C’est une chose de dire que vous êtes conforme à la protection de la vie privée, mais c’en est une autre de l’être réellement. Et il n’y a pas d’endroit où cela est plus évident, ou plus difficile, que lorsque l’on considère la confidentialité dans les anciens systèmes informatiques. Et c’est un problème, car les anciens systèmes ne sont pas exclus des exigences des lois comme la California Consumer Privacy Act (CCPA) ou le Règlement général sur la protection des données (RGPD) de l’Europe. Une chose que nous avons apprise est que les organismes de réglementation en matière de protection de la vie privée sont très disposés à distribuer d’importantes, voire de très importantes, amendes et pénalités pour violation de la vie privée. Donc, toutes ces montagnes de données personnelles qui résident on ne sait où dans votre environnement informatique posent un risque sérieux pour votre organisation qui ne fera que croître.
La conformité en matière de la protection de la vie privée suppose beaucoup de choses : que les renseignements personnels (RP) sont dans des silos distincts et gérables, que les silos peuvent être gérés en fonction de la compétence et du type de données, et même que les données relatives à une personne particulière peuvent être identifiées, séparées et gérées de façon unique. Et bien sûr, vous pouvez ensuite appliquer certaines règles très granulaires à ce qui devient un nombre de plus en plus grand de regroupements de données très étroits. Dans les meilleures circonstances, c’est une demande importante, mais dans le cas des anciens systèmes, c’est souvent une demande impossible.
Les systèmes n’ont pas été conçus pour atteindre ce type de conformité et, dans presque tous les cas, la structuration des données et l’entrée de données ont été effectuées d’une manière qui n’avait pas envisagé ce type de scénario de conformité, donc les données sont complètement mélangées, mal identifiées et mal organisées pour la gestion de la confidentialité. Et lorsque vous faites face à un environnement informatique de grande envergure qui peut contenir des centaines ou des milliers d’anciens systèmes, la situation devient effectivement problématique. Il se peut même qu’il n’y ait aucune connaissance institutionnelle solide de la nature des données pour chacun des systèmes, des informations beaucoup moins détaillées sur la façon dont les données sont structurées et séparées, ainsi que les métadonnées et autres caractéristiques qu’elles peuvent avoir. Il en résulte souvent que l’organisation est bien loin d’être conforme à la protection de la vie privée et qu’elle n’a pas de stratégie réelle pour se conformer dans son ancien environnement informatique.
Heureusement, il est possible de remédier à cette situation, du moins en partie. De plus, une partie est mieux que rien. Les organismes de réglementation fondent l’importance des amendes et des autres pénalités en partie sur leur jugement quant à la gravité du problème et aux mesures prises pour remédier aux problèmes. Donc, toute mesure positive que vous prenez aura une certaine valeur. Alors, par où commencer?
Pour commencer, vous avez besoin d’un inventaire de vos actifs informatiques – quels systèmes et répertoires contiennent des renseignements personnels et quels types spécifiques de renseignements personnels se trouvent dans chaque référentiel ou système. Cela peut être plus difficile à trouver que vous ne le pensez. Les organisations plus grandes et décentralisées manquent souvent de connaissances institutionnelles sur exactement ce à quoi ressemble vraiment leur propre système informatique. À tout le moins, vous avez besoin d’une liste des principaux suspects et de ce qui est susceptible d’y figurer et qui présente un intérêt.
La prochaine étape consiste à établir les priorités. Certains systèmes et référentiels auront de grandes quantités de RP, d’autres pas tellement. Et tous les RP ne sont pas créés égaux : des choses comme des renseignements financiers personnels et des renseignements médicaux personnels présentent un risque beaucoup plus élevé pour l’organisation en cas de violation des données, de rétention excessive ou d’autres cas de non-conformité que d’autres types de RP. L’argent et les autres ressources sont toujours limités, donc vous voulez diriger intelligemment vos ressources vers les endroits où elles auront le plus d’effet, tant sur le plan de la conformité réelle que pour convaincre les organismes de réglementation que vous êtes sérieux si vous faites l’objet d’une vérification de la confidentialité. Et rappelez-vous que tous les systèmes ne sont pas créés égaux non plus. Il pourrait y avoir des mesures plus faciles à prendre sous la forme d’un système qui peut être résolu rapidement et à bon prix, et vous ne voulez pas manquer cette occasion de gagner.
Vous devez maintenant prendre quelques mesures correctives. C’est là que les choses deviennent un peu plus difficiles. Vous commencez par un idéal platonique d’un modèle de conformité : un calendrier de rétention, des politiques sur les restrictions d’accès et toutes les autres choses qui, dans un monde idéal, vous souhaiteriez qu’un système informatique fasse par le biais de la gestion de la confidentialité. Ensuite, pour chaque système, vous devez déterminer à quel point vous pouvez atteindre cet idéal platonique en fonction des caractéristiques du système lui-même et des données qui y sont contenues, des budgets et d’autres contraintes de ressources, des besoins opérationnels et des autres facteurs pertinents. Il y aura probablement une négociation difficile ici : vous demandez une tâche considérable de la part de certains employés des TI qui ont déjà beaucoup de choses à faire, mais vous avez besoin qu’ils vous rapprochent de la conformité la plus complète possible dans le monde réel, donc s’ils vous disent que c’est impossible, vous devez insister.
Mais vous devez aussi garder à l’esprit que dans la plupart des cas, un ancien système ne peut être entièrement conforme à votre idéal platonique, donc « aussi proche que possible » est le terme opérationnel. L’objectif final est d’avoir, de documenter et d’exécuter une stratégie et un résultat « les meilleurs possibles » pour chaque système ou référentiel. Cela sera votre défense lorsque l’organisme de réglementation de la protection de la vie privée viendra sonner à la porte : « Ce n’est pas parfait, mais c’est le meilleur résultat réaliste disponible. » Cela atténuera au moins les pénalités et pourrait bien servir à les éliminer complètement.
Répétez le processus ci-dessus quelques douzaines, quelques centaines ou quelques milliers de fois, selon le cas, et vous avez terminé. Mais s’il s’agit de quelques centaines ou quelques milliers de personnes, cela prendra un certain temps, ce qui rend la priorisation d’autant plus importante : les situations à risque élevé devraient vous demander une attention immédiate et ne pas être repoussées pendant des années.
Il est facile d’être dépassé par l’ampleur du problème. La mise en place d’un plan est votre étape la plus importante. Tout d’abord, parce qu’il établit que votre organisation cherche à régler le problème. Cela seul contribue à réduire votre risque. Plus important encore, vous pouvez obtenir des résultats significatifs au fil du temps si vous abordez le problème systématiquement et mangez l’éléphant une bouchée à la fois. Éventuellement, ces bouchées finiront par s’accumuler, et avec chaque bouchée, votre risque diminue au moins un peu et peut-être beaucoup.
Pour en savoir plus sur l’atténuation des risques liés à la protection de la vie privée des anciens systèmes, consultez cette webémission enregistrée : Mesures correctives du programme de protection de la vie privée pour intégrer les anciens systèmes
Share