Les données sont essentielles à la vie de nos entreprises et collectivités. Cela amène plusieurs questions quant à son traitement et à sa vie. Une donnée traverse de grandes étapes et à chacune de ces étapes, de multiples questions doivent être posées. Il y a évidemment des questions de respect de la loi mais également des questions d’optimisation des données.
1ère étape – la récolte de la donnée :
Lors de la récolte, on distingue deux grands types de données.
Les données provenant de source externe à l’entreprise et les données provenant sources interne à l’entreprise. Ces deux types de données ont chacunes un traitement différent.
Dans le cas de données provenant de l’extérieur, il faut s’assurer d’avoir l’accord éclairé et actif de la source externe, peu importe la source ou la manière dont elle est récoltée.
Dans le cas de données provenant de l’intérieur aucun accord n’est nécessaire puisqu’elles appartiennent déjà à l’entreprise. Même si cela paraît évident, il est toujours bon de le rappeler.
Dans tous les cas, il peut être utile de se poser les questions suivantes :
- D’où vient la donnée ?
Il est important de connaître l’origine de la donnée (lieux, moment de la récolte, …) car cela peut être utile notamment dans le cadre des données personnelles. En effet, la personne concernée peut demander à savoir comment la donnée a été récoltée et par quel moyen. C’est également utile pour connaître la pertinence de la donnée ou sa fiabilité.
- Dans quel but la donnée est-elle récoltée ?
Cette question est importante car elle permet de s’assurer de la pertinence de la récolte. C’est utile afin de ne pas se retrouver avec des données dont on ne se sert pas.
- Combien de temps conserve-t-on la donnée ?
C’est utile afin de ne pas conserver des données devenues inutiles ou de ne pas récolter des données que l’on ne pourra pas traiter par manque de temps. De plus, des textes réglementaire l’imposent pour certains types de données
ALLISTIC vous aidera à vous poser ces questions régulièrement, que ce soit sur les données qui sont déjà récoltées ou celles qui le seront.
2ème étape – Le traitement de la donnée :
Une fois collectée, la donnée sera traitée par votre système d’information. Toutefois, elle doit être classifiée et analysée afin de savoir quel est le besoin de sécurisation et comment elle peut être traitée. Il existe différents types de données :
- Les données publiques :
le but de ce genre de données est d’être partagée. Néanmoins on cherchera à faire en sorte que leur auteur reste connu.
- Les données personnelles :
seule l’entreprise et l’individu concerné doivent avoir accès à cette donnée. Les différentes étapes de la vie de ce type de données doit suivre le RGPD et les préconisations de la CNIL.
- Les données de santé :
faisant partie des données personnelles, elles répondent aux mêmes besoins mais doit respecter le Code de la Santé Publique en plus des lois et réglementations sur les données personnelles.
- Les données sensibles :
la diffusion de ces données devra être limitées et leurs accès devra être données selon les besoins de la société.
- Les données “Diffusion Restreinte”, “Confidentiel Défense” et autre classification supérieure :
Ces données doivent suivre un cadre défini par la loi et ne jamais en sortir.
ALLISTIC vous accompagnera à déterminer la sensibilité de vos données et vous accompagnera dans la manière dont elles doivent être traitée afin de limiter les risques pour votre entreprise.
3ème étape – le partage de la donnée :
La donnée classifiée pourra sans doute être partagée. Dans tous les cas, il faut que ces données ne soient accessibles qu’aux personnes en ayant le besoin. Ainsi on fonctionnera sur un modèle de moindre privilège afin de limiter l’accès au maximum.
Pour cela, il est possible de passer par un système de contrôle d’accès par rôle afin de limiter la diffusion des données uniquement aux personnes qui en ont besoin pour leur travail.
Cette étape est d’autant plus importante que c’est souvent à cause d’un manque d’analyse à ce niveau que les hackers réussissent à accéder aux données les plus sensibles.
ALLISTIC vous aidera à déterminer la finesse à mettre dans ces rôles. En conséquence, cela permet de s’assurer que les personnes qui doivent y avoir accès en théorie sont bien celles y ayant accès dans la pratique.
4ème étape – Le stockage et l’archivage de la donnée :
La donnée ayant été classifiée et les accès ayant été déterminés, il faut aussi voir comment stocker la donnée.
Ainsi on adaptera le support selon les besoins des données. Plusieurs questions doivent être posées :
- Combien de temps la donnée doit elle être conservée ?
Tous les supports ne permettent pas le même temps de conservation et la loi peut demander à ce que les données ne soient conservées qu’un certain temps.
- Quelle disponibilité la donnée doit elle avoir ?
Si la donnée doit être disponible immédiatement on privilégiera les supports ayant un haut taux de réponse.
- Combien de personne doivent accéder à la donnée ?
Si la donnée ne doit être accessible qu’à une seule personne, peut-être qu’elle ne doit pas être stockée sur un espace partagé.
- La taille des données évolue-t-elle rapidement et est-elle connue ?
Si la taille ne bouge pas dans le temps, il n’est pas nécessaire de la stocker sur un espace dynamique.
- La donnée est-elle lue fréquemment ?
Si c’est le cas, le support doit pouvoir le permettre.
ALLISTIC vous aidera à déterminer le stockage nécessaire aux besoins de votre société et à respecter la loi tout en répondant à ces questions.
5ème étape – la destruction de la donnée :
Une fois arrivé au terme de son temps d’utilisation, il est nécessaire de détruire la donnée. Cette étape est importante car la donnée peut être oubliée et ne plus être sécurisée si ce n’est pas fait. C’est pour cela qu’elle doit être prévue dès le début.
Pour cela il existe plusieurs moyens.
Les questions importantes à se poser dans ces conditions sont :
- Dans quelles conditions sont supprimées les données ?
- La suppression logicielle des données est elle suffisante ?
- Qu’est ce qui est considéré comme une bonne suppression physique le cas échéant ?
- Que demande la loi ?
ALLISTIC vous guidera dans la création de vos processus de suppression de données dans le respect des besoins de votre entreprise.
Comme nous l’avons vu, les données traverses cinq grandes étapes : la récolte, le traitement, le partage, le stockage (ou l’archivage) et la destruction. Pour le bon déroulement de chacune de ces étapes, il faut instruire des process sécurisés qui permettent une bonne continuité de votre business.