Données personnelles en entreprise : les DSI doivent aujourd'hui se conformer à la loi
PublicitéSans tapage médiatique, un nouveau défi se présente aujourd'hui aux directions informatiques des entreprises. Ce défi est particulièrement important pour les DSI, puisque, s'il n'est pas tenu, les conséquences pourront être très lourdes : il ne mettra pas à mal l'intégrité du SI de l'entreprise, mais pourrait avoir un risque majeur pour le responsable informatique lui-même, en le rendant hors la loi et susceptible de sanctions pénales et administratives graves. D'ici fin 2006, les directeurs informatiques ont en effet l'obligation d'être conformes à la réforme de 2004 de la loi Informatique et Libertés de 78 (initiée par la Cnil, Commission Nationale Informatique et libertés), sur la protection et la sécurité des données personnelles. Une partie du contenu de cette loi, qui a fait grand bruit, est connue et généralement appliquée par les entreprises, les obligeant à recueillir le consentement des personnes pour utiliser une information qui les concerne. Mais cette loi impose également que chaque entreprise doit avoir identifié et protégé l'ensemble des données personnelles qu'elle manipule ... et doit pouvoir en rendre compte. Et là, force est de constater que son interprétation n'est pas toujours correctement entendue. Ce contexte juridique impose en effet aux directeurs informatiques de protéger l'anonymat des données personnelles concernant les personnes physiques, tout au long de leur cycle de vie, au sein de l'ensemble du système d'information. Et protéger cet anonymat signifie rendre impossible l'utilisation de ces données pour toute personne qui y aurait accès sans en avoir le droit. D'ici à la fin de l'année, les défis sont donc multiples pour les directions informatiques puisque la mise en conformité avec cette loi est d'une ampleur considérable. Le DSI doit identifier l'ensemble des données sensibles concernées, l'ensemble des applications les exploitant, définir les stratégies pour rendre ces dernières anonymes, élaborer les bons processus pour assurer leur anonymat, puis enfin mettre ceux-ci en oeuvre. Et cette protection doit être effective tout au long du cycle de vie des données sensibles, ainsi qu'être auditable. Cette loi concerne donc directement les départements d'exploitation des services informatique de toutes les entreprises, mais également de production, d'études, de tests, etc. Imaginez en effet une équipe de développement en train de travailler sur l'évolution d'une application d'entreprise ... et manipulant donc des données sensibles issues des bases d'exploitation. Responsable pénalement, le DSI doit alors se conformer à la loi et assurer la sécurité de ces données. Cette stratégie se complexifie lorsque les équipes de développement sont dispersées et distantes, ou lorsque des prestataires externes sont impliqués dans le projet ... voire lorsqu'une partie de ce projet est externalisée en « nearshore » ou en « offshore ». En effet, le risque augmente avec l'éloignement physique de la « production », notamment lorsqu'il l'entraîne dans des pays à la législation moins contraignante qu'en France. Lorsqu'ils tiennent compte de la loi, la plupart des responsables informatiques se contentent le plus souvent de faire signer des accords de non-divulgation, ou de limiter l'accès aux données confidentielles. Mais, aucune de ces solutions ne se positionne comme solution efficace et durable. Heureusement, des solutions existent capables d'accompagner le DSI dans la mise en conformité de son système d'information et de ses processus : les offres d'anonymisation de données. En choisissant celle adaptée à son métier et à ses exigences, le DSI se trouve avec une solution globale, durable, sécurisée et auditable. Il existe en effet des offres capables d'industrialiser l'identification des données sensibles de l'entreprise ainsi que l'identification des applications et environnements cibles, de proposer des techniques d'anonymisation des données (chiffrement, remplacement, masquage, etc.), d'analyser l'impact de l'anonymisation sur les processus (le profil anonymisé doit en effet rester cohérent par rapport au profil source), d'assurer la permanence du processus d'anonymisation tout au long du projet et de pouvoir fournir la preuve que les données sensibles de l'entreprise sont bien protégées. Il est vrai que l'anonymisation est un projet exigeant. Mais l'obligation légale de 2006 l'est toute autant ! Et les démarches cruciales que doit entreprendre le DSI peuvent être simplifiées par le choix de bons processus et de solutions automatisées efficaces et... compétitives. Et réagir tôt sur ces questions permet non seulement de s'ôter rapidement une préoccupation légale de l'esprit, mais offre également d'optimiser ses espaces de stockage. De quoi se démarquer de ses concurrents !
Article rédigé par
Jean-Luc Vegrinne, directeur professional Services europe
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire