Articles

Le CCPA s’applique-t-il à votre entreprise ?

« Le California Consumer Privacy Act (CCPA) est un projet de loi qui renforce la garantie du droit au respect de la vie privée et la protection des consommateurs pour les résidents de la Californie aux États-Unis. Le projet de loi a été adopté par la législature de l’État de Californie et promulgué par Jerry Brown, gouverneur de Californie, le 28 juin 2018, en tant qu’amendement à la Partie 4 de la Division 3 du Code civil de Californie… Les amendements au CCPA, sous la forme du projet de loi 1121 du Sénat, ont été adoptés le 23 septembre 2018. Le CCPA entrera en vigueur le 1er janvier 2020. » (source)

Le CCPA s’applique à votre entreprise s’il s’agit d’une société à but lucratif qui traite les données personnelles de résidents de la Californie et remplit l’un des critères suivants :

●       Afficher un chiffre d’affaires annuel supérieur à 24 millions de dollars ;

●       Détenir les données personnelles de plus de 50 000 personnes, foyers ou appareils ;

●       Réaliser au moins la moitié du chiffre d’affaires en commercialisant des données personnelles.

Les droits accordés aux consommateurs par le CCPA sont similaires mais non identiques à ceux du RGPD. Ainsi, même si vous êtes en conformité avec le RGPD, vous ne l’êtes pas automatiquement avec le CCPA. Il est essentiel de comprendre les différences entre les deux et en quoi cela affecte votre activité.

L’un des principaux droits des consommateurs prévus par la loi de protection des données CCPA est le droit de connaître les informations dont vous disposez, leurs sources et la finalité pour laquelle elles sont utilisées. C’est sur ce sujet que Ken Lownie, vice-président Amérique du Nord, a mis l’accent dans ce webinaire.

La voie de la conformité

Le premier point que Ken a soulevé est qu’il ne s’agit pas de se concentrer uniquement sur le CCPA. Le CCPA et le RGPD ne sont que le début d’une longue série de réglementations de protection des données. Il est important de ne pas s’intéresser exclusivement au CCPA, mais à la protection de la vie privée en général. En intégrant la mise en conformité de la protection des données à votre stratégie globale, vous n’aurez aucun mal à respecter toutes les futures lois en la matière.

Mais comment intégrer la conformité à votre stratégie globale ? Vous devez mettre en place les capacités fondamentales nécessaires pour assurer votre conformité. Vous serez ainsi prêt à 90 % pour toutes les réglementations de protection des données à venir. De quelles capacités s’agit-il ?

●       Localiser les informations personnelles dans votre entreprise ;

●       Savoir à qui ces informations appartiennent ;

●       Identifier et supprimer ces informations.

Jeter les bases de la protection de la vie privée

La protection de la vie privée repose sur l’identification et le suivi des informations en votre possession. Un suivi régulier des nouvelles informations vous offre une visibilité complète sur les données que vous collectez et leurs sources.

Building Foundation for CCPA Compliance
Jeter les bases de la protection de la vie privée

Ken a présenté une approche technologique en deux étapes qui peut vous aider à jeter ces bases.

Identifier les informations personnelles

Selon Bernard Marr, contributeur de Forbes, 90 % des données du monde ont été créées au cours des deux dernières années.

La gestion traditionnelle des données suit la même approche que la gestion des documents papier : tout collecter. Mais il n’est plus possible de procéder ainsi. Les informations à organiser et à gérer sont trop nombreuses et éparpillées dans les différents référentiels de l’entreprise, tels que SharePoint, DropBox, Google Drive, OneDrive, les dossiers partagés, etc.

La bonne nouvelle est que les technologies comme l’apprentissage automatique, le traitement du langage naturel et l’intelligence artificielle peuvent être d’une grande aide. Les solutions d’analyse de fichiers utilisent ces technologies et d’autres encore pour se connecter à vos systèmes sources et créer un index (un catalogue) de toutes les informations. Cet index contient non seulement les propriétés et les métadonnées des fichiers, mais aussi le texte intégral de chaque document. Grâce à une fonctionnalité de recherche, vous pouvez parcourir les référentiels pour mieux connaître les données dont vous disposez ou trouver les informations dont vous avez besoin.

Gérer les politiques d’information

Une fois ce catalogue créé, vous pouvez gérer vos données à l’aide de politiques d’information. Parmi ces dernières figurent notamment les règles de conservation, d’élimination et de sécurité. Selon un sondage réalisé durant le webinaire, 33 % des participants ne gèrent pas de règles de conservation ni de politiques d’information, 33 % utilisent une feuille de calcul et 33 % possèdent un outil dédié.

Les feuilles de calcul peuvent être utiles pour commencer, mais ne constituent pas la meilleure stratégie à long terme. En effet, elles ne permettent pas de garantir une version unique de la situation (car il existe souvent plusieurs versions de la même feuille de calcul), ni de conserver les modifications précédemment apportées aux politiques. Les feuilles de calcul ne favorisent pas non plus la collaboration, alors que la plupart des tâches en matière de gestion des politiques sont réalisées par un groupe de personnes et non par un seul individu.

Vous avez besoin d’un outil spécifique pour vous aider à gérer non seulement des règles de conservation, mais aussi des cycles de vie de données, des références juridiques, des règles de sécurité, le service et la personne responsables, l’emplacement des informations, etc.

Building data catalog
Un catalogue de données pour la gestion des politiques d’information.

Pour montrer le fonctionnement de l’analyse de fichiers et des catalogues de données, Ken Crum, architecte de solutions chez Everteam, a réalisé une démonstration de deux produits d’Everteam : everteam.discover pour l’analyse de fichiers et de contenu, et everteam.policy pour la gestion des politiques d’information et de conservation des données. Vous pouvez visionner le webinaire dans son intégralité ci-dessous, ou demander une démonstration personnalisée de nos produits pour découvrir s’ils peuvent vous aider à répondre à vos exigences de conformité.

Qu’est-ce-que le contenu ROT et que devons-nous en faire ?

Tout le monde a déjà entendu parler du contenu “ROT” (ROT contents), c’est-à-dire le contenu redondant, obsolète ou inutile (en anglais « ROT », Redundant, Obsolete, Trivial) soit du contenu sans réel intérêt stratégique. Vous avez peut-être déjà entendu dire que ce dernier devait être identifié et assaini. Mais qu’est-ce au juste que le contenu ROT et pourquoi faut-il s’en soucier ? Comment le débusquer et qu’en faire ensuite ? 

Le ROT est du contenu superflu associé à l’infrastructure (partages de fichiers, SharePoint, etc.). Il s’agit de contenu inutile et qui peut être supprimé, mais de manière justifiée légalement. Voir aussi la définition de l’AIIM (Association for Information and Image Management) ici (http://community.aiim.org/blogs/kevin-parker/2016/05/05/defining-information-rot).

Qu’est-ce qui est ROT et qu’est-ce qui ne l’est pas ?

La définition de ce qui est et n’est pas du contenu ROT peut varier selon l’entreprise, mais pour faire court, ce contenu peut être défini comme suit :

  • Tout contenu réactif à un litige ou un processus d’e-discovery « Legal eDiscovery » (ESI) n’est pas du contenu ROT (par définition)
  • Parmi ce qu’il reste, le ROT est le contenu inutile pour l’activité de l’entreprise et pour le respect de la conformité, le contenu qui n’a pas été consulté depuis longtemps ou encore qui est un doublon exact ou presque, etc.

Souvent, l’entreprise sous-estime le volume de ROT qu’elle stocke. Certaines entreprises figurant dans le classement Fortune des 500 premières entreprises mondiales rapportent que plus de 30% de leur contenu (en volume) est du contenu ROT.

Qui se soucie réellement du contenu ROT ?

On peut aussi se demander pourquoi se soucier du contenu ROT. Le stockage n’est-il pas bon marché ?

Mais trop de contenu ROT, c’est un peu comme avoir un indice de masse corporelle (IMC) important avec les risques et problèmes que cela entraîne pour la santé :

  • Ce contenu ROT augmente les coûts de stockage… le coût total du stockage peut représenter plusieurs milliers d’euros /To par an dont les coûts de gestion, de sauvegarde, d’infrastructure, de DR, etc.
  • Le contenu ROT stocké sur des systèmes devenus obsolètes peut entraîner des dépenses d’exploitation et de maintenance élevées (ressources, renouvellement de licences, maintenance, etc.), et peut aussi interférer avec les stratégies de mise hors service d’applications planifiées par l’équipe IT
  • Le contenu ROT peut entraîner des risques au niveau juridique ainsi que des coûts d’e-discovery (« Legal e-Discovery ») indésirables et potentiellement élevés
  • Le contenu ROT peut aussi comporter des risques pour la conformité à la réglementation, dont les informations protégées par le règlement général sur la protection des données (RGPD) de l’Union Européenne, règlement que nous évoquons déjà sur notre blog

L’équivalent pour le contenu ROT d’un régime associé à de l’exercice physique est le déploiement d’une stratégie de nettoyage ou d’assainissement du contenu ROT :

  • Définir une stratégie de remédiation du contenu ROT
  • Spécifier des politiques qui définissent les caractéristiques du ROT et les actions à mener pour y remédier après l’avoir découvert
  • Déployer des outils de « File Analysis » ou « File Analytics »  pour trouver le contenu ROT et appliquer ou aider à appliquer les actions spécifiées par les politiques 
  • Mettre le contenu ROT hors ligne
  • Le mettre en quarantaine pendant un certain temps
  • Le supprimer directement
  • Etc.

La nécessité d’un outil de File Analytics adapté pour gérer votre contenu ROT

Le composant technologique File Analysis doit être en mesure de fournir les fonctionnalités suivantes :

  • Connexion à des sources de contenu variées au sein de l’infrastructure [partages de fichiers, SharePoint, systèmes de gestion de contenus d’entreprise (ECM), etc.]
  • Indexation des métadonnées et du contenu
  • Application d’une analyse sur cet index : caractéristiques des métadonnées, entités nommées, classifications, champs sémantiques, etc.
  • Identification du futur contenu ROT d’après les paramètres de configuration des politiques
  • Exécution par les utilisateurs autorisés des actions recommandées par les politiques pour ce contenu
  • Génération d’un journal d’audit à valeur légale concernant ces activités

Le nettoyage du contenu ROT n’est pas une opération ponctuelle. L’analyse des fichiers (File Analysis) doit être configurée pour nettoyer l’infrastructure régulièrement et traiter le delta ROT récurrent.

N’oubliez pas …

Pour conclure, j’aimerais souligner deux points importants :

Lors de la découverte de nombreux doublons d’un même document, l’un d’entre eux peut être d’une importance toute particulière pour l’activité de l’entreprise et valoir son pesant d’or en raison de son emplacement, de la nature de son dépositaire ou encore de son statut d’archive gelée pour des raisons légales, etc. Cette copie précieuse (Copie d’or ou Golden copy en anglais) n’est donc bien entendu pas du contenu ROT, même s’il s’agit d’un doublon. L’outil File Analysis doit participer à l’identification et au traitement de ces copies de grande valeur.

Ce même outil doit également contribuer à l’identification du contenu IPI, PCI et PHI au sein des documents, un élément indispensable pour se conformer aux réglementations sur la confidentialité, par exemple le règlement RGPD qui fera l’objet d’un prochain article sur mon blog.