Information et éducation par et pour la communauté SAP
L'avis de la communauté SAP, Chronique sur la sécurité informatique, MAG 17-06

Suppression et blocage des données à caractère personnel dans SAP HCM

En suivant le flux d'informations sur la situation juridique actuelle concernant la suppression et le blocage des données personnelles, on est inévitablement conduit à la fonction métier SAP ILM et à la question de la faisabilité des aspects de protection des données dans les systèmes SAP.
Björn Meeder, IBS Schreiber
1er juin 2017
Contenu :
Sécurité informatique
avatar
Ce texte a été automatiquement traduit en français de l'allemand

Si l'on s'intéresse de plus près aux développements actuels sur ce thème, on se trouve face au règlement général de l'UE sur la protection des données (RGPD), applicable à partir du 25 mai 2018, et à ses lourdes sanctions en cas de non-respect de la protection des données.

En principe, le RGPD prévoit, tout comme la loi fédérale sur la protection des données (BDSG), la rectification et l'effacement des données à caractère personnel. La conservation illimitée de telles données n'est pas autorisée.

Toutefois, tant qu'il existe d'autres exigences légales, conventionnelles ou internes à l'entreprise concernant la conservation des données et des documents à caractère personnel, les données ne doivent pas encore être supprimées mais simplement bloquées.

Grâce aux possibilités éprouvées de la gestion de la rétention, il est possible de reproduire des faits relatifs à la gestion du personnel via SAP ILM et de les mettre en pratique en conformité avec la loi.

Obtenir une vue d'ensemble

Il convient toutefois de se procurer d'abord un aperçu structuré de toutes les données personnelles traitées dans SAP HCM. Pour ce faire, il convient d'élaborer un concept de suppression qui tienne compte des prescriptions légales en matière de protection des données ainsi que d'autres obligations légales et qui règle de manière transparente le type et l'étendue du traitement de données aussi sensibles.

Le concept de suppression constitue le point de départ idéal pour l'identification des données à bloquer conformément à l'article 35 de la loi allemande sur la protection des données (BDSG), ainsi que pour la mise en œuvre du Customizing dans SAP ILM.

L'ILM repose techniquement sur un ensemble de règles. Ici, les délais de conservation définis pour chaque infotype sont repris dans le système SAP et représentés de manière analogue au concept de suppression.

Pour simplifier, les durées de conservation minimales et maximales doivent être enregistrées par infotype, c'est-à-dire par objet d'archivage. Dans la pratique, cela prend rapidement des formes complexes.

Chaque fois que la règle de conservation doit être liée à d'autres conditions, ces critères doivent être implémentés dans l'ensemble de règles. Après la mise en œuvre du Customizing spécifique à SAP HCM, un chemin de décision peut être parcouru pour chaque objet d'archivage le long de ces critères afin de déterminer la période de conservation correcte d'un enregistrement.

L'ensemble de règles de l'ILM peut être appelé via la transaction IRM_CUST. La note SAP 1600991 contient des informations sur la livraison de la Business Function ILM et sur la version du système requise. On y trouve également des informations sur les coûts de licence en cas d'utilisation de l'ILM pour les objets d'archivage HCM et sa couverture possible par les licences ERP déjà existantes.

La destruction proprement dite des données est réalisée à l'aide des fonctionnalités SAP de base classiques. Il existe pour cela des programmes correspondants dans le système SAP. Les programmes correspondants sont exécutés l'un après l'autre pour chaque objet d'archivage via la transaction SARA, l'administration de l'archivage.

L'objet d'autorisation P_DURATION permet de mettre en œuvre de manière adaptative le blocage des données personnelles au niveau granulaire d'infotypes individuels. En définissant des périodes d'autorisation, l'accès aux données de base du personnel peut être limité dans le temps.

Vous trouverez des informations sur l'objet d'autorisation P_DURATION dans la note SAP 2123631. Un concept de suppression conforme à la protection des données peut être mis en œuvre dans un système SAP en tant que solution hybride des deux fonctionnalités.

Contrairement à l'élaboration du concept d'effacement, l'implémentation successive des processus d'effacement de la solution 100% devrait être privilégiée pour le projet de mise en œuvre technique qui s'ensuit.

D'une part, il n'existe pas encore d'objet d'archivage final pour quelques infotypes standard, d'autre part, l'accent technique devrait être mis sur chaque infotype et son objet d'archivage correspondant, afin de pouvoir intégrer des connaissances utiles dans la création de règles de suppression simplifiées.

 

avatar
Björn Meeder, IBS Schreiber

Björn Meeder est auditeur & consultant en sécurité SAP, SAP Certified Consultant HCM d'IBS Schreiber.


Tous les articles de l'auteur

Écrire un commentaire

Multiples chantiers ERP de SAP

IA avec ERP, BTP et BDC

Planification intelligente de la production dans les environnements système SAP

Le travail sur la base SAP est essentiel pour réussir la conversion S/4. 

Ce que l'on appelle le centre de compétences prend ainsi une importance stratégique chez les clients existants de SAP. Indépendamment du modèle d'exploitation d'un S/4 Hana, les thèmes tels que Automatisation, Suivi, Sécurité, Gestion du cycle de vie des applications et Gestion des données la base de l'exploitation opérationnelle de S/4.

Pour la deuxième fois déjà, le magazine E3 organise à Salzbourg un sommet pour la communauté SAP afin de s'informer en détail sur tous les aspects du travail de base de S/4-Hana.

Lieu de la manifestation

FourSide Hôtel Salzbourg,
Trademark Collection by Wyndham
Am Messezentrum 2, 5020 Salzbourg, Autriche
+43-66-24355460

Date de l'événement

mercredi 10 juin, et
Jeudi 11 juin 2026

Billet d'entrée anticipé

Billet régulier

EUR 390 hors TVA
disponible jusqu'au 1.10.2025
EUR 590 hors TVA

Lieu de la manifestation

Hôtel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Date de l'événement

mercredi 22 avril et
Jeudi 23 avril 2026

Billets

Billet régulier
EUR 590 hors TVA
Abonnés au magazine E3
à prix réduit avec le Promocode STAbo26
EUR 390 hors TVA
Étudiants*
à prix réduit avec le Promocode STStud26.
Veuillez envoyer votre certificat d'études par e-mail à office@b4bmedia.net.
EUR 290 hors TVA
*Les 10 premiers billets sont gratuits pour les étudiants. Tentez votre chance ! 🍀
L'organisateur est le magazine E3 de la maison d'édition B4Bmedia.net AG. Les conférences seront accompagnées d'une exposition de partenaires SAP sélectionnés. Le prix du billet comprend la participation à toutes les conférences du Steampunk and BTP Summit 2026, la visite de l'espace d'exposition, la participation à la soirée et les repas pendant le programme officiel. Le programme des conférences et la liste des exposants et des sponsors (partenaires SAP) seront publiés en temps utile sur ce site.