Chaque nouveau client, salarié, produit ou nouvel actif génère des données que l’entreprise doit savoir gérer ; la génération de données est inhérente à la croissance d’une organisation. Les données personnelles représentent plus de 75% des données numériques créées. L’évolution de la réglementation sur la protection des données et de la vie privée est étroitement liée à la révolution numérique dans le monde. Alors qu’en 1993, quatre pays seulement avaient un cadre juridique protecteur, aujourd’hui il existe environ 110 lois dans le monde. En France, le 8 juillet 2019, sept autorités administratives indépendantes[1] ont publié une note sur la régulation par la donnée dont l’un des objectifs serait d’amplifier la capacité d’action du régulateur à travers la détection de signaux faibles et de risques systémiques.
Le risque de sanction lié à la non-conformité des traitements de données est bien réel et il y a fort à parier que les 80 millions d’euros d’amendes déjà adressées aux organisations au titre du GDPR sont amenés à croitre de manière significative dans les prochains mois.
L’EFFET GDPR
La moitié des groupes français adressent la problématique au comité exécutif, contre seulement un quart l’année dernière ; la protection des données est désormais prise en compte dans l’évaluation du niveau d’exposition aux risques des organisations tandis que le RSSI commence à gagner ses lettres de noblesses. En France, le GDPR est à l’origine d’une progression de 22% des investissements dans les programmes de sécurité.
Le GDPR a eu des effets structurant pour les organisations :
- La sensibilisation de l’ensemble des acteurs de l’entreprise aux enjeux liés aux données ;
- Une meilleure connaissance des besoins et des pratiques des métiers concernant les données ;
- La cartographie et la localisation des données dans le système d’information ;
- La classification des données ;
- La mise à jour des données, leur suppression pour celles qui étaient périmées ou excessives ;
- L’évaluation de la capacité des systèmes et notamment des applications à garantir le respect des processus de protection des données.
Les organisations ont une meilleure visibilité de leurs actifs et de l’utilisation des données personnelles au sein de l’organisation. Pour Benoit Ranini, président et cofondateur de TNP Consultants, le GDPR est une opportunité qui doit nous servir à établir la « carte d’identité data » des entreprises ; celle-ci pourrait être calculée de manière systématique et régulière en fonction d’indicateurs basés sur la quantité de données traitées, les coûts relatifs au stockage de données et à leur suppression, la quantité de données exploitées ou exploitables, les facilités d’accès aux données, la capacité à migrer les données vers le cloud, la sécurité et la protection des données.
En 2019, la maturité des technologies de cartographie, de data lineage associées au machine learning et au savoir-faire de cabinets de conseil hybrides métiers / IT permettent la création automatisée d’une telle carte d’identité.
LE VÉRITABLE ENJEU : LA MAÎTRISE ET LA FIABILITÉ DES DONNÉES PERSONNELLES
Il ne peut y avoir de conformité efficiente et pérenne sans approche holistique portant sur le cycle de vie de la donnée depuis sa collecte jusqu’à sa suppression ou son anonymisation. Conformément au RGPD et pour répondre à son obligation de rendre compte (accountability), l’organisation doit maitriser les accès aux données, leur protection, leur destination et démontrer l’efficacité des mesures en place.
L’un des objectifs du Règlement européen de protection des données est de permettre à la personne de garder la maitrise des données la concernant.
Pour ces raisons, le RGPD implique la mise en place d’une démarche data centric.
L’objectif de la mise en place d’une gouvernance des données est de créer le contexte propice à un alignement de la gestion des données avec les objectifs business, les obligations de conformité et la gestion des risques liés aux données grâce à une information fiable (quality to market), en temps réel ou quasi réel.
En pratique, cependant, peu d’entreprises peuvent justifier de leur conformité sur un plan opérationnel. Cela s’explique par la présence de systèmes d’information hétérogènes (parfois même en fin de vie) et par le fonctionnement en entreprise étendue. L’organisation en silos avec des centaines d’applications ayant leurs propres bases et structures de données d’une part et la présence de cascades de sous-traitants d’autre part, ne facilitent pas la mise en oeuvre des processus de protection des données. Nous sommes entrés dans l’ère de la « confiance zéro ».
POUR UNE APPROCHE DATA CENTRIC DURABLE ET RESPONSABLE
A l’instar du GDPR qui oblige le responsable du traitement à protéger les données quel que soit le lieu de leur traitement en tenant compte des risques liés aux types de données et de traitements, une démarche data centric de la sécurité signifie que les données doivent être identifiées, classées et protégées là où elles se trouvent.
Cela repose sur l’utilisation d’outils et la mise en place de processus pour garantir la protection des données à chaque étape de leur cycle de vie :
- Découverte des données et la classification des données ;
- Contrôle d’accès : il doit notamment prévoir des règles de gestion des accès aux données dans le cloud privé, public et hybride afin que l’utilisateur garde le contrôle sur les données ;
- Prévention des fuites de données (le GDPR impose une obligation de notifier les violations de données personnelles) ;
- Chiffrement des données (le GDPR prévoit qu’en cas de violation de données, la mise en place d’une telle mesure permet d’éviter la communication de l’incident aux personnes concernées.
Dans un système data centric, l’élaboration des projets et les prises de décisions sont guidées par les données. Passer d’un système applications centric à un système data centric signifie aussi que le modèle de données ne dépend pas de chaque application. Il s’agit de mutualiser les pools de données dans une logique de services managés pour qu’il n’y ait plus de discordance et qu’elles puissent être traitées sans délai.
Afin de répondre aux nouveaux usages et de prendre en compte les évolutions technologiques (analytics, intelligence artificielle, machine learning, IoT…), il existe des solutions de gestion des données. Les nouvelles générations intègrent la gestion des référentiels, des métadonnées et des accès et permettent de créer une source maitresse à partir de modèles de données issues d’applications et de bases de données.
Le RGPD s’inscrit dans une transformation plus globale du système d’information et du système de gestion des données. Une telle transformation doit avoir des objectif mesurables et progressifs en fonction du contexte et des enjeux de chaque organisation ; les nouvelles architectures devront cohabiter avec l’usage des dispositifs existants. En intégrant l’éthique et la protection des données dès la conception (Ethics and Privacy by Design) du système de gestion des données, il sera d’autant plus facile de créer de la valeur à partir de données de qualité pour des usages respectueux de la réglementation et des bonnes pratiques. Voilà ce que pourrait être un système d’information « Trusted Data Centric ».
[1] L’Autorité de la concurrence, l’Autorité des marchés financiers, l’Autorité de régulation des infrastructures ferroviaires et routières, l’Arcep, la CNIL, la Commission de régulation de l’énergie et le Conseil supérieur de l’Audiovisuel