Garder la main sur ses données : tout sauf une futilité

Les événements de ces derniers mois soulignent la nécessité d’une gestion solide des données tout au long de leurs cycles de vie, surtout si les organisations veulent respecter leurs obligations en matière de confidentialité. Cet enjeu est d’autant plus préoccupant pour les acteurs qui doivent traiter et gérer des données personnelles et/ou sensibles telles que les données de santé. Les ensembles de données (et le respect de l’éthique) deviennent plus complexes et difficiles à gérer, surtout pour ceux qui s’exécutent via des plateformes et des opérations informatiques poussées. Quiconque a déjà travaillé dans le domaine de la conformité ou de la sécurité des données est familier avec ce genre de pratiques.

Avec le quatrième anniversaire du RGPD, les services informatiques devraient désormais être à l’aise pour cartographier les flux de données qui assurent, plus largement, la conformité des données. Pourtant, la complexité organisationnelle, la mauvaise communication et le manque de compréhension donnent souvent lieu à des niveaux de surveillance, de ressources et de contrôles insuffisants pour gérer les risques liés aux données, y compris en ce qui concerne la non-conformité. Aujourd’hui, les comités de direction des entreprises doivent le reconnaître : la conformité des données pèse sur l’activité. Il ne s’agit pas d’un fardeau qu’on peut se permettre d’ignorer.

Une approche datacentric au cœur des stratégies d’entreprise

Les lois sur la protection de la vie privée exigent depuis longtemps que les entreprises définissent et appliquent des contrôles clairs en ce qui concerne la gestion des informations personnelles, en identifiant de façon précoce, les risques de confidentialité pendant la phase de conception – par exemple. Cependant, un manque de discipline autour de la gestion des informations personnelles et des actifs associés peut rendre difficile la promotion d’une culture de conformité des données. Cela est d’autant plus complexe si les intérêts commerciaux sont basés sur l’amoncellement des données plutôt que sur leur valeur à un instant T.

L’ascension rapide du cloud et la disponibilité d’un stockage à des tarifs abordables, combinées à une réticence à supprimer des données, sont autant de raisons pour lesquelles une entreprise peut finir submergée par ses volumes de données. L’absence d’une vision holistique de l’entreprise engendre une mauvaise estimation de la valeur stratégique des données, participe à augmenter les risques liés à la sécurité, à l’e-discovery, à la conservation, aux droits d’accès ainsi que l’effacement de celles-ci. De ces facteurs, seuls ou combinés, peuvent découler plusieurs effets indésirables comme des conversations déplaisantes avec diverses parties prenantes relatives à ces données - qu’il s’agisse des salariés, de clients, d’ONG, des médias, d’investisseurs ou des autorités de régulation.

La meilleure ressource reste la ressource humaine

Il est important de noter que le responsable de la protection de la vie privée n’est ni à l’origine de la création ou de la mise en place de la stratégie de données d’entreprise, ni de la gestion du cycle de vie des données. Le Chief Data Officer et les propriétaires d’ensembles de données doivent adopter une gestion proactive des informations personnelles. Pour que les salariés puissent disposer de connaissances nécessaires permettant d’assurer une gestion des données efficace, il est recommandé de disposer d’un environnement de contrôle des données bien conçu et surveillé, soutenu par l’utilisation d’outils de contrôle et d’une formation poussée à l’utilisation de ces outils.

Avoir une approche proactive de la gestion des données permet de gagner en visibilité sur les données, leur infrastructure, leur stockage et leur sauvegarde mais aide également à mieux maîtriser les risques inhérents aux données. Ne rien faire serait irresponsable et engendrerait un danger bien trop grand. La réduction des besoins d’intervention manuelle (grâce à des outils automatisés qui classent les données) peut réduire la complexité et aider à intégrer des politiques et des normes de données à l’échelle de l’organisation. Par conséquent, il est dans l’intérêt des responsables de la protection de la vie privée de soutenir l’adoption d’outils et la mise en place de bonnes pratiques de gestion des données, en particulier celles qui réduire la proportion d’erreurs humaines ; cette dernière étant la source la plus commune de non-conformité avec les règlementations en vigueur.

Alors que nous traversons (encore) une période d’incertitude et que de nouvelles menaces planent sur les entreprises, ces dernières doivent être en mesure de prendre des décisions plus éclairées à mesure que l’environnement et l’économie fluctuent. De plus, leurs salariés doivent également pouvoir gérer les données en toute confiance et dans le respect des règles. Les entreprises qui s’interrogent encore sur la nature, l’accès ou encore le lieu de stockage des données, risquent de rejoindre la liste des mauvais élèves et se voir infliger une amende pour non-conformité.

Il n’est plus question de faire mine de ne pas être au courant d’une règlementation majeure – qui ne date pas d’hier - ou de minimiser l’impact d’une fuite de données sur l’activité d’une entreprise. Plus que jamais, il est temps de (ré)affirmer sa stratégie de gestion de données : il s’agit d’un essentiel pour protéger n’importe quelle structure quel que soit son degré de digitalisation. N’allez pas croire que seules les grandes entreprises peuvent être la cible des cybercriminels : toute donnée a de la valeur.