Articles

RGPD : comment maintenir votre conformité dans le temps ?

Reading Time: 2 minutes

Reading Time: 2 minutes En 2020, le marché de l’archivage est en pleine maturité en proposant des solutions logiciels à la fois simple, moderne et complète. Ce domaine reste dynamique avec de nombreux faits marquants.

Qu’est-ce-que le contenu ROT et que devons-nous en faire ?

Reading Time: 3 minutes

Tout le monde a déjà entendu parler du contenu “ROT” (ROT contents), c’est-à-dire le contenu redondant, obsolète ou inutile (en anglais « ROT », Redundant, Obsolete, Trivial) soit du contenu sans réel intérêt stratégique. Vous avez peut-être déjà entendu dire que ce dernier devait être identifié et assaini. Mais qu’est-ce au juste que le contenu ROT et pourquoi faut-il s’en soucier ? Comment le débusquer et qu’en faire ensuite ? 

Le ROT est du contenu superflu associé à l’infrastructure (partages de fichiers, SharePoint, etc.). Il s’agit de contenu inutile et qui peut être supprimé, mais de manière justifiée légalement. Voir aussi la définition de l’AIIM (Association for Information and Image Management) ici (http://community.aiim.org/blogs/kevin-parker/2016/05/05/defining-information-rot).

Qu’est-ce qui est ROT et qu’est-ce qui ne l’est pas ?

La définition de ce qui est et n’est pas du contenu ROT peut varier selon l’entreprise, mais pour faire court, ce contenu peut être défini comme suit :

  • Tout contenu réactif à un litige ou un processus d’e-discovery « Legal eDiscovery » (ESI) n’est pas du contenu ROT (par définition)
  • Parmi ce qu’il reste, le ROT est le contenu inutile pour l’activité de l’entreprise et pour le respect de la conformité, le contenu qui n’a pas été consulté depuis longtemps ou encore qui est un doublon exact ou presque, etc.

Souvent, l’entreprise sous-estime le volume de ROT qu’elle stocke. Certaines entreprises figurant dans le classement Fortune des 500 premières entreprises mondiales rapportent que plus de 30% de leur contenu (en volume) est du contenu ROT.

Qui se soucie réellement du contenu ROT ?

On peut aussi se demander pourquoi se soucier du contenu ROT. Le stockage n’est-il pas bon marché ?

Mais trop de contenu ROT, c’est un peu comme avoir un indice de masse corporelle (IMC) important avec les risques et problèmes que cela entraîne pour la santé :

  • Ce contenu ROT augmente les coûts de stockage… le coût total du stockage peut représenter plusieurs milliers d’euros /To par an dont les coûts de gestion, de sauvegarde, d’infrastructure, de DR, etc.
  • Le contenu ROT stocké sur des systèmes devenus obsolètes peut entraîner des dépenses d’exploitation et de maintenance élevées (ressources, renouvellement de licences, maintenance, etc.), et peut aussi interférer avec les stratégies de mise hors service d’applications planifiées par l’équipe IT
  • Le contenu ROT peut entraîner des risques au niveau juridique ainsi que des coûts d’e-discovery (« Legal e-Discovery ») indésirables et potentiellement élevés
  • Le contenu ROT peut aussi comporter des risques pour la conformité à la réglementation, dont les informations protégées par le règlement général sur la protection des données (RGPD) de l’Union Européenne, règlement que nous évoquons déjà sur notre blog

L’équivalent pour le contenu ROT d’un régime associé à de l’exercice physique est le déploiement d’une stratégie de nettoyage ou d’assainissement du contenu ROT :

  • Définir une stratégie de remédiation du contenu ROT
  • Spécifier des politiques qui définissent les caractéristiques du ROT et les actions à mener pour y remédier après l’avoir découvert
  • Déployer des outils de « File Analysis » ou « File Analytics »  pour trouver le contenu ROT et appliquer ou aider à appliquer les actions spécifiées par les politiques 
  • Mettre le contenu ROT hors ligne
  • Le mettre en quarantaine pendant un certain temps
  • Le supprimer directement
  • Etc.

La nécessité d’un outil de File Analytics adapté pour gérer votre contenu ROT

Le composant technologique File Analysis doit être en mesure de fournir les fonctionnalités suivantes :

  • Connexion à des sources de contenu variées au sein de l’infrastructure [partages de fichiers, SharePoint, systèmes de gestion de contenus d’entreprise (ECM), etc.]
  • Indexation des métadonnées et du contenu
  • Application d’une analyse sur cet index : caractéristiques des métadonnées, entités nommées, classifications, champs sémantiques, etc.
  • Identification du futur contenu ROT d’après les paramètres de configuration des politiques
  • Exécution par les utilisateurs autorisés des actions recommandées par les politiques pour ce contenu
  • Génération d’un journal d’audit à valeur légale concernant ces activités

Le nettoyage du contenu ROT n’est pas une opération ponctuelle. L’analyse des fichiers (File Analysis) doit être configurée pour nettoyer l’infrastructure régulièrement et traiter le delta ROT récurrent.

N’oubliez pas …

Pour conclure, j’aimerais souligner deux points importants :

Lors de la découverte de nombreux doublons d’un même document, l’un d’entre eux peut être d’une importance toute particulière pour l’activité de l’entreprise et valoir son pesant d’or en raison de son emplacement, de la nature de son dépositaire ou encore de son statut d’archive gelée pour des raisons légales, etc. Cette copie précieuse (Copie d’or ou Golden copy en anglais) n’est donc bien entendu pas du contenu ROT, même s’il s’agit d’un doublon. L’outil File Analysis doit participer à l’identification et au traitement de ces copies de grande valeur.

Ce même outil doit également contribuer à l’identification du contenu IPI, PCI et PHI au sein des documents, un élément indispensable pour se conformer aux réglementations sur la confidentialité, par exemple le règlement RGPD qui fera l’objet d’un prochain article sur mon blog.

Les 4 piliers de la gouvernance de l’information dans l’industrie

Reading Time: 3 minutes

Un programme de gouvernance de l’information dans le secteur industriel, cela se structure, s’optimise, se prépare. Mais quels sont les piliers qui permettent de définir une nouvelle politique de gestion des données ? Quels outils et process doivent être mis en place ? Réponse tout de suite, avec le retour d’expérience de Safran, groupe international de haute technologie, équipementier de premier rang dans les domaines de l’Aéronautique, de l’Espace, de la Défense et de la Sécurité, qui emploie plus de 70 000 personnes !

Premier pilier : la stratégie

Le premier pilier de la gouvernance de l’information est le plus évident : la stratégie. Il s’agit en effet de décider, au-delà de la solution d’archivage retenue, des objectifs à atteindre avec la nouvelle politique des données.

Cet enjeu capital doit être impulsé au plus haut niveau, au sein d’un modèle top-down : ce sont les décideurs (dirigeants, managers…) qui en définissent le cadre, via un audit, une initiative pilote, ou encore des réunions de travail. Ce qui permet d’aboutir à répondre à une question simple mais essentielle : qu’attend-on de la gouvernance de l’information ?

Dans le cas de Safran, par exemple, la direction du groupe souhaitait optimiser la gestion de ses archives, en s’appuyant sur un outil d’archivage fluide et simple, à même de répondre aux réglementations, aux défis et aux attentes normatives liés à son activité. Ainsi qu’à anticiper la demande de mise à disposition de documents lors d’éventuels audits !

Deuxième pilier : l’organisation et les processus

Mettre en place une gouvernance de l’information efficace doit se faire de manière concertée, impliquant de fait tous les acteurs de l’entreprise industrielle concernée. Cela passe, tout d’abord, par la construction et la diffusion de règles de classification, de catégorisation et de partage de l’information. Ensuite, la gestion du cycle de vie des informations devra être définie : qu’est-ce qui est concerné par l’obsolescence, à partir de quand ? Quelles actions devront être alors mises en place, et dans quel délai ? Quelles sont les informations les plus importantes, celles à récupérer le plus facilement et le plus rapidement ?

Dans le cas de Safran, un soin particulier a donc été porté à la création des règles permettant, in fine, une réelle valorisation du patrimoine documentaire et une réponse concrète aux obligations légales, réglementaires ou normatives liées à la conservation des documents. L’étape ultime… avant le pilier suivant : le choix des outils !

Troisième pilier : les outils

Bien sûr, les outils constituent un pilier essentiel de la gouvernance de l’information dans le secteur industriel. Ils doivent répondre à plusieurs impératifs. Tout d’abord, une simplicité d’utilisation qui n’empêchera personne, quel que soit son niveau d’acculturation au numérique, de s’en servir au quotidien. Ensuite, une compatibilité totale avec les formats de fichiers et les solutions utilisés précédemment, pour ne perdre aucune information lors du déploiement. Enfin, une personnalisation possible aux enjeux de l’industrie, afin qu’aucune fonctionnalité ne soit manquante.

Ainsi, pour Safran, il s’est agi d’adopter un outil fonctionnant avec les règles de la société, compatible avec les fichiers Excel utilisés précédemment, suffisamment souple pour différencier plusieurs niveaux de règles, et intégrant un suivi simplifié des évolutions et de l’accès aux règles d’ergonomie et de maîtrise des droits. De quoi justifier, largement, l’adoption d’un nouvel outil !

Quatrième pilier : la valeur ajoutée

Ce pilier-là va justifier l’ensemble de la démarche de gouvernance de l’information, et permettra de répondre à la question suivante : “Que peut-on faire maintenant, que l’on ne pouvait pas forcément faire avant ?” L’idée étant, bien sûr, d’atteindre les objectifs fixés dans le premier pilier, mais aussi et surtout de les dépasser !

Illustration chez Safran ? Plus de 200 000 descriptifs de documents sont actuellement gérés avec fluidité et simplicité dans l’application. L’entreprise industrielle peut ainsi :

  • Accéder aux documents réclamés en cas d’audit ou de contentieux ;
  • Valoriser son patrimoine documentaire ;
  • Assurer une conservation optimale des documents.

Vous souhaitez vous faire accompagner dans cette démarche ? Personnaliser ces piliers à vos enjeux industriels propres ? Contactez les experts d’Everteam ou rencontrons-nous lors de notre prochaine matinale dédiée à la gouvernance de l’information

 

 

 

 

 

 

Le machine learning et NLP, les alliés d’une mise en conformité au RGPD facilitée

Reading Time: 3 minutes

Le nouveau Règlement Général sur la Protection des Données (RGPD) va considérablement modifier l’organisation des entreprises et leurs rapports aux données générées notamment par les interactions avec les consommateurs. Applicable dès le mois de mai 2018, le RGPD s’appuie en effet sur la nomination d’un “référent”, sur la tenue d’un référentiel de traitement, et sur un accès direct et aisé aux données sur chaque consommateur. Autant de dimensions qui peuvent être facilitées par les technologies de machine learning. Explications.

Un nouveau rôle dans l’entreprise : le DPO

La gouvernance de l’information est déjà un sujet majeur pour les entreprises. Chaque donnée peut en effet constituer la “clé” de la différenciation, que ce soit face à la concurrence, pour aider à la prise de décision, ou encore pour une meilleure maîtrise des risques. Or, avec le RGPD, entré en vigueur à l’été 2016 et applicable en mai 2018, un nouvel enjeu va accompagner cette dimension incontournable de la stratégie de l’entreprise : être en mesure de redonner le contrôle de leurs données à ceux qu’elles concernent directement.

C’est pour cela que le RGPD exige des entreprises la nomination d’un Délégué à la Protection de la Donnée (ou DPO, pour Data Privacy Officer, en anglais) dans les entreprises et les institutions européennes. C’est lui qui aura pour mission d’orchestrer la nouvelle politique relative aux données dans l’entité avec laquelle il collabore. Il devra notamment tenir un registre de toutes les opérations de traitement, comportant notamment :

  • La finalité du traitement des données (par exemple, “Données traitées pour communiquer mensuellement sur nos actualités d’entreprise”) ;
  • La description des personnes et des données personnelles utilisées (par exemple, “Clients ayant commandé au moins une fois un de nos produits”, et “nom, prénom et email”) ;
  • Les différentes catégories de destinataires des données (par exemple, “envoi par logiciel emailing”, “envoi par courrier” ou encore “appels téléphoniques”) ;
  • Les garanties de sécurité intégrées au traitement des données (certifications obtenues, résultats d’audits ou encore attestations des éditeurs de logiciels)…

De nouveaux droits à faire respecter

Si le DPO doit optimiser la gouvernance de l’information, c’est parce que la maîtrise de ce véritable patrimoine doit permettre de garantir le respect de certains droits des consommateurs via le RGPD. Ainsi, il doit être en mesure d’assurer l’effacement des données dès lors qu’une personne concernée en fait la demande. C’est ce que l’on appelle communément le “droit à l’oubli”, institutionnalisé, donc, dans le RGPD. Les consommateurs doivent aussi pouvoir consulter les informations qu’une entreprise possède sur eux pour, au besoin, les modifier (une adresse incorrecte, un nom mal orthographié, une composition du foyer inexacte ou obsolète…). En limiter les usages également, et les anonymiser. Le tout dans un laps de temps assez court, les entreprises devant satisfaire les demandes “dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance”, selon les textes officiels !

Toutes ces dimensions posent aussi la question de la portabilité des données. Le DPO doit en effet être en mesure de rendre les informations consultables dans un format couramment utilisé, et lisible par n’importe quel particulier. Sans imposer, donc, le recours à un logiciel peu courant et/ou payant !

Les apports du machine learning pour le RGPD

Autant dire que la tâche peut sembler bien fastidieuse avec des solutions “classiques” et non optimisées. C’est pour cela que le recours à des solutions de gouvernance de l’information intégrant une forte dimension “machine learning” constitue un impératif.

Ce que le machine learning va permettre de faire ? Identifier la donnée, de plus en plus rapidement au fur et à mesure de l’utilisation de la solution, et automatiser les process. Répondre avec plus d’efficacité aux demandes des consommateurs. Leur permettre d’exercer leurs différents droits (limitation, rectification, anonymisation, suppression) prévus dans le RGPD. Enrichir le registre de traitement, que la CNIL doit pouvoir consulter. Assurer, enfin, la portabilité des données, que ce soit en direction des personnes concernées par les données ou d’une autorité de contrôle !

Le machine learning est donc l’allié des futurs DPO (aujourd’hui, simples “correspondants informatique et libertés”) dans la mise en place d’une gouvernance de l’information en accord avec les principes de la nouvelle Réglementation Générale sur la Protection des données. Vous souhaitez en savoir plus sur cette technologie ? Comprendre en quoi une solution d’archivage numérique s’appuyant sur le machine learning peut vous aider à rendre l’utilisation des données plus transparente ? Contactez les experts Everteam !

 

 

[AVIS D’EXPERT] 7 raisons d’adopter la gouvernance de l’information

Reading Time: 3 minutes

De la gestion réactive à la gestion proactive de l’information

L’information est partout et croit toujours plus vite.

Chaque département de votre organisation crée de l’information, la collecte, la stocke et a parfois besoin d’y avoir accès, souvent sous des délais courts. L’utilisation efficace de vos informations constitue un facteur clé de différenciation (face à la concurrence, pour la prise de décision, pour maîtriser les risques, …)

Mais il y a un problème.

Si votre stratégie de gestion de l’information n’est pas suffisamment définie et implémentée, ou pire, inexistante, votre organisation est dans l’incapacité de tirer pleinement partie de vos informations et est en danger. En pareille situation, il est urgent de vous réapproprier votre patrimoine informationnel.

Vous avez besoin d’être convaincu que la gouvernance de l’information est cruciale ? Voici 7 bonnes raisons pour lesquelles l’adopter.

1| Trop d’information tue l’information …

Chaque service de l’entreprise crée des données ou des documents qui leurs sont propres. Ressources humaines, Comptabilité, Administration, IT, R&D, tous sont soumis à des réglementations, qui parfois leurs sont propres, et ont des besoins différents tant pour accéder à l’information que pour la stocker.

Avec l’explosion des volumes de données et de documents, adopter une approche stratégique claire devient alors une nécessité.

Il est donc important de définir une politique de gouvernance de l’information adaptée orientée “flux” et appréhendant ces flux à venir en fonction de leur nature (données, documents), support (électronique, papier), valeur (engageante, confidentielle, patrimoniale, …).

2 | Toutes les informations ne sont pas utiles

Toutes vos informations ne sont pas bonnes à garder. Certaines sont indispensables et d’autres non, certaines doivent être supprimées (exemple : droit à l’oubli, …).

Il est donc important de faire le tri et de qualifier les éléments que l’on doit conserver :

  • Que dois-je conserver pour être en conformité ?
  • Que peut-on ou doit-on supprimer ?

3 | Prendre en compte l’information où qu’elle soit

Compte tenu des différents réseaux, des différentes applications, et des différents formats, un pilotage centralisé est nécessaire et nécessite de s’appuyer sur une large variété de connecteurs prêt à l’emploi.

Il est important de tenir compte  :

  • Des informations stockées dans différentes solutions de l’entreprise,
  • Des informations sensibles stockées dans les anciens systèmes,
  • De la multiplicité des types de données et/ou documents.

4 | Trouver la bonne information, à temps, est la clé

L’information à retrouver peut provenir de plusieurs applications distinctes, être noyée dans un flux important d’informations ou encore être mal décrite ou qualifiée. Dans un tel contexte, comment retrouver facilement l’information dont nous avons besoin ? La plupart du temps, les personnes n’y arrivent pas, ou du moins pas dans l’immédiat,  excepté si nous réussissons à :

  • disposer d’un point d’accès centralisé pour rechercher une information,
  • qualifier l’information au plus tôt, pour en maîtriser le cycle de vie et en faciliter l’accès en recherche,
  • ne conserver que l’information utile et ne permettre l’accès qu’à l’information autorisée, afin de réduire le temps de recherche et tirer aisément parti de l’information.

5 | Sécuriser l’information en fonction de sa valeur

Les données et documents que vous gérez ont une valeur qui évolue dans le temps. Il est nécessaire d’appréhender cette notion afin de prendre en compte les contraintes d’accès, d’intégrité, de disponibilité de l’information dans le temps. Ce aspect est gérable par des technologies dédiées (cryptographique, sécurité,…) pilotées par une politique de gouvernance claire.

Il est ainsi impératif :

  • de rendre l’information accessible aux bonnes personnes et au bon moment,
  • de contrôler l’accès et l’utilisation des informations,
  • de protéger les données et documents des intentions malveillantes.

6 | Ne pas enfreindre la loi

Les actions en justice sont coûteuses et préjudiciables et leurs impacts sont rarement anticipés. Il est pourtant possible et parfois aisé d’aligner l’application en place avec les obligations réglementaires et normatives imposées à votre entreprise.

Une meilleure gouvernance de vos informations permettra notamment de :

  • Répondre rapidement aux demandes en cas d’audit,
  • Appliquer facilement  les règles en cas de mis en suspens à des fins juridiques,
  • Prouver la fiabilité et l’intégrité des données et documents.

7 | Accroître l’agilité

L’information est à la fois un facteur de risques et un avantage compétitif.  Les choses changent rapidement et constamment et ce qui est valable aujourd’hui ne le sera probablement pas demain.

Vous devez être en mesure de vous appuyer sur vos informations pour prendre les bonnes décisions lors d’un litige ou face à une opportunité. Dans un tel contexte, l’information doit être actualisée, pondérée en fonction de sa valeur et de son usage. Les pratiques de gouvernance de l’information s’inscrivent exactement dans cette orientation et permettront de réagir rapidement aux évolutions du marché et de vous différencier grâce à vos données et documents.

La gouvernance de l’information : de la gestion réactive à la gestion proactive de l’information

Apprenez à appréhender la valeur de votre information, afin naturellement de s’appuyer sur celle-ci pour :

  • Prendre des décisions et anticiper en disposant, à temps, des informations capitales,
  • Disposer de la méthodologie et des outils lors d’audit ou de mise en suspens à des fins juridiques
  • Respecter les obligations réglementaires nationales, européennes et internationales

Soyez proactif. Gérez activement l’information à l’aide de politiques prédéfinies et de procédures permet :

  • D’améliorer la productivité des employés
  • De réduire les coûts
  • De limiter les risques
  • D’être plus agile

Il est maintenant temps de prendre une position active sur toutes vos informations, et de mettre en place une stratégie de gouvernance.

Normalisation, pour quoi faire ?

Reading Time: < 1 minute

Normalisation, pour quoi faire ?

On critique beaucoup les normes : c’est lourd, c’est complexe, c’est contraignant, c’est cher … Et pourtant elles garantissent la sécurité des utilisateurs et des entreprises en structurant. Alors pour quoi normaliser ? La réponse en vidéo. 

Intervenants :
– Jean-François LEGENDRE / Responsable développement AFNOR Normalisation
– Charles HUOT / Président comité éditorial Alliance Big Data
– Christian DUBOURG / Directeur Everteam
Animation du débat : Frédéric NICOLAS / MLG events
Organisation : APROGED