Données d’entreprise: qui détient réellement le contrôle au bout du compte?

Dans un monde de plus en plus numérisé, les données sont devenues le fondement de nombreuses entreprises – et leur contrôle, une responsabilité stratégique de la direction. La souveraineté des données ne consiste pas seulement à savoir où se trouvent ses propres données, mais aussi à décider activement de leur utilisation, de leur protection et des accès qui y sont autorisés. Pour les PME en particulier, cet enjeu est essentiel afin de garantir la sécurité juridique, la confiance et la compétitivité. Seule une approche responsable permet de garder véritablement la maîtrise de ses données.

Souveraineté des données: le contrôle des données d’entreprise comme responsabilité de la direction

Les entrepreneureuses et les chefs d’entreprise sont responsables de leur personnel et doivent veiller à ce que les carnets de commandes restent suffisamment remplis. Parallèlement, ils et elles développent l’entreprise et son offre, recrutent de nouvelles collaboratrices et de nouveaux collaborateurs et doivent intervenir dès que des problèmes surviennent, où qu’ils se présentent. Face à une telle diversité de missions, externaliser des domaines techniques tels que l’informatique d’entreprise et le stockage des données auprès d’un partenaire spécialisé peut sembler tout à fait logique. Cependant, il est impossible de déléguer la responsabilité qui en découle, notamment à une époque où la numérisation progresse et où les cyberattaques visant les PME se multiplient.

La numérisation peut apporter des avantages considérables aux entreprises, comme automatiser les processus, optimiser les opérations et prendre des décisions fondées sur les données. Celles-ci deviennent ainsi un facteur central de création de valeur. Elles permettent des prévisions plus précises, augmentent l’efficacité et créent les bases nécessaires au développement de nouvelles offres ou à l’innovation.

Toutefois, à mesure que l’utilisation des données augmente, leur gestion gagne également en complexité. Aussi est-il important de garder une vue d’ensemble et de maintenir le contrôle afin de respecter les exigences légales, réglementaires et contractuelles, tout en assurant la protection des données et la cybersécurité.

La souveraineté des données consiste à gérer de manière consciente le contrôle des données d’entreprise. La souveraineté et le contrôle des données ne relèvent donc pas uniquement de l’informatique, mais constituent également un enjeu métier, de sécurité et de culture d’entreprise. Le contrôle des données est important, voire souvent vital. C’est pourquoi les entrepreneur·euse·s et les chef·fe·s d’entreprise doivent impérativement s’emparer personnellement de ce sujet et le considérer comme une véritable responsabilité de direction.

Cadre juridique

La protection et la sécurité des données sont aujourd’hui clairement encadrées en Suisse. La loi révisée sur la protection des données (nLPD) exige que les organisations sachent quelles données personnelles elles traitent, à quelles fins et où celles-ci sont stockées. Pour les entreprises actives à l’international s’ajoutent notamment des lois telles que le règlement général sur la protection des données (RGPD) de l’UE ou des réglementations sectorielles spécifiques, par exemple DORA pour le secteur financier ou NIS2 pour les opérateurs d’infrastructures critiques.

L’utilisation de services cloud est elle aussi soumise à des exigences légales. Toute entreprise qui stocke ou traite des données en dehors de la Suisse ou de l’Europe doit vérifier quelles conditions s’appliquent aux transferts de données et si les pays concernés garantissent un niveau de protection adéquat. Une attention particulière doit être portée au Cloud Act américain, qui permet aux autorités, dans certaines circonstances, d’accéder aux données détenues par des fournisseurs américains. Ces risques doivent être connus et atténués par des mesures techniques et contractuelles, par exemple grâce à une localisation claire des données, à la définition de juridictions compétentes et à la rédaction de clauses de confidentialité.

L’ignorance ou les suppositions erronées entraînent des risques inconnus. La sécurité juridique est donc d’autant plus importante pour les entreprises qui travaillent avec des données dans le cloud. L’obtenir peut s’avérer très complexe, notamment lorsque l’on ne maîtrise pas suffisamment les enjeux liés à l’informatique et à la numérisation. Il est donc pertinent de faire appel à un·e expert·e qui connaît les risques juridiques et qui peut garantir la sécurité juridique là où la technologie ne suffit plus.

La transparence des données comme fondement

La souveraineté des données implique nécessairement de la transparence. Les entreprises doivent savoir quelles données elles possèdent, où elles sont stockées, qui y accède et comment elles sont traitées. Ce n’est que lorsque le cycle de vie des données est connu qu’il est possible d’évaluer correctement les risques et de mettre en œuvre les mesures de protection appropriées.

Dans la pratique, cette vision d’ensemble fait souvent défaut. Les données sont réparties entre différents systèmes d’application, clouds, espaces de partage de fichiers et terminaux. La multiplicité des responsabilités, les structures héritées du passé et les prestataires externes compliquent encore la maîtrise de la situation. Conséquence: des responsabilités mal définies, des risques non identifiés et une perte de contrôle.

La transparence se met en place lorsque les entreprises recensent systématiquement leurs sources de données, les classent et définissent clairement les responsabilités. En plus d’améliorer la sécurité, cette démarche assure des gains d’efficacité: les ressources informatiques et de conformité peuvent ainsi être mobilisées de manière ciblée.

Types de données et niveau de protection requis

Toutes les informations ne présentent pas la même importance. On peut distinguer les données sensibles, les données critiques et les données internes:

• Les données sensibles concernent des personnes, par exemple les informations relatives à la clientèle ou au personnel, les données de santé ou les décomptes de paie. Leur protection est imposée par la loi et toute utilisation abusive peut porter atteinte aux droits de la personnalité.
• Les données critiques revêtent une importance stratégique pour l’entreprise, comme les documents contractuels, les données financières, la propriété intellectuelle ou les plans de construction. Leur perte ou leur divulgation peut fortement perturber l’activité.
• Les données internes, telles que les directives internes ou les documents de projet, sont considérées comme appartenant à l’entreprise, mais nécessitent néanmoins une gestion structurée des droits d’accès.

Pour déterminer quelles données doivent être protégées et de quelle manière, les entreprises doivent savoir s’il s’agit de données sensibles, critiques ou internes. Les données doivent donc être classifiées correctement et de manière exhaustive afin que la stratégie de sécurité puisse porter ses fruits. Une classification correcte constitue ainsi une base essentielle pour articuler les mesures de protection juridiques, techniques et organisationnelles.

Accès et protection des accès

Le contrôle des données implique également de contrôler qui est autorisé à y accéder: la protection des accès est un élément central d’une véritable souveraineté des données. Elle comprend d’une part la sécurisation des accès, et d’autre part la gestion active des droits d’accès.

Aujourd’hui, les mots de passe longs et complexes n’offrent plus le niveau de protection attendu. Associés notamment à des obligations de changement fréquent, ils conduisent souvent les utilisatrices et utilisateurs à choisir des mots de passe faciles à retenir – et donc faciles à deviner –, à les réutiliser plusieurs fois ou à ne les modifier que légèrement. Sur le Darknet, on trouve des listes de données de connexion divulguées à la suite de failles de sécurité présentes sur des sites web piratés. Les cybercriminels utilisent ces listes pour tenter de se connecter à différents services jusqu’à ce qu’une combinaison adresse e-mail/mot de passe de la liste fonctionne et leur permette ainsi d’obtenir un accès.

Même l’authentification multifactorielle (MFA) peut aujourd’hui être contournée à l’aide de méthodes adaptées. Les attaques de phishing modernes utilisent ce que l’on appelle des attaques de type «man-in-the-middle» pour reproduire les processus de connexion en temps réel. Les assaillants peuvent ainsi intercepter le deuxième facteur si aucune authentification résistante au phishing (par exemple, des clés d’accès) n’est utilisée.

Une entreprise ne devrait pas seulement se demander comment les collaboratrices et collaborateurs obtiennent un accès, mais aussi à quelles données ils ont accès. Un concept de gestion des rôles et des droits doit définir pour chaque collaboratrice et chaque collaborateur quelles informations il ou elle peut consulter et modifier. Cette approche constitue le socle d’une architecture de sécurité efficace.

Une protection moderne des accès part du principe qu’un compte utilisateur finira tôt ou tard par être compromis. La question n’est donc pas de savoir «si» cela arrivera, mais «ce qui se passera lorsque cela arrivera». Les entreprises doivent miser sur une combinaison de processus d’attribution des droits clairement définis, des solutions d’authentification sécurisées ainsi qu’une vérification continue des rôles, des appareils et des informations contextuelles. Cette démarche permet de garantir que le personnel comme les partenaires externes n’accèdent qu’aux données dont ils ont besoin pour accomplir leurs missions.

Conclusion: le contrôle est une question d’attitude

La capacité d’une entreprise à conserver le contrôle de ses données ne se décide pas uniquement au niveau informatique, mais également au sein de la direction. La souveraineté des données naît là où la direction, le service juridique et le service technique travaillent en synergie – avec des responsabilités clairement définies, une gestion rigoureuse des risques et une culture de la sécurité mise en pratique au quotidien.

En définitive, l’organisation qui détient véritablement le contrôle est celle qui considère la souveraineté des données comme un élément clé de sa gouvernance – et non comme une simple option technique.