Information et éducation par et pour la communauté SAP

L'épée de Damoclès du RGPD

Pourquoi il pourrait être intéressant pour vous de vous pencher dès maintenant sur la destruction des données de votre SAP HCM.
Gernot Voßpeter, CTH Consult
23 août 2017
L'épée de Damoclès du RGPD
avatar
Ce texte a été automatiquement traduit en français de l'allemand

Avez-vous déjà pensé à la destruction des données ? En tant que société de conseil spécialisée dans SAP ERP HCM, nous enregistrons actuellement un nombre croissant de demandes de clients à ce sujet. Le contexte est simple : le 25 mai 2018, le règlement général européen sur la protection des données (RGPD) remplacera en grande partie la législation nationale sur la protection des données dans l'Union européenne (UE) et l'Espace économique européen (EEE), et donc aussi l'ancienne loi fédérale sur la protection des données (BDSG) en Allemagne.

En ce qui concerne la protection des données, les circonstances dans lesquelles le traitement des données à caractère personnel est autorisé et le droit des employés à la suppression des données qui ne sont plus nécessaires, les réglementations dans le cadre du RGPD correspondent en grande partie à celles de la loi fédérale sur la protection des données.

On pourrait simplement argumenter que tout cela est vieux comme le monde, puisque la loi fédérale sur la protection des données est en vigueur dans sa forme actuelle depuis des années et que si rien ne change de manière significative, il n'y a pas vraiment besoin d'agir. Cette hypothèse était et reste fondamentalement fausse ! La loi fédérale sur la protection des données est déjà une loi d'interdiction avec réserve d'autorisation et donc une "épée" juridiquement très tranchante.

Seules les conséquences, c'est-à-dire les amendes, n'étaient pas adaptées jusqu'à présent. C'est précisément la nouveauté décisive sur laquelle le nouveau RGPD se distingue de la loi fédérale sur la protection des données, à savoir les dispositions relatives aux amendes. Alors que la loi fédérale sur la protection des données prévoit une amende maximale de 50 000 euros en cas d'infraction, les amendes imposées par le RGPD doivent être efficaces, proportionnées et dissuasives.

Les amendes peuvent atteindre, selon le cas, la nature et la gravité, jusqu'à dix millions d'euros ou deux pour cent du chiffre d'affaires annuel mondial d'une entreprise. En cas de violation de certains articles du règlement, l'amende peut même être doublée et atteindre quatre pour cent du chiffre d'affaires mondial.

Les sanctions drastiques qui menacent à l'avenir ne sont pas les seules à inciter les entreprises à s'intéresser de plus près à ce sujet. A l'heure de la collecte quasi effrénée des données, la performance du matériel utilisé joue bien entendu un rôle non négligeable.

Autant de raisons de se pencher activement sur ce sujet brûlant, tout en se demandant comment l'aborder dans le cadre d'un projet.

ILM pour SAP HCM

SAP a livré pour la première fois la fonctionnalité "Information Lifecycle Management (ILM)" pour SAP ERP HCM avec l'Enhancement Package 6.04 et a continué à l'étendre dans les Enhancement Packages suivants. L'ILM comprend, selon l'état du système, la possibilité de détruire les données des différents modules de SAP ERP HCM. La procédure repose sur une technique d'archivage éprouvée. Les données à détruire sont d'abord écrites dans un fichier d'archive temporaire, puis supprimées de la base de données. Contrairement à l'archivage normal, le fichier d'archive temporaire n'est pas écrit sur un support, mais supprimé. Les données sont ainsi détruites.

La destruction fait l'objet d'une entrée de protocole dans un infotype séparé de l'Administration du personnel (IT0283). Il est possible de savoir ici si des données ont été détruites pour le salarié concerné, si oui, quels objets d'archivage ont été traités et pour quelle période.

Un projet qui a pour but de détruire certaines données devenues inutiles devrait toutefois, si les conditions sont remplies, se pencher d'abord sur les exigences professionnelles :

Créer les conditions préalables dans SAP HCM

Il s'agit en premier lieu de s'assurer qu'au moins la version 6.04 de l'EhP (idéalement la plus récente) est installée et que la fonction métier ILM est activée. D'autres activités, généralement effectuées par le service d'assistance SAP Basis, en font également partie, comme la vérification que les autorisations nécessaires ont été attribuées. Définition des fichiers d'archives temporaires et des chemins d'accès aux lecteurs dans lesquels ils sont temporairement enregistrés.

Évaluation professionnelle : combien de temps quelles données peuvent être conservées ou utilisées ? Quand n'y a-t-il plus de nécessité / d'exigence professionnelle pour la conservation de ces données ? Là encore, la loi nous aide : "Les données personnelles d'un employé peuvent être collectées, traitées ou utilisées aux fins de la relation de travail si cela est nécessaire pour décider de l'établissement d'une relation de travail ou, après l'établissement de la relation de travail, pour son exécution ou sa fin.....". Article 32 (1) BDSG.

Un exemple serait : Combien de temps les heures de pointage (enregistrement des arrivées et des départs) doivent-elles être conservées dans le système ?

Idéalement, toutes les données enregistrées pour un employé dans SAP ERP HCM peuvent être accompagnées d'une période pendant laquelle ces données doivent être conservées ou d'une date à laquelle elles doivent être détruites au plus tard. Il est souvent recommandé de discuter de ces questions avec le responsable de la protection des données de l'entreprise.

Mise en œuvre technique avec SAP ILM

Une fois que les délais de conservation des données des collaborateurs sont définis de manière fonctionnelle, vous pouvez commencer à configurer les objets d'archivage SAP correspondants. Comme décrit ci-dessus, l'ILM est basé sur l'archivage des données. C'est pourquoi, dans le cadre de l'ILM, on parle toujours d'objets d'archivage dans lesquels sont regroupées les données à détruire.

Selon l'état de votre système, vous trouverez des objets d'archivage pour la plupart des données concernées. Toutefois, votre recherche d'objets d'archivage pour des types d'informations propres au client, des tables de Customizing et d'application ou même des clusters propres au client sera infructueuse.

Vous devrez les mettre en œuvre vous-même. Si des objets d'archivage existent déjà, les délais de conservation peuvent être "personnalisés".

Test de destruction des données

En fonction de la complexité des exigences et de la masse de données à détruire, la réalisation de la destruction de données dans des systèmes productifs peut demander beaucoup de temps et de ressources. Il est donc recommandé de procéder d'abord à des essais dans un système séparé, éventuellement mis en place spécialement pour ce projet. Cela permet également d'identifier et d'écarter les risques à un stade précoce. En ce qui concerne la durée d'exécution, il a souvent été recommandé d'élaborer de petits paquets plutôt que de vouloir détruire de nombreuses données en une seule fois.

Réalisation de la destruction des données

L'exécution de l'archivage devrait être un processus continu. Selon la taille de l'entreprise, celui-ci peut être automatisé à des moments prédéfinis ou déclenché de manière flexible par le service spécialisé en cas de besoin.Vous trouverez ci-dessous une représentation schématique de la structure du projet décrite ici.

Conclusion

A première vue, le projet "destruction de données" semble plus explosif qu'il ne l'est en réalité. Comme c'est souvent le cas lorsque les conditions techniques sont réunies et que l'on est prêt à s'occuper de ce sujet en plus des affaires courantes, l'implémentation de SAP ILM fait plutôt partie des projets de moindre envergure. Une fois implémenté, il peut être utilisé régulièrement, de sorte que la question d'une gestion des données éventuellement non conforme à la législation ou d'une mauvaise performance du système due à des données système surdimensionnées, qui ne sont en fait plus nécessaires, ne se pose tout simplement plus.

https://e3mag.com/partners/cth-consult-team-hamburg-gmbh/

avatar
Gernot Voßpeter, CTH Consult

Gernot Vosspeter est Head of Competence Center SAP ERP HCM chez CTH Consult


Écrire un commentaire

Le travail sur la base SAP est essentiel pour réussir la conversion S/4. 

Ce que l'on appelle le centre de compétences prend ainsi une importance stratégique chez les clients existants de SAP. Indépendamment du modèle d'exploitation d'un S/4 Hana, les thèmes tels que Automatisation, Suivi, Sécurité, Gestion du cycle de vie des applications et Gestion des données la base de l'exploitation opérationnelle de S/4.

Pour la deuxième fois déjà, le magazine E3 organise à Salzbourg un sommet pour la communauté SAP afin de s'informer en détail sur tous les aspects du travail de base de S/4-Hana.

Lieu de la manifestation

FourSide Hôtel Salzbourg,
Trademark Collection by Wyndham
Am Messezentrum 2, 5020 Salzbourg, Autriche
+43-66-24355460

Date de l'événement

mercredi 10 juin, et
Jeudi 11 juin 2026

Billet d'entrée anticipé

Billet régulier

EUR 390 hors TVA
disponible jusqu'au 1.10.2025
EUR 590 hors TVA

Lieu de la manifestation

Hôtel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Date de l'événement

mercredi 22 avril et
Jeudi 23 avril 2026

Billets

Billet régulier
EUR 590 hors TVA
Abonnés au magazine E3
à prix réduit avec le Promocode STAbo26
EUR 390 hors TVA
Étudiants*
à prix réduit avec le Promocode STStud26.
Veuillez envoyer votre certificat d'études par e-mail à office@b4bmedia.net.
EUR 290 hors TVA
*Les 10 premiers billets sont gratuits pour les étudiants. Tentez votre chance ! 🍀
L'organisateur est le magazine E3 de la maison d'édition B4Bmedia.net AG. Les conférences seront accompagnées d'une exposition de partenaires SAP sélectionnés. Le prix du billet comprend la participation à toutes les conférences du Steampunk and BTP Summit 2026, la visite de l'espace d'exposition, la participation à la soirée et les repas pendant le programme officiel. Le programme des conférences et la liste des exposants et des sponsors (partenaires SAP) seront publiés en temps utile sur ce site.