Articles

La protection de la vie privée se traduit par une augmentation de la confiance, de la valeur de la marque et de la valorisation.

Il y a peu, Ken Lownie, chef de la clientèle US d’Everteam, a présenté un webinar sur la façon dont les investissements dans la protection de la vie privée se traduisent par une confiance accrue des clients et une meilleure fidélité à la marque. Voici les principaux points abordés dans le webinaire.

  1.     La protection de la  vie privée est utile :  Les organisations qui abordent la gestion de la protection de la vie privée au moyen d’investissements stratégiques surmonteront la panique de la conformité réglementaire et économiseront du temps, de l’énergie, des ressources et de l’argent.
  2.     Les attentes des consommateurs ont changé : Des pratiques commerciales négligentes et des approches frivoles en matière de protection de la vie privée des consommateurs ont créé un climat de méfiance, faisant de la confiance l’atout le plus précieux d’une organisation.
  3.     La protection de la vie privée est payante : Les consommateurs choisissent des produits et des services qui ont fait leurs preuves en matière de protection de la vie privée plutôt que des options moins transparentes. Par conséquent, la performance financière et la protection de la vie privée sont fortement corrélées, comme le montrent les études réalisées par EY.
  4.     La protection de la vie privée vaut la peine d’être commercialisée : La transparence, c’est dire aux gens ce que vous faites. Les organisations qui mettent en œuvre de solides pratiques de protection de la vie privée devraient l’incorporer dans leur stratégie marketing afin d’améliorer la fidélisation à leur marque et d’en tirer des avantages en matière de valorisation.
  5.     Les employés s’attendent à du leadership : Les employés estiment que l’une des principales clé du leadership en matière de gestion de la marque est de s’attaquer aux questions de protection de la vie privée ; cependant, de nombreux dirigeants ne savent pas comment mettre en œuvre cette stratégie de protection.
  6.     C’est un marathon, pas un sprint : Bien qu’il existe des approches “pansement” pour les entreprises à la recherche des meilleures pratiques en matière de protection des données et de conformité réglementaire, investir dans une stratégie globale de gouvernance de l’information qui intègre à la fois la technologie et les processus opérationnels améliorés est une solution plus durable, à long terme.

Au fur et à mesure que les organisations communiquent leurs décisions en matière de gouvernance de l’information, les éditeurs de solutions de longue date peuvent les aider à régler efficacement leurs problèmes de protection de la vie privée. Avec trois décennies d’histoire et de leadership dans le secteur de la gouvernance de l’information, Everteam a aidé certaines des plus grandes organisations mondiales à prendre le contrôle de leurs informations, en favorisant des relations clients fondées sur une base solide de confidentialité et de confiance. Pour en savoir plus sur les avantages incontestables de la protection de la vie privée, contactez-nous.

La gouvernance de l’information n’est plus un luxe, mais une nécessité

On entend souvent dire que les informations valent plus que le pétrole. Bien que cette comparaison puisse sembler un peu exagérée, il est évident que les informations sont une denrée qui peut avoir un impact considérable sur les organisations – pour le meilleur et pour le pire. Du scandale de Facebook et Cambridge Analytica aux violations de données d’Equifax et de Capital One, les dirigeants de sociétés et les consommateurs ont pris conscience du pouvoir qu’exercent les informations sur les entreprises et leur image. C’est la raison pour laquelle les organisations doivent se pencher sur la gouvernance de l’information et la manière dont elle peut les affecter.

La gouvernance de l’information ne se limite pas à la gestion des données : il s’agit d’une stratégie de protection, d’exploitation et de maintenance des actifs informationnels. La gouvernance de l’information est une discipline dans laquelle les employés, les consommateurs et les organisations visent les mêmes objectifs : protection de la vie privée, transparence et intégrité. Les dirigeants visionnaires d’aujourd’hui comprennent à quel point il est important d’atteindre ces objectifs pour accomplir leur mission globale et réaliser le chiffre d’affaires escompté.

Mais comment procéder concrètement ? Pour inclure la protection de la vie privée, la transparence et l’intégrité dans la mission d’une entreprise, il faut s’intéresser aux technologies et aux processus susceptibles de les compromettre.

Les dark data, une menace pour la vie privée

Les « dark data » font partie des menaces les plus préoccupantes pour la vie privée et la confiance des consommateurs. Ce sont des contenus si éparpillés, volumineux et divers qu’ils sont mal connus. Les dark data sont les sous-produits de la croissance exponentielle des données de ces dernières années et de la diversité des sources d’informations (applications d’entreprise traditionnelles, e-mails, réseaux sociaux, outils collaboratifs, appareils mobiles, etc.). Selon les estimations actuelles, plus de la moitié des informations présentes dans une organisation traditionnelle sont des dark data.

De nombreuses organisations disposent déjà d’équipes de cybersécurité et d’une infrastructure informatique pour détecter les activités externes suspectes. Mais même dans les organisations les plus vigilantes, les politiques et les procédures de gouvernance de l’information peuvent être insuffisantes pour compenser les mauvaises pratiques de leurs employés en matière de gestion de l’information. Ainsi, les organisations qui souhaitent saisir les opportunités et limiter les risques des dark data ont besoin de processus et d’outils puissants de gouvernance de l’information pour comprendre et gérer correctement ces données, qui sont souvent cachées sous nos yeux.

Transparence : les non-conformités révélées au grand jour

De plus en plus préoccupés par la protection de leur vie privée, les consommateurs commencent à exiger que les organisations leur montrent toutes les informations dont elles disposent sur eux, en vertu de réglementations telles que le RGPD, le CCPA et le NYDFS. De nombreux consommateurs souhaitent connaître, modifier voire effacer les informations les concernant, afin de se sentir tranquilles et de s’assurer que ces données ne sont pas perdues dans le cyberespace, exposées aux criminels.

Par le passé, les consommateurs pensaient que les politiques et les procédures des entreprises avec lesquelles ils réalisent des transactions garantiraient automatiquement la bonne gestion de leurs informations. Les consommateurs et les organisations ont eu beaucoup à apprendre pour connaître les implications de la protection des données et identifier des politiques et des outils robustes permettant de la mettre en œuvre. Maintenant que cette phase d’apprentissage est terminée, les organisations doivent prendre des mesures pour répondre aux exigences réglementaires ou assumer les conséquences. Des entreprises essuient des pertes considérables en termes d’amendes (Marriott et British Airways ont récemment été condamnées à des amendes s’élevant à près de 350 millions de dollars), de réputation ternie et de manque à gagner.

Des outils pour assurer l’intégrité

De nombreuses organisations ont commencé à prendre des mesures pour se mettre en conformité, mais leur plan d’action présente des lacunes non identifiées. Elles réécrivent leurs politiques de confidentialité sans se soucier de leur application concrète, modifient les procédures internes sans consulter ou former leurs employés, enregistrent toutes les informations possibles “par mesure de précaution”, définissent des politiques de conservation sans moyen de les mettre en œuvre – vous voyez le tableau.

Il existe des outils faciles à utiliser et à mettre en œuvre pour aider les organisations à combler ces lacunes en matière de gestion de l’information. Un plan de gestion de l’information, aussi bien intentionné qu’il soit, ne peut pas réussir sans les meilleurs outils – solutions logicielles, consultants, professionnels et experts de la gouvernance de l’information – disponibles. Lorsque l’entreprise sera amenée à démontrer les efforts déployés en matière de gouvernance de l’information (en cas d’audit, de litige ou de demande d’accès d’une personne concernée, par exemple), une approche dénuée de conviction ne sera pas d’une grande aide.

À l’horizon

La protection de la vie privée, la transparence et l’intégrité grâce à une gouvernance de l’information améliorée ne sont pas une utopie. Ce sont des objectifs accessibles qui peuvent être atteints en associant des technologies, des processus et un changement de culture. Des produits comme everteam.discover, everteam.policy et everteam.archive peuvent jouer un rôle essentiel de catalyseurs technologiques et aider les organisations à se lancer dans ce parcours important. Les produits d’Everteam permettent aux organisations d’analyser les fichiers, de se connecter aux applications hébergeant des données structurées et non structurées, de découvrir et d’assainir les dark data, de mettre en place des politiques de conservation cohérentes et harmonisées, de désactiver les applications obsolètes et de migrer les informations, pour un niveau accru de conformité et de protection de la vie privée. Engagé dans la gouvernance de l’information depuis 30 ans, Everteam a aidé certaines des plus grandes entreprises au monde à adopter une approche robuste et durable pour protéger la vie privée, assurer la conformité, gagner la confiance des clients, les fidéliser et soutenir une croissance continue.

Les clients sont de plus en plus exigeants vis-à-vis des organisations avec lesquelles ils interagissent. Ils veulent faire à nouveau confiance aux banques qui détiennent leurs actifs financiers, aux entreprises de la santé qui les aident à préserver leur bien-être physique et aux géants des réseaux sociaux qui leur permettent de rester en contact avec leurs proches partout dans le monde. La vie privée, la transparence et l’intégrité ont été les victimes de l’ère de l’information, mais elles peuvent être préservées grâce à une approche concertée de gouvernance de l’information – avec des récompenses inestimables pour ceux qui acceptent de relever ce défi. Everteam peut aider votre organisation à réaliser cette vision – contactez-nous pour discuter de l’“art du possible” dès à présent.

Au fur et à mesure que la loi RGPD s’accélère, le mandat de conformité devient réel

Depuis sa mise en œuvre en mai 2018, le RGPD a fait l’objet de nombreuses discussions mais peu d’actions concrètes de la part de nombreuses entreprises des deux côtés de l’Atlantique.  Le RGPD décrit les exigences strictes en matière de protection des données et de la vie privée pour les citoyens de l’UE et de l’EEE. De nombreuses organisations se sont efforcées de comprendre son sens ; beaucoup moins ont mis en œuvre des programmes de conformité pour répondre à ces exigences.  La menace que représentent les amendes imposées par le RGPD ont paru vagues jusqu’alors pour de nombreuses entreprises – appliquées uniquement aux géants de l’IT comme Facebook, Google et Microsoft.  

Cette semaine, le coût de la non-conformité au RGPD est devenu plus concret avec les amendes massives que le Bureau du Commissaire à l’Information (ICO) du Royaume-Uni a infligé à Marriott International et British Airways, basés respectivement aux Etats-Unis, et au Royaume-Uni.  Les amendes de 110 M€ de Marriott découlent de multiples atteintes à la protection des données en 2014 et 2016 qui ont compromis la vie privée de plus de 500 millions de clients. British Airways (BA) a été condamnée à une amende encore plus élevée de 204 M€ à la suite d’une atteinte à la protection des données en 2018 qui a mis à jour des informations relatives aux cartes de crédit de centaines de milliers de clients.

Deux points sont à noter pour les entreprises qui cherchent à éviter un sort similaire : 1.) Les deux sociétés ont toujours été considérées comme de bons garants de la confiance des clients et sont des marques très respectées et 2.) le montant de ces amendes, tout en restant énorme, reste inférieur aux plafonds autorisés (1,5% des revenus de BA et 2,4% des revenus du Marriott contre 4% permis par les directives du RGPD).  En d’autres termes, si des amendes massives comme celles-ci peuvent être infligées à des entreprises bien gérées comme BA et Marriott, elles peuvent l’être à quiconque n’a pas tenu compte des nouvelles réalités de la protection des données.

Les enseignements pour les entreprises qui cherchent à éviter les amendes et à conserver la confiance de leurs clients sont claires. Sachez où résident les données de vos clients, assurez-vous qu’elles soient protégées de façon appropriée et travaillez activement à les gérer afin de minimiser les risques. Comme les applications d’entreprise et les sources de données sont souvent éloignées et diversifiées, il est essentiel de disposer d’outils souples pour découvrir les informations existantes et mieux le gouverner au moyen de politiques cohérentes afin d’évaluer et de corriger toute vulnérabilité.

Everteam travaille avec des organisations, partout dans le monde, et leur permet de rendre visible les données structurées et non structurées, où qu’elles soient. Nos solutions identifient les informations sensibles et fournissent des outils pour mieux les gérer pour améliorer la conformité, pour réduire les coûts de risque et les coûts informatiques et pour améliorer l’efficacité opérationnelle. Pour ceux qui cherchent à éviter les amendes, à améliorer le service et à accroître la confiance des clients, Everteam est là pour les aider.  Nous aidons certaines des plus grandes entreprises mondiales à surmonter les obstacles réglementaires posés par le RGPD, le CCPA (en Californie), le NYDFS (à New York), et nombre d’autres mesures de protection de la confidentialité des données mises en place par les organismes de réglementation du monde entier.

Qu’est-ce-que le contenu ROT et que devons-nous en faire ?

Tout le monde a déjà entendu parler du contenu “ROT” (ROT contents), c’est-à-dire le contenu redondant, obsolète ou inutile (en anglais « ROT », Redundant, Obsolete, Trivial) soit du contenu sans réel intérêt stratégique. Vous avez peut-être déjà entendu dire que ce dernier devait être identifié et assaini. Mais qu’est-ce au juste que le contenu ROT et pourquoi faut-il s’en soucier ? Comment le débusquer et qu’en faire ensuite ? 

Le ROT est du contenu superflu associé à l’infrastructure (partages de fichiers, SharePoint, etc.). Il s’agit de contenu inutile et qui peut être supprimé, mais de manière justifiée légalement. Voir aussi la définition de l’AIIM (Association for Information and Image Management) ici (http://community.aiim.org/blogs/kevin-parker/2016/05/05/defining-information-rot).

Qu’est-ce qui est ROT et qu’est-ce qui ne l’est pas ?

La définition de ce qui est et n’est pas du contenu ROT peut varier selon l’entreprise, mais pour faire court, ce contenu peut être défini comme suit :

  • Tout contenu réactif à un litige ou un processus d’e-discovery « Legal eDiscovery » (ESI) n’est pas du contenu ROT (par définition)
  • Parmi ce qu’il reste, le ROT est le contenu inutile pour l’activité de l’entreprise et pour le respect de la conformité, le contenu qui n’a pas été consulté depuis longtemps ou encore qui est un doublon exact ou presque, etc.

Souvent, l’entreprise sous-estime le volume de ROT qu’elle stocke. Certaines entreprises figurant dans le classement Fortune des 500 premières entreprises mondiales rapportent que plus de 30% de leur contenu (en volume) est du contenu ROT.

Qui se soucie réellement du contenu ROT ?

On peut aussi se demander pourquoi se soucier du contenu ROT. Le stockage n’est-il pas bon marché ?

Mais trop de contenu ROT, c’est un peu comme avoir un indice de masse corporelle (IMC) important avec les risques et problèmes que cela entraîne pour la santé :

  • Ce contenu ROT augmente les coûts de stockage… le coût total du stockage peut représenter plusieurs milliers d’euros /To par an dont les coûts de gestion, de sauvegarde, d’infrastructure, de DR, etc.
  • Le contenu ROT stocké sur des systèmes devenus obsolètes peut entraîner des dépenses d’exploitation et de maintenance élevées (ressources, renouvellement de licences, maintenance, etc.), et peut aussi interférer avec les stratégies de mise hors service d’applications planifiées par l’équipe IT
  • Le contenu ROT peut entraîner des risques au niveau juridique ainsi que des coûts d’e-discovery (« Legal e-Discovery ») indésirables et potentiellement élevés
  • Le contenu ROT peut aussi comporter des risques pour la conformité à la réglementation, dont les informations protégées par le règlement général sur la protection des données (RGPD) de l’Union Européenne, règlement que nous évoquons déjà sur notre blog

L’équivalent pour le contenu ROT d’un régime associé à de l’exercice physique est le déploiement d’une stratégie de nettoyage ou d’assainissement du contenu ROT :

  • Définir une stratégie de remédiation du contenu ROT
  • Spécifier des politiques qui définissent les caractéristiques du ROT et les actions à mener pour y remédier après l’avoir découvert
  • Déployer des outils de « File Analysis » ou « File Analytics »  pour trouver le contenu ROT et appliquer ou aider à appliquer les actions spécifiées par les politiques 
  • Mettre le contenu ROT hors ligne
  • Le mettre en quarantaine pendant un certain temps
  • Le supprimer directement
  • Etc.

La nécessité d’un outil de File Analytics adapté pour gérer votre contenu ROT

Le composant technologique File Analysis doit être en mesure de fournir les fonctionnalités suivantes :

  • Connexion à des sources de contenu variées au sein de l’infrastructure [partages de fichiers, SharePoint, systèmes de gestion de contenus d’entreprise (ECM), etc.]
  • Indexation des métadonnées et du contenu
  • Application d’une analyse sur cet index : caractéristiques des métadonnées, entités nommées, classifications, champs sémantiques, etc.
  • Identification du futur contenu ROT d’après les paramètres de configuration des politiques
  • Exécution par les utilisateurs autorisés des actions recommandées par les politiques pour ce contenu
  • Génération d’un journal d’audit à valeur légale concernant ces activités

Le nettoyage du contenu ROT n’est pas une opération ponctuelle. L’analyse des fichiers (File Analysis) doit être configurée pour nettoyer l’infrastructure régulièrement et traiter le delta ROT récurrent.

N’oubliez pas …

Pour conclure, j’aimerais souligner deux points importants :

Lors de la découverte de nombreux doublons d’un même document, l’un d’entre eux peut être d’une importance toute particulière pour l’activité de l’entreprise et valoir son pesant d’or en raison de son emplacement, de la nature de son dépositaire ou encore de son statut d’archive gelée pour des raisons légales, etc. Cette copie précieuse (Copie d’or ou Golden copy en anglais) n’est donc bien entendu pas du contenu ROT, même s’il s’agit d’un doublon. L’outil File Analysis doit participer à l’identification et au traitement de ces copies de grande valeur.

Ce même outil doit également contribuer à l’identification du contenu IPI, PCI et PHI au sein des documents, un élément indispensable pour se conformer aux réglementations sur la confidentialité, par exemple le règlement RGPD qui fera l’objet d’un prochain article sur mon blog.

Le machine learning et NLP, les alliés d’une mise en conformité au RGPD facilitée

Le nouveau Règlement Général sur la Protection des Données (RGPD) va considérablement modifier l’organisation des entreprises et leurs rapports aux données générées notamment par les interactions avec les consommateurs. Applicable dès le mois de mai 2018, le RGPD s’appuie en effet sur la nomination d’un “référent”, sur la tenue d’un référentiel de traitement, et sur un accès direct et aisé aux données sur chaque consommateur. Autant de dimensions qui peuvent être facilitées par les technologies de machine learning. Explications.

Un nouveau rôle dans l’entreprise : le DPO

La gouvernance de l’information est déjà un sujet majeur pour les entreprises. Chaque donnée peut en effet constituer la “clé” de la différenciation, que ce soit face à la concurrence, pour aider à la prise de décision, ou encore pour une meilleure maîtrise des risques. Or, avec le RGPD, entré en vigueur à l’été 2016 et applicable en mai 2018, un nouvel enjeu va accompagner cette dimension incontournable de la stratégie de l’entreprise : être en mesure de redonner le contrôle de leurs données à ceux qu’elles concernent directement.

C’est pour cela que le RGPD exige des entreprises la nomination d’un Délégué à la Protection de la Donnée (ou DPO, pour Data Privacy Officer, en anglais) dans les entreprises et les institutions européennes. C’est lui qui aura pour mission d’orchestrer la nouvelle politique relative aux données dans l’entité avec laquelle il collabore. Il devra notamment tenir un registre de toutes les opérations de traitement, comportant notamment :

  • La finalité du traitement des données (par exemple, “Données traitées pour communiquer mensuellement sur nos actualités d’entreprise”) ;
  • La description des personnes et des données personnelles utilisées (par exemple, “Clients ayant commandé au moins une fois un de nos produits”, et “nom, prénom et email”) ;
  • Les différentes catégories de destinataires des données (par exemple, “envoi par logiciel emailing”, “envoi par courrier” ou encore “appels téléphoniques”) ;
  • Les garanties de sécurité intégrées au traitement des données (certifications obtenues, résultats d’audits ou encore attestations des éditeurs de logiciels)…

De nouveaux droits à faire respecter

Si le DPO doit optimiser la gouvernance de l’information, c’est parce que la maîtrise de ce véritable patrimoine doit permettre de garantir le respect de certains droits des consommateurs via le RGPD. Ainsi, il doit être en mesure d’assurer l’effacement des données dès lors qu’une personne concernée en fait la demande. C’est ce que l’on appelle communément le “droit à l’oubli”, institutionnalisé, donc, dans le RGPD. Les consommateurs doivent aussi pouvoir consulter les informations qu’une entreprise possède sur eux pour, au besoin, les modifier (une adresse incorrecte, un nom mal orthographié, une composition du foyer inexacte ou obsolète…). En limiter les usages également, et les anonymiser. Le tout dans un laps de temps assez court, les entreprises devant satisfaire les demandes “dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance”, selon les textes officiels !

Toutes ces dimensions posent aussi la question de la portabilité des données. Le DPO doit en effet être en mesure de rendre les informations consultables dans un format couramment utilisé, et lisible par n’importe quel particulier. Sans imposer, donc, le recours à un logiciel peu courant et/ou payant !

Les apports du machine learning pour le RGPD

Autant dire que la tâche peut sembler bien fastidieuse avec des solutions “classiques” et non optimisées. C’est pour cela que le recours à des solutions de gouvernance de l’information intégrant une forte dimension “machine learning” constitue un impératif.

Ce que le machine learning va permettre de faire ? Identifier la donnée, de plus en plus rapidement au fur et à mesure de l’utilisation de la solution, et automatiser les process. Répondre avec plus d’efficacité aux demandes des consommateurs. Leur permettre d’exercer leurs différents droits (limitation, rectification, anonymisation, suppression) prévus dans le RGPD. Enrichir le registre de traitement, que la CNIL doit pouvoir consulter. Assurer, enfin, la portabilité des données, que ce soit en direction des personnes concernées par les données ou d’une autorité de contrôle !

Le machine learning est donc l’allié des futurs DPO (aujourd’hui, simples “correspondants informatique et libertés”) dans la mise en place d’une gouvernance de l’information en accord avec les principes de la nouvelle Réglementation Générale sur la Protection des données. Vous souhaitez en savoir plus sur cette technologie ? Comprendre en quoi une solution d’archivage numérique s’appuyant sur le machine learning peut vous aider à rendre l’utilisation des données plus transparente ? Contactez les experts Everteam !