Ne manipulez plus vos données sans les anonymiser !
Un sujet qui peut sembler un peu secondaire face à la complexité des enjeux de la DSI aujourd’hui, mais qui prend toute son importance si on le confronte aux obligations réglementaires entrées en vigueur fin mai, avec le règlement sur la protection des données personnelles.
Mais plutôt que de vous parler une nouvelle fois du RGDP (même si ce sujet n’est pas clos, loin de là), rappelons que les fuites de données personnelles ne touchent pas que Facebook et les géants du web. Pour preuve, la récente condamnation d’Optical Center, pour une fuite des données personnelles de ses clients, due à un défaut de sécurité sur son site e-commerce.
Alors, évidemment, dans vos entreprises, tout a certainement été mis en place dans vos bases de production pour pallier ces risques de fuite, avec le chiffrement des données et les contrôles d’accès à votre système d’information, et votre RSSI y travaille sans relâche. Vous avez aussi renforcé les systèmes de consentement et de protection des données personnelles avec l’arrivée du RGPD.
Mais nous voulions vous sensibiliser ici aux manipulations que vous faites en interne, pour alimenter un système de test ou de développement, faire une formation, analyser vos données…
Pour répondre à ces besoins bien légitimes, vous sortez tout ou partie de vos données de production, et vous n’avez peut-être pas toujours le réflexe, ou le temps, de les anonymiser. Et pourtant, c’est certainement là qu’elles sont le plus vulnérables.
Si vous êtes comme moi, vous avez déjà dû, quand vous assistez à une démo d’un outil de BI, ou à un retour d’expérience client, scruter les tableaux de bord et les analyses qui s’affichent, pour essayer de deviner de quel produit on parle, si on arrive à reconnaître une société, si le CA est cohérent ou pas.
Le démonstrateur vous a certainement dit : « évidemment, les données que je vous montre ici ont été anonymisées ». Hum, Hum, peut-être. Ou peut-être pas. Parce que c’est compliqué, et que ça prend du temps. Si on lance un algorithme qui transforme toutes les valeurs de manière aléatoire, les données ne veulent plus rien dire, difficile ensuite de faire une démo pour montrer des tendances. Si on applique des règles plus manuelles, c’est long. Et souvent, on a plusieurs sources à traiter, qui ne sont pas homogènes.
Tout le monde ne fait pas de démo, certes, mais de plus en plus, vous accédez à vos données pour les manipuler, les analyser, les associer, leur appliquer des algorithmes d’Intelligence Artificielle, car elles représentent de potentiels gisements de valeur et que votre entreprise a mis la data au cœur de sa transformation. Et dans ces projets, vous avez souvent des consultants externes qui accèdent à ces jeux de données.
Pensez aussi que les données personnelles, ce ne sont pas que celles de vos clients : en tant qu’employé, vos données stockées dans le SIRH sont concernées, elles-aussi. Et à l’heure où se développe la biométrie, avec des contrôles d’accès par la voix, l’iris, l’empreinte digitale, les données deviennent de plus en plus personnelles…
Alors, prenez conscience des risques : les données que vous manipulez sont peut-être les vôtres, ou celles de vos enfants. Faites en sorte qu’elles soient protégées en les anonymisant. Vous serez en plus en conformité avec le RGPD.
Pour avoir plus d'information sur le sujet de l'anonymisation, c'est ici : Blog Data Masking