter d'autres articles sur la manière dont TThirdera et ServiceNow vous permettent de vous conformer plus facilement aux réglementations. En attendant, contactez l'un de nos experts ServiceNow pour savoir comment nous pouvons vous aider à réaliser vos objectifs relatifs à la protection de la vie privée. 

Contactez-nous

ÉCRIT PAR

Joe Salem

Joe est architecte solutions au sein de l'équipe Sécurité et Risque chez Thirdera. En combinant une pensée innovante, une grande connaissance des meilleures techniques du secteur et une expérience de la plate-forme ServiceNow, il aide les clients issus de divers domaines à déployer avec succès des solutions ServiceNow. Aujourd'hui, il utilise son savoir-faire en matière de GRC et d'IRM pour aider les clients ayant différents niveaux de maturité à maximiser la valeur de ServiceNow.
[sécurité-risque, blog] [Sécurité & Risque, Blog]