Articles

RGPD | CIL et DPO, ce n’est pas (vraiment) la même chose !

Le Correspondant Informatique et Libertés, référent sur les questions de protection des données personnelles au sein de l’organisme qui l’a désigné, semble être l’équivalent du DPO. Or, le second serait plutôt le successeur naturel du premier. Explications.

CIL, qui es-tu ?

Chargé des questions liées à la protection des données, le CIL (Correspondant informatique et libertés) a plusieurs missions :

  • Garantir la conformité de son entreprise à la loi Informatique et Libertés ;
  • Veiller à la sécurité des données utilisées par son employeur ;
  • Centraliser les traitements des données…

De telles responsabilités rappellent forcément celles qui incomberont, à partir de du 25 mai 2018, au DPO. Les deux fonctions ne sont cependant pas exactement les mêmes.

Plus d’exigences…

Le Règlement général sur la protection des données précise en effet que de nouvelles exigences s’imposent au DPO s’agissant de ses qualifications et de ses connaissances. Il doit notamment — nous y reviendrons — posséder certains savoirs en matière de droit et de pratiques. Et il doit veiller à entretenir ces connaissances spécifiques, via un programme de formation continue. Autant d’impératifs qui ne concernaient pas vraiment le CIL, dont le rôle se limitait finalement à rassurer les clients de l’entreprise, les fournisseurs, les partenaires potentiels, le personnel… et les autorités de contrôle, la CNIL en premier lieu !

… et plus de responsabilités

On estime qu’il existe, aujourd’hui, environ 4 000 Correspondants informatique et libertés en activité. Ils vivent sans doute leurs dernières heures avec l’entrée en fonction des DPO. « Les CIL et les DPO ne cohabiteront pas, confirmait ainsi, début 2016 lors de la 10ème université de l’Association Française des Correspondants à la protection des Données à caractère Personnel (AFCDP), Edouard Geffray, secrétaire général de la CNIL. Il y aura une conversion de l’un vers l’autre mais les modalités restent à fixer. Et le titre actuel de CIL ne donnera pas lieu automatiquement au titre de DPO. »

Car le DPO doit faire face à plus de responsabilités que le CIL. Sa désignation étant obligatoire dans de nombreux cas, c’est à lui de répondre en cas de contrôle opéré par la CNIL — ou par tout autre organisme de contrôle européen, la CNIL pouvant être « remplacée » par un autre si l’entreprise concernée opère principalement à l’extérieur de nos frontières. De lourdes amendes pouvant être prononcées en cas de défauts constatés, l’impact du DPO sur le destin de l’entreprise est donc incontestable !

Tous les CIL ne deviendront pas, en mai 2018, des DPO. Ces derniers doivent en effet posséder un solide bagage technique et légal pour mener à bien leurs missions. Ils n’ont pas, de plus, un simple rôle consultatif comme le CIL. Mais quel est leur profil ? Réponse dans un prochain article !

RGPD : Le DPO est-il obligatoire ?

Le RGPD (Règlement général sur la protection des données) entrera en vigueur le 25 mai prochain. Il prévoit la création d’une nouvelle mission, d’un nouveau poste même, au sein des entreprises concernées : le DPO, pour Data Protection Officer. Tout à la fois juriste, pédagogue, porte-parole et informaticien, il est le garant de l’application du RGPD. Mais est-il pour autant obligatoire dans votre structure ? Décryptage.

Les profils « DPO mandatory »

Le texte du RGPD est très clair : la nomination d’un DPO est obligatoire dans certains cas. Ce sont notamment :

– Les autorités ou les organismes publics (les administrations, les ministères…) ;

– Les organismes (les entreprises, pour être plus clair) dont les activités imposent de réaliser un suivi « régulier et systématique », à grande échelle, des personnes ;

– Les organismes dont les activités de base leur imposent de traiter « à grande échelle » des données considérées comme sensibles (les données génétiques, biométriques, afférentes à la santé, à la religion, aux opinions politiques ou à l’appartenance syndicale…) ou des données en lien avec des condamnations pénales et/ou des infractions.

Pour y voir plus clair

Vous l’aurez sans doute constaté : les cas pour lesquels le DPO est strictement obligatoire peuvent paraître assez vagues. Qu’est-ce qu’un « suivi régulier » ? Et un suivi « systématique » ? À partir de quand peut-on considérer que l’on traite des données « à grande échelle » ?

Heureusement, le G29, qui regroupe les différentes CNIL européennes, a publié en décembre dernier des lignes directrices sur l’interprétation de ces dispositions. Ainsi, un « suivi régulier » serait un suivi « continu ou ponctuel », « récurrent ou itératif », « en cours ou se produisant pendant des périodes données ». Serait considéré comme « systématique » tout suivi « prévu, organisé ou méthodique ». Enfin, un suivi à « grande échelle » se déterminerait selon le nombre de personnes concernées évidemment, mis en rapport avec le volume des données collectées, la durée de traitement et le périmètre géographique en question. Quelques exemples d’entreprises concernées par ces derniers critères ont même été fournis par les membres du G29 : les chaînes de restaurant exploitant les données de géolocalisation de leurs clients, les données traitées à des fins de publicité comportementale par un moteur de recherche, celles utilisées par les FAI (fournisseurs d’accès à internet)…

DPO facultatif, mais RGPD obligatoire !

Reste une précision : si les textes du RGPD indiquent que, dans certains cas, la nomination d’un DPO n’est pas obligatoire, cela ne signifie pas que l’application du RGPD devient facultative ! En effet, ses principes s’imposent à tous les acteurs économiques et institutionnels. Ainsi, tous doivent permettre aux personnes concernées par le traitement des données :

  • D’avoir accès aux données les concernant ;
  • De les modifier ;
  • De les supprimer (c’est ce que l’on appelle « droit à l’oubli ») ;
  • D’en limiter l’accès ;
  • De les transférer à un autre acteur économique ou institutionnel…

Le tout dans un délai raisonnable, de l’ordre de moins d’un mois. Autant dire que la CNIL s’attache à rappeler que si le DPO n’est pas stricto senso obligatoire, il n’en est pas moins conseillé. Qu’il soit interne ou externe à la structure.

Un DPO interne ou externe ?

Le Délégué à la protection des données (DPD, le nom francisé du DPO) peut en effet être interne, comme externe à l’entreprise ou l’institution dont il assure la conformité au RGPD. Il peut également être mutualisé au sein d’un groupe d’entreprises, tant que plusieurs conditions sont respectées :

  • Chacune doit pouvoir lui offrir les conditions propices à l’exercice de ses nouvelles responsabilités ;
  • Il ne doit pas exister de conflit d’intérêts ;
  • Il doit être joignable facilement à partir de chaque lieu d’établissement, les contrôles pouvant se faire en ligne ou sur place.

Le DPO est au cœur de l’application du RGPD. Vous devez en recruter un, ou envisagez de le devenir vous-même ? Consultez notre Livre blanc consacré au sujet !

 

Qu’est-ce-que le contenu ROT et que devons-nous en faire ?

Tout le monde a déjà entendu parler du contenu « ROT » (ROT contents), c’est-à-dire le contenu redondant, obsolète ou inutile (en anglais « ROT », Redundant, Obsolete, Trivial) soit du contenu sans réel intérêt stratégique. Vous avez peut-être déjà entendu dire que ce dernier devait être identifié et assaini. Mais qu’est-ce au juste que le contenu ROT et pourquoi faut-il s’en soucier ? Comment le débusquer et qu’en faire ensuite ? 

Le ROT est du contenu superflu associé à l’infrastructure (partages de fichiers, SharePoint, etc.). Il s’agit de contenu inutile et qui peut être supprimé, mais de manière justifiée légalement. Voir aussi la définition de l’AIIM (Association for Information and Image Management) ici (http://community.aiim.org/blogs/kevin-parker/2016/05/05/defining-information-rot).

Qu’est-ce qui est ROT et qu’est-ce qui ne l’est pas ?

La définition de ce qui est et n’est pas du contenu ROT peut varier selon l’entreprise, mais pour faire court, ce contenu peut être défini comme suit :

  • Tout contenu réactif à un litige ou un processus d’e-discovery « Legal eDiscovery » (ESI) n’est pas du contenu ROT (par définition)
  • Parmi ce qu’il reste, le ROT est le contenu inutile pour l’activité de l’entreprise et pour le respect de la conformité, le contenu qui n’a pas été consulté depuis longtemps ou encore qui est un doublon exact ou presque, etc.

Souvent, l’entreprise sous-estime le volume de ROT qu’elle stocke. Certaines entreprises figurant dans le classement Fortune des 500 premières entreprises mondiales rapportent que plus de 30% de leur contenu (en volume) est du contenu ROT.

Qui se soucie réellement du contenu ROT ?

On peut aussi se demander pourquoi se soucier du contenu ROT. Le stockage n’est-il pas bon marché ?

Mais trop de contenu ROT, c’est un peu comme avoir un indice de masse corporelle (IMC) important avec les risques et problèmes que cela entraîne pour la santé :

  • Ce contenu ROT augmente les coûts de stockage… le coût total du stockage peut représenter plusieurs milliers d’euros /To par an dont les coûts de gestion, de sauvegarde, d’infrastructure, de DR, etc.
  • Le contenu ROT stocké sur des systèmes devenus obsolètes peut entraîner des dépenses d’exploitation et de maintenance élevées (ressources, renouvellement de licences, maintenance, etc.), et peut aussi interférer avec les stratégies de mise hors service d’applications planifiées par l’équipe IT
  • Le contenu ROT peut entraîner des risques au niveau juridique ainsi que des coûts d’e-discovery (« Legal e-Discovery ») indésirables et potentiellement élevés
  • Le contenu ROT peut aussi comporter des risques pour la conformité à la réglementation, dont les informations protégées par le règlement général sur la protection des données (RGPD) de l’Union Européenne, règlement que nous évoquons déjà sur notre blog

L’équivalent pour le contenu ROT d’un régime associé à de l’exercice physique est le déploiement d’une stratégie de nettoyage ou d’assainissement du contenu ROT :

  • Définir une stratégie de remédiation du contenu ROT
  • Spécifier des politiques qui définissent les caractéristiques du ROT et les actions à mener pour y remédier après l’avoir découvert
  • Déployer des outils de « File Analysis » ou « File Analytics »  pour trouver le contenu ROT et appliquer ou aider à appliquer les actions spécifiées par les politiques 
  • Mettre le contenu ROT hors ligne
  • Le mettre en quarantaine pendant un certain temps
  • Le supprimer directement
  • Etc.

La nécessité d’un outil de File Analytics adapté pour gérer votre contenu ROT

Le composant technologique File Analysis doit être en mesure de fournir les fonctionnalités suivantes :

  • Connexion à des sources de contenu variées au sein de l’infrastructure [partages de fichiers, SharePoint, systèmes de gestion de contenus d’entreprise (ECM), etc.]
  • Indexation des métadonnées et du contenu
  • Application d’une analyse sur cet index : caractéristiques des métadonnées, entités nommées, classifications, champs sémantiques, etc.
  • Identification du futur contenu ROT d’après les paramètres de configuration des politiques
  • Exécution par les utilisateurs autorisés des actions recommandées par les politiques pour ce contenu
  • Génération d’un journal d’audit à valeur légale concernant ces activités

Le nettoyage du contenu ROT n’est pas une opération ponctuelle. L’analyse des fichiers (File Analysis) doit être configurée pour nettoyer l’infrastructure régulièrement et traiter le delta ROT récurrent.

N’oubliez pas …

Pour conclure, j’aimerais souligner deux points importants :

Lors de la découverte de nombreux doublons d’un même document, l’un d’entre eux peut être d’une importance toute particulière pour l’activité de l’entreprise et valoir son pesant d’or en raison de son emplacement, de la nature de son dépositaire ou encore de son statut d’archive gelée pour des raisons légales, etc. Cette copie précieuse (Copie d’or ou Golden copy en anglais) n’est donc bien entendu pas du contenu ROT, même s’il s’agit d’un doublon. L’outil File Analysis doit participer à l’identification et au traitement de ces copies de grande valeur.

Ce même outil doit également contribuer à l’identification du contenu IPI, PCI et PHI au sein des documents, un élément indispensable pour se conformer aux réglementations sur la confidentialité, par exemple le règlement RGPD qui fera l’objet d’un prochain article sur mon blog.

RGPD et l’assurance : qu’est-ce qui va changer ?

Le Règlement Général sur la Protection des Données (RGPD) entrera en vigueur le 25 mai prochain. D’ici là, les entreprises du secteur de l’assurance doivent, comme les autres, se mettre en conformité avec ses nouvelles exigences, lesquelles doivent assurer aux citoyens européens un meilleur respect de la confidentialité des informations cédées ou collectées. Mais qu’est-ce qui va changer ? Que conseille la CNIL, organisme de référence en France s’agissant de l’application du RGPD, aux assurances ? Décryptage.

Un « pack de conformité » appelé à évoluer

D’ici le 25 mai 2018, date de l’entrée en vigueur du RGPD, la CNIL a prévu de mettre à jour (et d’en proposer de nouveaux) ses packs de conformité. Premier concerné, le secteur de l’assurance. Il faut dire que ses entreprises collectent, chaque année, une masse considérable de données, qui permettent de créer des offres personnalisées, d’ajuster les tarifs, ou encore de suivre au mieux les évolutions du marché et des besoins !

Le pack de conformité dédié aux assurances proposé par la CNIL doit donc s’enrichir prochainement d’un versant RGPD, en plus du rappel des normes auxquelles ces entreprises sont soumises. Reste qu’il est possible, en étudiant les textes du nouveau Règlement Général sur la Protection des Données, d’en esquisser les contours — voire beaucoup plus.

Rappel : les droits de vos clients

Commençons par un petit rappel : quels sont les droits accordés à vos clients par le RGPD ? Les plus importants sont incontestablement les suivants. Ce sont ceux qui vont nécessiter une toute nouvelle approche de la gouvernance de l’information dans le secteur de l’assurance :

  • Le droit d’accès aux données ;
  • Le droit d’être informé sur le traitement des données utilisées ;
  • Le droit de rectification ;
  • Le droit d’opposition ;
  • Le droit de portabilité des données, dans certains cas (nous en reparlerons !) ;
  • Le droit à l’oubli.

Tous, comme le droit d’accès aux données par exemple, ne sont pas foncièrement nouveaux, puisque déjà inscrits dans la loi informatique et libertés de1978. Ceux qui existaient déjà sont néanmoins renforcés, réaffirmés et harmonisés au niveau européen. Ainsi, dans le secteur de l’assurance, il est indispensable de maîtriser (et d’être en mesure de communiquer) les informations suivantes : les données personnelles enregistrées, leur provenance, les noms et rôles des personnes autorisées à les utiliser, l’objectif et l’utilisation des données ainsi que leur lieu de conservation, et les personnes qui ont accès à ces données. L’article 18 du RGPD permet en effet à tout titulaire, passé ou actuel, d’un contrat d’assurance de recevoir une copie de ses données personnelles, le tout dans un format courant et lisible aisément. Mieux, ils peuvent même demander que celles-ci soient envoyées à un concurrent !

Assurance : comment être en conformité avec le RGPD ?

En tant qu’entreprise du secteur de l’assurance, vous ne pouvez pas prendre le risque de ne pas être en conformité avec les exigences du RGPD. S’y plier, c’est éviter un risque commercial (une sanction pourrait avoir de fâcheuses conséquences en termes d’images et de réputation) ainsi qu’un écueil financier non-négligeable — les amendes peuvent aller jusqu’à 20 000 000 €, ou 4 % du chiffre d’affaires mondial annuel (des deux, le montant le plus élevé sera retenu !).

Dès lors, la première étape pour respecter le RGPD est de nommer un DPO, pour Data Protection Officer (Délégué à la Protection des Données). Il aura pour mission de veiller au respect de la loi et à la mise en place de process à même de renforcer la transparence de votre entreprise. Il devra notamment s’assurer que vous serez, dès le mois de mai prochain, en mesure :

  • De regrouper tous les échanges avec les clients, quel que soient les points de contact utilisé par ces derniers (mail, téléphone, courrier, passage en agence…) au sein d’un même document ;
  • De démontrer que vos clients ont bien consenti à l’utilisation de leurs données personnelles ;
  • D’expliciter, en cas de contrôle institutionnel comme à la demande des clients, l’utilisation faite des données à caractère personnel ;
  • De mettre en place une véritable gouvernance de l’information, reposant sur la traçabilité documentaire, la sécurité du stockage et la réactivité.

Ce que recommande la CNIL

Le chantier de la mise en conformité au RGPD doit être mis en place progressivement. Ainsi, la CNIL recommande pour l’assurance comme pour les autres entreprises de mener 4 opérations principales. Tout d’abord, un volet organisationnel, avec désignation du DPO et de son positionnement hiérarchique, et mise en place de comités de pilotage. Ensuite, un chantier « risques et contrôles internes », permettant de faire le point sur les pratiques en cours et les éléments à corriger. Il devra être suivi du déploiement d’outils de gouvernance de l’information (accès, traçabilité, sécurité, communication…). Enfin, une étape de sensibilisation, en interne comme en externe, sur la nouvelle gouvernance de l’information, devra compléter la mise en œuvre du RGPD dans le secteur de l’assurance. La clé d’une mise en conformité plus sereine !

La mise en conformité aux exigences du RGPD n’est pas une option pour les entreprises du secteur de l’assurance.

Vous avez une question ? Vous pouvez directement m’envoyer un mail à jb.picard@everteam.com ou remplir notre formulaire de contact. Je tâcherais d’y répondre dans les plus brefs délais. Vous pouvez également vous inscrire à notre Matinale dédiée à la Gouvernance de l’Information qui aura lieu le 16 novembre à Paris et qui abordera notamment le thème du RGPD.

Nettoyage des systèmes de partage de fichiers | Définir le processus d’exécution de nettoyage (Phase 2)

Dans de précédents articles, j’ai décrit une procédure que les entreprises peuvent suivre pour leurs projets d’assainissement ou de nettoyage de leurs systèmes de partage de fichiers (ou EFSS). Dans le présent article, je vais approfondir la phase 2 de ce processus, à savoir la définition du processus d’exécution de ce nettoyage.

File Remediation Process

Une fois les politiques de nettoyage définies (règles définissant les différentes classes d’actifs informationnels et les actions associées à chacune d’entre elles), l’étape suivante consiste à définir en détails le processus de nettoyage au niveau de son exécution :

Activité

Description

Remarques

Interroger et inventorier  les partages de fichiers Identifier et générer un inventaire des partages de fichiers au sein de l’entreprise Les fondements de la carte
Estimer les volumes de données Évaluer le volume de contenu stocké dans les différents partages de fichiers Estimation approximative ?
Identifier la nature métier du contenu Identifier la nature métier du contenu dans chaque partage de fichiers
Définir l’état final de chaque partage de fichiers Déterminer l’état final souhaité de chaque partage de fichiers (ou groupe de partages) :

  • Passer en mode hors ligne
  • Mettre hors service
  • Continuer d’utiliser pour le contenu propriétaire
  • Limiter l’utilisation au seul nouveau contenu
Tenir compte de la stratégie globale de l’entreprise en matière de transformation numérique et d’informatique
Définir un processus de nettoyage en mode batch Définir un processus d’exécution du nettoyage en mode batch :

  • Définir des batches distincts
  • Définir des groupes de batches
  • Définir une procédure de traitement des exceptions
Dimensionner la solution File Analytics pour le travail de nettoyage requis Dimensionner la solution File Analytics selon le travail de nettoyage des partages de fichiers

Évaluer les besoins d’infrastructure pour la solution et dimensionner cette infrastructure :

  • Serveurs
  • Base de données
  • Journal d’audit
  • Tableau de bord
Hiérarchiser le traitement des batches Hiérarchiser le traitement des batches et groupes de batches :

  • Considérations budgétaires
  • Considérations en matière de risques (matrice des risques)
  • Considérations légales
  • Considérations de valeur
  • Considérations chronologiques et de délais
  • Considérations liées à des événements contraignants
Exemple : partages de fichiers abandonnés pour des projets terminés ou partages de fichiers d’employés ayant quitté l’entreprise.
Définir le traitement des exceptions Définir ce qui constitue une exception aux règles de traitement ainsi que le mode de traitement de ces exceptions :

  • Appliquer une politique/règle fiable
  • Déplacer vers une autre piste pour traitement manuel
Exemple : élément de métadonnées manquant mais indispensable pour classifier une archive
Définir la supervision et le reporting Définir l’infrastructure de supervision et de reporting :

  • Identifier le destinataire du rapport Tableau de bord ?
  • Quelles informations inclure dans le rapport ?
  • À qui envoyer des notifications et quels sont les seuils ?
Définir un modèle RACI Définir un modèle RACI pour les tâches de nettoyage à exécuter. RACI = Responsable, ComptAble, Consulté, Informé
Obtenir les approbations internes Obtenir les approbations internes nécessaires pour les politiques et le lancement des tâches de nettoyage :

  • BOD (selon les cas)
  • Juridique
  • Métier
  • IT
  • Risques

Comme indiqué dans l’article précédent, gérer des informations ESI (Electronically Stored Information du Legal eDiscovery) ne fait pas forcément partie du processus d’assainissement ou de nettoyage des systèmes de partage de fichiers. CEPENDANT, il s’agit d’une étape qui DOIT précéder toute tâche effective d’exécution du nettoyage.

Dans mon prochain article, j’explorerai la définition du contenu ROT et les problèmes associés.

Suivez tous nos articles autour du thème File Analytics, incluant notamment N’attendez plus, votre Capital Informationnel doit être maîtrisé ! , 4 étapes pour le nettoyage de vos systèmes de partage de fichiers ,

 

Nettoyage des systèmes de partage de fichiers | Définir les politiques et règles de nettoyage (Phase 1)

Dans mon article précédent, je proposais une méthodologie que les entreprises peuvent suivre pour leurs projets de nettoyage / assainissement de leurs systèmes de partages de fichiers (EFSS – Entreprise file sync-and-share). Cette méthodologie n’a rien de révolutionnaire et je proposais simplement une procédure logique faisant appel au bon sens. Et pourtant, trop nombreux sont les clients qui ne savent pas comment faire, par où s’y prendre et quels outils utiliser.

Dans le présent article, j’approfondis donc la phase 1 de ce processus, à savoir la définition des politiques et des règles de nettoyage.

Pour commencer, l’entreprise toute entière doit avoir conscience que son capital informationnel est réparti dans au moins quatre classes générales, à savoir les archives métier, le contenu métier, le contenu ROT et les informations ESI (voir les définitions ci-dessous).

Ensuite, il est important de définir les politiques et règles pour les caractéristiques des actifs informationnels relevant de chacune de ces classes ainsi que les actions à réaliser sur ces mêmes actifs :

Classe d’actifs
informationnels
Définition Actions
Archives métier Ce sont les « Business Records ». À quel moment un actif informationnel devient-il une archive métier ?

  • D’après son emplacement
  • D’après un processus métier
  • D’après un numéro de version
  • D’après une identification manuelle par un utilisateur
  • Identifier les exigences en matière de pré-approbation
  • La déclarer en tant qu’archive dans un système de Records Management (RM) et la classer selon le référentiel de gestion des archives de l’entreprise
  • La faire migrer vers un référentiel système de RM pour y gérer le cycle de vie (avec immutabilité)
  • Idem, mais copier vers un système de RM pour y gérer le cycle de vie des copies
  • La maintenir à sa place et gérer son cycle de vie au sein du système de RM (pas d’immutabilité)
Contenu métier Généralement défini par ce qui reste APRÈS identification des archives métier, du contenu redondant, obsolète et trivial (ROT) et des informations stockées sur des supports électroniques (ESI)

Certaines entreprises définissent parfois des sous-classes de contenu métier

  • Identifier les exigences en matière de pré-approbation
  • Laisser en place
  • Le faire migrer vers un nouveau référentiel : SharePoint, système EFSS dans le Cloud, etc.
  • Surveiller son statut  car pourra se transformer en archive métier ou en contenu ROT
Contenu ROT Redondant : informations dupliquées stockées dans plusieurs endroits

Obsolète : informations « qui ne sont plus largement utilisées » ou bien « supprimées », « remplacées » ou « désuètes »

Trivial : informations n’offrant que très peu de valeur, le contenu ne correspondant pas à la définition d’une archive, d’une connaissance de l’entreprise, d’une information métier utile  ou de tout autre catégorie ayant de la valeur

D’après les définitions de l’AIIM (Association for Information and Image Management).

  • Identifier les exigences en matière de pré-approbation
  • Le supprimer
  • Le déplacer dans l’espace de quarantaine pour suppression ultérieure
ESI (Electronically Stored Information) Capital informationnel appartenant à l’une des classes ci-dessus mais réactif à un litige actif ou à venir (processus d’e-découverte ou « Legal eDiscovery » typique)
  • Identifier les exigences en matière de pré-approbation
  • Identifier, Collecter, Préserver (EDRM.net)
  • Mettre en attente

 

Remarque importante : gérer des informations ESI ne fait pas forcément partie du processus de nettoyage des partages de fichiers. CEPENDANT, gérer les informations ESI est une étape qui DOIT précéder toute tâche effective d’exécution du nettoyage.

Dans mon prochain article, j’explorerai la phase 2 de la méthodologie de nettoyage des systèmes de partage de fichiers, à savoir la définition du processus d’exécution du nettoyage. Pour conclure, j’aimerais rappeler que l’outil de nettoyage des partages de fichiers et d’analyse des fichiers (File Analytics) utilisé s’inscrira très certainement dans les efforts que fera l’entreprise pour se conformer au nouveau règlement européen sur la protection des données ou RGPD, qui entrera en vigueur en mai 2018.

Suivez tous nos articles autour du thème File Analytics, incluant notamment N’attendez plus, votre Capital Informationnel doit être maîtrisé ! et 4 étapes pour le nettoyage de vos systèmes de partage de fichiers.

 

Le RGPD & Vous : Prêts pour le nouveau règlement européen sur la protection des données ?

Le nouveau règlement de l’UE sur la protection des données (RGPD) pointe le bout de son nez

Le volume de données personnelles stocké par les entreprises et les autorités a littéralement explosé et la valeur de ces mêmes données a augmenté car les activités personnelles faisant l’objet de transactions sur Internet sont toujours plus nombreuses. Le vol d’identité s’est également développé. En plus du chaos pour les entreprises et de l’impact sur la fidélité des clients qu’entraînent les violations de données, de nombreuses juridictions cherchent à aligner leur législation en matière de protection des données sur le nouveau monde basé sur Internet, les deux n’étant malheureusement pas en phase.

Cependant, une transformation de fond est en train de s’opérer. En effet, à l’ère de l’économie numérique, l’information est devenue la monnaie d’échange. Et l’information ne connaît pas de frontières. L’harmonisation des réglementations qui favorise le libre flux de l’information tout en renforçant les droits à la confidentialité et à la sécurité est un impératif pour les décideurs politiques. Prenons l’exemple des blocs commerciaux que sont l’Union européenne d’une part et les États-Unis de l’autre. La valeur totale de l’activité des biens et services entre les deux plus importants blocs est estimée à 5,5 trillions (5000 milliards) de dollars et elle fait vivre 15 millions de personnes. Selon les estimations, les flux transfrontaliers entre l’UE et les USA sont 50% supérieurs à ceux de tout autre bloc commercial. En outre, 65% des investissements des États-Unis dans les technologies de l’information sont réalisés dans l’Union européenne.

Ces tendances troublantes incitent les régulateurs à renforcer la législation sur la sécurité et la confidentialité des données afin d’imposer des obligations plus strictes aux entreprises et aux contrôleurs de données. Le nouveau Règlement Général sur la Protection des Données (RGPD) de l’UE est la preuve la plus flagrante de ce qui sera bientôt un raz de marée règlementaire sur la sécurité et la confidentialité des informations sous la houlette des autorités nationales et du marché.

Historiquement, l’Union européenne a toujours placé la barre haute pour ce qui est de la protection de la vie privée, cette dernière étant considérée comme un droit humain fondamental. L’Article 7 de la Charte des droits fondamentaux de l’Union européenne stipule que « Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de ses communications. »

En réponse aux progrès des technologies numériques telles que le Big Data, le Cloud computing et l’analyse prédictive, ainsi qu’aux révélations de collecte et de profilage des données brutes opérés par les services de renseignements, le Règlement Général pour la Protection des données (RGPD) est une refonte complète de la législation sur la vie privée qui renforce et étend sensiblement le droit à la vie privée.

Il intègre des exigences plus strictes en matière de consentement, l’anonymisation des données, le droit à l’oubli ainsi que la notification des failles, sachant que si ces dernières ne sont pas signalées, elles peuvent entraîner des amendes pouvant atteindre 20 millions d’euros ou 4% du chiffre d’affaires mondial de l’exercice précédent, le montant le plus élevé étant retenu, et qui seront perçues par l’organisme local de contrôle de la protection des données personnelles (la CNIL en France). Concernant les autres failles, les autorités peuvent infliger aux entreprises des amendes d’un montant maximum de 10 millions d’euros ou 2% de leur chiffre d’affaires annuel, le montant le plus élevé étant retenu. Pour une entreprise figurant dans le classement Fortune 500, cela peut représenter des amendes entre 800 et 900 millions de dollars.

Dans notre nouvel e-book intitulé – Information Privacy and Security: GDPR is Just the Tip of the Iceberg (« Confidentialité et sécurité de l’information : le RGPD n’est que la partie émergée de l’iceberg »), nous nous penchons sur cinq questions clés qui devraient faire partie des priorités de chaque cadre dirigeant de l’entreprise, à savoir :

  1. Comment a évolué l’environnement de la confidentialité et de la sécurité de l’information ?
  2. Qu’est-ce que le RGPD, pourquoi faut-il s’en préoccuper et quelles incidences sur votre entreprise ?
  3. Que veut dire « Privacy by Design » ?
  4. Comment l’Internet des Objets (IoT) rend l’équation de la confidentialité encore plus compliquée ?
  5. Comment votre entreprise doit-elle réagir face à tout cela et quel est le rôle du Machine Learning pour résoudre le problème ?

Vous pouvez télécharger l’ebook en cliquant ici et vous inscrire à notre newsletter pour recevoir plus d’informations et de conseils sur le RGPD et la gouvernance de l’information, directement dans votre boîte mail.

4 étapes pour le nettoyage des systèmes de partage de fichiers

Le caractère pratique et peu coûteux des systèmes de partage et de synchronisation de fichiers (EFSS – Entreprise file sync-and-share) a entraîné une utilisation croissante et incontrôlable de ces derniers. Le résultat n’est pourtant pas probant, ils sont souvent mal organisés. La plupart des organisations manquent de visibilité et de contrôle sur le capital informationnel présent dans leurs systèmes de partage de fichiers. A ce problème s’ajoute le fait que l’on y retrouve souvent de nombreux doublons, et des espaces contenant des fichiers abandonnés (vieux projets, des fichiers d’employés ne travaillant plus dans l’entreprise, etc.)

La plupart des entreprises reconnaissent que la nature désordonnée de leur systèmes de partage de fichiers entraîne des coûts informatiques élevés, des risques juridiques et de non-conformité accrus, ainsi qu’une perte de valeur et de connaissance sur leur capital informationnel; d’où la nécessité d’avoir une visibilité sur les contenus de ces disques partagés et de les assainir.

Comment les entreprises gèrent leur contenu numérique

Il est vrai que les entreprises ont adopté une vision pragmatique lorsqu’il est question de leur contenu numérique (Capital Informationnel… voir article précédent) :

  • Les documents engageants et axés sur des processus sont gérés dans des solutions de gestion de contenu d’entreprise (ECM)
  • La majeure partie du contenu est dispersé dans les serveur de partage de fichiers (disques partagés) “low cost” sous le contrôle des utilisateurs finaux.
  • Plus récemment, les entreprises ont commencé à utiliser des outils de partage et de synchronisation de fichiers dans le Cloud ou EFSS (Enterprise File Sync-and-Share) tels que Dropbox, OneDrive, Google Drive, etc. 

Avec l’émergence de systèmes EFSS, procéder au travail d’assainissement ou de nettoyage AVANT la migration du contenu vers les systèmes EFSS est devenu une problématique qui concerne de plus en plus d’entreprises.

La plupart des organisations considèrent que le travail impliqué relatif au nettoyage de ces environnements de partage de fichiers leur est unique. Il est vrai que chaque organisation est différente. Cependant, le cadre, les méthodologies et les outils à utiliser sont relativement uniformes partout.

Classifier l’information

Avant de définir ce cadre, il est important de noter que le capital informationnel a tendance à se diviser en quatre (ou plus) grandes classes et que les organisations doivent définir les caractéristiques de chacune de ces classes ainsi que les actions devant être menées sur le capital informationnel qui leur appartient :

  • Les archives métier : doivent être soumis à des processus de contrôles formels de RM
  • Le contenu d’entreprise : a une valeur commerciale mais ne correspond pas (encore) à la définition des archives métier (il peut y avoir plusieurs sous-classes en fonction des degrés variables de pertinence commerciale)
  • Les données redondantes, obsolètes et inutiles (en anglais « ROT », Redundant, Obsolete, Trivial) : contenu sans valeur juridique / commerciale pour l’organisation et pouvant donc être supprimé
  • ESI (informations stockées électroniquement par définition FRCP) : contenu qui répond aux litiges actifs et doit être mis en attente et finalement produit

Information Asset Categories

Le processus de nettoyage des systèmes de partage de fichiers

L’intérêt d’utiliser des outils technologiques (File Analytics, eDiscovery, etc.) pour «alimenter» le processus de nettoyage est d’aider à automatiser la découverte, l’inventaire, l’identification de la classe du capital informationnel et le traitement concret des actions définies par l’organisation pour chacune de ces classes.

File Share Remediation Process

Étape 1: Définir les politiques et les règles de nettoyage

  • Définir les classes de capital informationnel et les caractéristiques de chacunes d’entre elles
  • Définir les politiques  et les règles de nettoyage relatives au contenu appartenant à chaque classe (les actions)
  • Définir ce qui constitue une copie “d’or” contre une simple copie en double
  • Définir les exigences de la piste d’audit pour établir un processus défendable sur le plan juridique

Étape 2 : Définir le processus d’exécution du nettoyage

  • Identifier et inventorier les environnements de partage de fichiers au sein de l’organisation
  • Évaluer le volume de contenu dans chaque système
  • Identifier la nature métier du contenu dans chaque système de partage de fichiers
  • Déterminer l’état final de chaque système de partage de fichiers (décommissionner ou continuer l’utilisation)
  • Définir un processus basé sur un lot (définir les lots et les groupes de lots)
  • Hiérarchiser le traitement des lots en fonction du budget, du risque et de la valeur

Étape 3 : Exécuter le processus de nettoyage

  • Traitez les lots provenant des systèmes de partage de fichiers en fonction des priorités établies à l’étape 2
  • Les documents engageants doivent être identifiées selon les politiques, classées et soumises aux systèmes de Records Management
  • Le contenu ROT (moins les golden copies) peut être supprimé ou mis en quarantaine, selon les politiques
  • Les autres documents métiers peuvent rester en place ou être migrés vers des systèmes EFSS basés dans cloud ou SharePoint
  • Une fois qu’un lecteur fichiers partagés a été traité, il est soit décommissionné ou bien pourra continuer à être utilisé (selon la règle)
  • Gérer, surveiller et faire un rapport sur le traitement du lot

Étape 4 : Maintenir

  • Les systèmes de partage de fichiers qui ont été traités et qui sont restés en usage doivent être traités de nouveau sur une base régulière
  • La fréquence du retraitement doit être déterminée par l’organisation, par exemple hebdomadaire, mensuelle ou trimestrielle.

Dans le prochain article, nous parlerons de la façon dont le nettoyage des systèmes de partage de fichiers fait partie intégrante des efforts de l’organisation pour atteindre la conformité RGPD (prévue pour mai 2018). Le même outil d’analyse de fichiers (File Analytics) utilisé pour identifier la classe du capital informationnel peut être configuré (définitions de la reconnaissance de formes) pour (i) identifier les données personnelles situées dans le contenu, (ii) déclencher des demandes de consentement, (iii) générer des notifications et (iv) effectuer d’autres types d’actions prescrites par ce règlement de l’UE.

File sharing : 7 raisons de ne pas se lancer dans la migration de vos fichiers tout seul

Le partage de fichier, ou « File sharing », a le vent en poupe dans les entreprises. Toutes s’y mettent, délaissant au passage les File Systems classiques et internes, attirées par la puissance des technologies Cloud et leurs promesses d’efficacité, de collaborativité et d’accessibilité. Pourtant, il est recommandé de se faire accompagner dans cette démarche. Voici 7 bonnes raisons d’en être convaincu !

1/ Parce que ça prend du temps. Migrer les fichiers d’un outil interne (les très classiques « disques partagés Windows ») vers un outil dans le Cloud, et vouloir le faire de manière structurée, optimisée et intelligente, c’est une démarche qui peut être chronophage. Cela peut parfois représenter plusieurs centaines de jours ! Se faire accompagner, c’est bénéficier d’une automatisation de cette tâche, source évidente de gain de temps pour l’entreprise.

2/ Parce qu’il faut éviter les doublons. Les doublons, ces fichiers présents en plusieurs exemplaires (dont certains sont obsolètes) dans le système de partage de fichiers, peuvent être toxiques pour les entreprises. Ils peuvent en effet être vecteur d’une information erronée et datée. En plus d’occuper de l’espace de stockage inutilement !

3/ Parce que veiller à l’homogénéité des plans de classement permet de garantir la valeur des documents. Lorsque l’on se lance seul, le plan d’archivage peut être chaotique. Les données s’ajoutent aux données. Les organisations hiérarchiques ne sont pas optimisées. Résultat ? Les fichiers à forte valeur ajoutée sont « perdus » dans un stockage certes exhaustif, mais pas du tout optimisé.

4/ Parce que la sécurité des fichiers est un enjeu primordial. Lorsque l’on met en place seul une démarche de partage des fichiers, on a souvent tendance à ne pas assez contrôler les droits et les points d’accès au système. Ils se multiplient au fur et à mesure du déploiement, sans possibilité réelle de revenir en arrière. Ce qui fait prendre de réels risques aux informations stockées, qui pourraient être récupérées par des personnes malintentionnées, à l’extérieur de l’entreprise.

5/ Parce que les coûts pourraient ne pas être maîtrisés. Stocker dans le Cloud, archiver efficacement, ce n’est pas tout stocker ad vitam aeternam. La clé d’une gouvernance de l’information efficace réside dans la qualification des fichiers, afin d’empêcher une trop grande croissance du volume de données, et de supprimer ceux qui n’ont pas vocation à être conservés. Une dimension difficile à mettre en place lorsque l’on est seul, induisant de fait des coûts croissants.

6/ Parce que le respect des normes est un critère essentiel de la valeur des données. Aujourd’hui, le stockage des données est strictement encadré, tout comme son exploitation — il n’y a qu’à voir les exigences du RGPD, qui entrera en vigueur en mai 2018. Or, seul, il est plus compliqué de s’assurer du bon respect des normes par la solution choisie. Ce qui fait courir le risque aux données de se déprécier dans le temps.

7/ Parce que se faire accompagner, c’est avoir la possibilité de passer du File sharing au File Analysis. Des outils existent pour « aller plus loin » que le simple archivage numérique. Il est en effet possible de retrouver les fichiers les plus engageants très rapidement et de donner du sens aux documents via le machine learning, d’épurer automatiquement le stockage des doublons et autres éléments obsolètes… Autant d’avantages et de fonctionnalités dont on ne pourra profiter en se lançant seul dans une migration de fichiers !

L’accompagnement dans une démarche de File Sharing permet donc de maîtriser les coûts, d’anticiper de futurs besoins, et de s’appuyer sur le machine learning pour une efficacité maximisée. Bref, de mettre en place une véritable gouvernance de l’information. Besoin d’en savoir plus ? Les équipes d’Everteam sont à votre disposition !

Le machine learning et NLP, les alliés d’une mise en conformité au RGPD facilitée

Le nouveau Règlement Général sur la Protection des Données (RGPD) va considérablement modifier l’organisation des entreprises et leurs rapports aux données générées notamment par les interactions avec les consommateurs. Applicable dès le mois de mai 2018, le RGPD s’appuie en effet sur la nomination d’un « référent », sur la tenue d’un référentiel de traitement, et sur un accès direct et aisé aux données sur chaque consommateur. Autant de dimensions qui peuvent être facilitées par les technologies de machine learning. Explications.

Un nouveau rôle dans l’entreprise : le DPO

La gouvernance de l’information est déjà un sujet majeur pour les entreprises. Chaque donnée peut en effet constituer la « clé » de la différenciation, que ce soit face à la concurrence, pour aider à la prise de décision, ou encore pour une meilleure maîtrise des risques. Or, avec le RGPD, entré en vigueur à l’été 2016 et applicable en mai 2018, un nouvel enjeu va accompagner cette dimension incontournable de la stratégie de l’entreprise : être en mesure de redonner le contrôle de leurs données à ceux qu’elles concernent directement.

C’est pour cela que le RGPD exige des entreprises la nomination d’un Délégué à la Protection de la Donnée (ou DPO, pour Data Privacy Officer, en anglais) dans les entreprises et les institutions européennes. C’est lui qui aura pour mission d’orchestrer la nouvelle politique relative aux données dans l’entité avec laquelle il collabore. Il devra notamment tenir un registre de toutes les opérations de traitement, comportant notamment :

  • La finalité du traitement des données (par exemple, « Données traitées pour communiquer mensuellement sur nos actualités d’entreprise ») ;
  • La description des personnes et des données personnelles utilisées (par exemple, « Clients ayant commandé au moins une fois un de nos produits », et « nom, prénom et email ») ;
  • Les différentes catégories de destinataires des données (par exemple, « envoi par logiciel emailing », « envoi par courrier » ou encore « appels téléphoniques ») ;
  • Les garanties de sécurité intégrées au traitement des données (certifications obtenues, résultats d’audits ou encore attestations des éditeurs de logiciels)…

De nouveaux droits à faire respecter

Si le DPO doit optimiser la gouvernance de l’information, c’est parce que la maîtrise de ce véritable patrimoine doit permettre de garantir le respect de certains droits des consommateurs via le RGPD. Ainsi, il doit être en mesure d’assurer l’effacement des données dès lors qu’une personne concernée en fait la demande. C’est ce que l’on appelle communément le « droit à l’oubli », institutionnalisé, donc, dans le RGPD. Les consommateurs doivent aussi pouvoir consulter les informations qu’une entreprise possède sur eux pour, au besoin, les modifier (une adresse incorrecte, un nom mal orthographié, une composition du foyer inexacte ou obsolète…). En limiter les usages également, et les anonymiser. Le tout dans un laps de temps assez court, les entreprises devant satisfaire les demandes « dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance », selon les textes officiels !

Toutes ces dimensions posent aussi la question de la portabilité des données. Le DPO doit en effet être en mesure de rendre les informations consultables dans un format couramment utilisé, et lisible par n’importe quel particulier. Sans imposer, donc, le recours à un logiciel peu courant et/ou payant !

Les apports du machine learning pour le RGPD

Autant dire que la tâche peut sembler bien fastidieuse avec des solutions « classiques » et non optimisées. C’est pour cela que le recours à des solutions de gouvernance de l’information intégrant une forte dimension « machine learning » constitue un impératif.

Ce que le machine learning va permettre de faire ? Identifier la donnée, de plus en plus rapidement au fur et à mesure de l’utilisation de la solution, et automatiser les process. Répondre avec plus d’efficacité aux demandes des consommateurs. Leur permettre d’exercer leurs différents droits (limitation, rectification, anonymisation, suppression) prévus dans le RGPD. Enrichir le registre de traitement, que la CNIL doit pouvoir consulter. Assurer, enfin, la portabilité des données, que ce soit en direction des personnes concernées par les données ou d’une autorité de contrôle !

Le machine learning est donc l’allié des futurs DPO (aujourd’hui, simples « correspondants informatique et libertés ») dans la mise en place d’une gouvernance de l’information en accord avec les principes de la nouvelle Réglementation Générale sur la Protection des données. Vous souhaitez en savoir plus sur cette technologie ? Comprendre en quoi une solution d’archivage numérique s’appuyant sur le machine learning peut vous aider à rendre l’utilisation des données plus transparente ? Contactez les experts Everteam !