Sensitive Data Services

Chacun son trésor

Données sensibles? Définir, reconnaître, localiser et protéger les données sensibles est de plus en plus important, du fait de leur volume mais aussi parce qu’on les retrouve souvent là où elles ne devraient pas être.

Texte: Barbara Biesuz, Images: Unsplash,

Entretien avec Roger Fehr

«Données sensibles» – que faut-il comprendre derrière ce concept?

Le concept de données sensibles est défini par le législateur (RGPD [Règlement général sur la protection des données de l’Union européenne]), mais aussi par des autorités de régulation telles que la Finma et par l’entreprise elle-même. D’où la difficulté de lui trouver une définition à la fois simple et univoque. En principe, toute entreprise est habilitée à affiner le cadre légal en vigueur pour l'adapter à son propre contexte.

Est-ce que cela veut dire que les données sensibles ne disposent pas d'une définition claire?

Oui et non. Les lois et réglementations définissent de manière univoque ce qui est sensible: nous n’avons aucune marge de manœuvre dans ce domaine. Imaginons maintenant que je sois client d’une banque: les données que j'ai confiées à ma banque sont soumises au secret bancaire, et doivent par conséquent être protégées par la banque au moyen de dispositifs appropriés. Nous sommes tous d’accord sur ce sujet. Imaginons que maintenant j’inscrive mes coordonnées (nom, adresse, numéro de compte) sur un bulletin de versement: le contexte change. C’est une question de point de vue et de position: s’agit-il de mes données personnelles ou de données que je mets à la disposition de tiers dans le cadre de mes fonctions professionnelles? Cet exemple du secteur bancaire mis à part, il existe de nombreuses situations dans lesquelles tout n’est pas si clair.

Pourrais-tu citer un exemple?

Imagine qu’on t’invite à participer à un tournoi de golf en tant que VIP. Sur le coupon-réponse, tu peux indiquer ton régime alimentaire spécifique: casher, halal, sans gluten et/ou sans lactose... Sur la base de ce que tu coches, ou non, je serai en mesure de faire des déductions concernant ta confession religieuse et ton état de santé. Le fichier contenant ces données devra être défini et classé comme «sensible», conformément au RGPD, ce qui impliquera d’instaurer des règles de traitement spécifiques.

«Notre service: définir, rechercher, trouver, protéger.»

Le traitement des données sensibles n’est soumis à aucune règle fixe: comment les protéger dans ce contexte?

Nous suivons un processus clairement prédéfini, à travers la «chaîne de création de valeur Security». La première étape dans cette chaîne est une prestation de conseil: c’est un «contrôle de santé/sur la protection des données», ou «Health-Check», réalisé par nos consultants Security. L’objectif de cette étape est d’identifier les ressources les plus précieuses (le «trésor») de l’entreprise. Les données qui nécessitent une protection du fait de leur caractère sensible sont répertoriées et classées sur la base des règles légales et de celles mises en œuvre par l’entreprise. Au cours de la deuxième étape, les Sensitive Data Services de Swisscom entrent en jeu. Il s’agit dans cette étape de localiser les données à protéger définies dans l’étape précédente: où se trouvent-elles dans l’entreprise? Se trouvent-elles là où elles devraient être ou bien dans des emplacements où on ne devrait pas avoir à les rechercher? Dans la troisième étape, il s'agit de protéger les données, au moyen de mesures organisationnelles, mais aussi techniques.

Que se passe-t-il une fois que le DataScout a localisé les données et leurs emplacements?

Il s’agit de protéger ces données (avec Audit Guard, DLP, par ex.), afin de garantir la conformité avec les législations, mais aussi les prescriptions internes en vigueur. D'autres options de traitement sont aussi possibles dans cette étape: les données peuvent être déplacées, (re-)classifiées, protégées, anonymisées, voire supprimées. Cette dernière option peut être particulièrement pertinente pour des données se trouvant à un emplacement où elles n’ont rien à faire. Afin de garantir un processus d’amélioration continue, il convient de sensibiliser et former les collaborateurs en continu sur les règles de traitement des données, et de sanctionner les infractions en conséquence. Notre chaîne de création de valeur intègre également une phase de conseil sur les moyens organisationnels et techniques à mettre en place pour protéger les données sensibles avec efficacité. Nous recommandons de répéter ce processus à intervalles réguliers, dans la mesure où les architectures et processus métier évoluent en continu.

La croissance des volumes de données stockées entraîne-elle celle de l’importance des SDS (Sensitive Data Services)?

Il devient de plus en plus important de pouvoir identifier les données sensibles, non seulement du fait de leur volume, mais aussi parce que les Sensitive Data Services retrouvent de plus en plus souvent des données à des emplacements où elles ne devraient pas être. Un autre exemple: une candidature à un poste. Supposons que je transmette mon CV, un document sensible, à un recruteur via un outil en ligne. Comme le donneur d’ordre est en déplacement et ne peut pas accéder au système, ma candidature lui est transférée par e-mail. Afin que le responsable de l’équipe concernée puisse aussi consulter ma candidature, le donneur d’ordre met mon CV à sa disposition sur la plateforme de collaboration de l’entreprise. En prévision du deuxième entretien, le responsable du service est mis dans la boucle et reçoit un exemplaire imprimé de mon CV. En peu de temps, mon CV a laissé des traces sur des serveurs Exchange, dans les messageries électroniques de plusieurs ordinateurs, dans la file d’attente d’impression, etc. Autant d’emplacements qui sont «contaminés». Notre mission avec les SDS consiste à identifier tous ces emplacements.

Qui fait appel à vos prestations?

L’IT n’est pas en première ligne, contrairement à ce qu’on pourrait penser. Nos principaux interlocuteurs sont des responsables de divisions opérationnelles, mais aussi des représentants conformité et des chargés d’audit. Tous ont intérêt à garantir un traitement des données qui soit conforme aux lois, réglementations et politiques de l’entreprise en matière de protection des données, afin de protéger la réputation de l’entreprise et aussi de prévenir des dommages financiers. Il nous est aussi déjà arrivé d’être mandatés directement par le CEO d'une grande entreprise.

Qui, en dehors des banques, s'intéresse à votre activité?

Toutes les organisations qui génèrent des données sensibles: les hôpitaux, les cabinets médicaux, les communes, les entreprises de conseil fiscal, les services de brevets, etc. Mais aussi, plus prosaïquement, toutes les entreprises qui veulent savoir où se trouvent leurs données et les protéger. La liste est sans fin. «Est-ce que je sais où se trouvent mes données?». Avec la nouvelle loi sur la protection des données à partir de 2022, toutes les organisations devront se poser la question à l’avenir. Or, la majeure partie d’entre elles est incapable d’y répondre aujourd’hui, quel que soit leur secteur. Nous aurons donc fort à faire.

En savoir plus sur ce thème