La majorité des grandes entreprises Françaises ont opéré ces dernières années une transformation digitale de leurs systèmes d’informations.

Cette mutation, qu’elle qu’en soit sa maturité, a rapidement entrainé les CISO (Chief Information System Officer) et DPO (Data Protection Officer) et CDO (Chief Data Officer) dans des chantiers colossaux liés à l’organisation et la gouvernance de la donnée (structure, processus, compétence).

Aujourd’hui, les projets sur la donnée foisonnent et gravitent souvent autour des questions suivantes:

• Comment la donnée est-elle produite et pour quelles destinations ?
• Comment et sur quels supports sont stockées les données ?
• Quelles règles de gestion faut-il appliquer aux données ?
• Quelles critères faut il appliquer pour classifier les données en fonction de leurs sensibilités ?
• Qui peut y accéder et comment ?
• Quelle bonne utilisation en faire ?
• Pour mieux collecter les données et les mettre au service de tous les métiers, certaines entreprises n’hésitent pas à mettre en place des organisations (i.e. Data Office) dédiées voire des référentiels entièrement dédiés à la qualification de la donnée, à sa sensibilité et à sa sécurité. Ces processus sont mis en place dans le seul objectif de pré-qualifier en amont les données manipulées par les applications avant leurs mises en production dans le SI.

Cette démarche permet aux équipes Métiers et celles des Etudes de faire une analyse complète des informations manipulées ou maintenues dans une ou plusieurs bases de données. L’objectif est d’obtenir une vision claire de la qualité et de la sensibilité des données conformément aux référentiels, politiques de sécurité en vigueur (i.e. RGPD) et autres chartes de bonnes pratiques.

L’analyse du volet Data doit également conduire ces équipes à identifier et anticiper les besoins potentiels de collecte, montée en qualité, sensibilité ,mise à disposition, des principales données demandées  par le projet. Si des écarts majeurs sont identifiés par rapport aux référentiels, les principes même du projet sont revus.

Notons en conclusion que les nouvelles exigences législatives liées à la protection et la conservation des données mettent aujourd’hui l’entreprise face à la nécessité de réfléchir à de nouvelles pratiques pour mieux collecter, analyser et gérer la donnée.

Le rôle du DPO est aujourd’hui en profonde mutation. Au-delà de ses compétences traditionnelles de garant de l’intégrité des données et l’arbitre des autorisations pour leur gestion, il est de plus en plus  sollicité pour améliorer la valorisation des données de l’entreprise.

Conscient de ces défis, Le Cabinet Formind a mis au place une vraie stratégie pour accompagner les DPO engagés dans ces chantiers digitaux autour de la donnée. Sa vision sur ce sujet s’articule autour de trois grands principes :

• Définir des niveaux de sensibilité et les impacts concrets en cas de fuites d’information
• Cartographier les informations sensibles et les zones à risques
• Définir les règles de protection et surveillance adaptées

Liens utiles :

https://www.data.gouv.fr/fr/

https://www.cnil.fr

Article rédigé par Karim Slimani, Directeur de Projet chez Formind