Nos reporters étudiantes du congrès 2021 vous présentent une série de comptes rendus de conférences. Ce quatrième et dernier compte rendu a été rédigé par Shahrazad Rahmé.
Au cours du 50e congrès de l’Association des Archivistes du Québec (AAQ), une conférence était menée par deux conseillères principales chez KPMG, Marie Dubernais et Cynthia Viau-Mainville. Elles ont présenté le sujet de la protection des données et des renseignements personnels en abordant la question : « Comment protéger ses données, si on ne sait même pas où elles sont ?! ». Elles ont présenté la cartographie comme outil de lignage de données permettant de répondre à cette question et elles ont terminé la conférence en soulignant la responsabilité de « tous » pour la protection des données.
Protection des données et des renseignements personnels
La première partie de la conférence était une introduction sur la protection des données et des renseignements personnels. Dans les organisations, il y a les équipes qui ont intérêt à collecter toujours plus d’informations pour assurer leurs besoins d’affaires, tels que l’excellence opérationnelle, l’expérience client ou la mise en marché d’un nouveau produit/service. D’autre part, il y a les équipes qui font la gestion des risques pour assurer la sécurité des données, et protéger la vie privée. Aujourd’hui, il y a un jeu d’équilibre entre ces deux équipes afin de permettre la collecte des données et la prise de décisions stratégiques d’une part tout en régulant les risques qui sont liés à ces surconsommations.
Les organisations ayant une tendance à collecter beaucoup de données sont de plus en plus conscientes de la valeur de celles-ci. Elles valorisent les données pour avoir un pouvoir compétitif, elles les analysent pour permettre aux dirigeants de prendre des décisions d’affaires sûres et certaines, elles implémentent l’automatisation des processus de l’organisation pour améliorer stratégiquement leurs opérations et elles bénéficient de l’intelligence artificielle pour prendre de meilleures décisions.
Les données sont collectées, mais est-ce qu’on doit protéger toutes ces données ? Il y a deux types de données qu’on doit protéger : les renseignements personnels (nom, adresse courriel, NAS, information bancaire et financière, race, sexe, opinions) et les informations confidentielles (informations financières non publiées, des documents stratégiques, des documents juridiques et des plans d’affaires). Il est intéressant de signaler que « la plupart des informations personnelles sont confidentielles, mais toutes les informations confidentielles ne sont pas personnelles ! »
La protection des données est assurée à travers un cadre légal englobant les lois suivantes :
- Loi sur la protection des renseignements personnels et des documents électroniques (LPRPDE) (au niveau du Canada) ;
- Loi sur la protection des renseignements personnels dans les secteurs privés (LPRPSP) (au niveau d’Alberta, de la Colombie-Britannique et du Québec);
- Règlement général sur la protection des données (RGPD), touchant les données des personnes de l’Europe dans les bases de données canadiennes ;
- Norme de sécurité de l’industrie des cartes de paiement (Payment Card Industry – Data Security Standard ou PCI-DSS), établie par les 5 principaux réseaux cartes (Visa, MasterCard, American Express, Discover Card et JCB).
Lorsqu’une brèche de confidentialité a été commise, des risques apparaissent pour l’organisation sur trois niveaux : légal, réputationnel et financier. Au niveau légal, les organisations sous la juridiction de la Loi sur la protection des renseignements personnels et des documents électroniques (LPRPDE) doivent déclarer au commissaire à la protection de la vie privée du Canada les atteintes aux mesures de sécurité concernant des renseignements personnels présentant un risque réel de préjudice grave à des individus, aviser les personnes concernées et conserver un registre de toutes les atteintes. Pour la réputation de l’organisation, son image de marque est fortement dégradée, ce qui pourrait générer une perte de confiance. Au niveau financier, un exemple de brèche extrait d’une étude faite par l’International Association of Privacy Professionals (IAPP) portant sur 22 brèches canadiennes a révélé que le coût moyen était de 250 dollars par dossier perdu, pour un coût total moyen de 5,32 millions de dollars.
Lignage de données
La deuxième partie de la conférence s’est concentrée sur le processus du lignage de données. C’est un processus ou une activité qui permet de suivre le flux de données depuis leur origine jusqu’à leur destination finale. Il permet la traçabilité de la donnée en suivant son cycle de vie, commençant par la collecte, suivi par la conservation et enfin l’utilisation.
Le lignage de données vise à répondre aux questions suivantes (les 5 W) : Qui collecte les données (Who) ? Qu’est qui est collecté (What) ? Quand se fait cette collecte (When) ? Où sont enregistrées ces données (Where) ? Et enfin, pourquoi sont-elles enregistrées (Why) ?
Qu’est que le lignage de données? Source : Tiré de la présentation de Cynthia Viau-Mainville et Marie Dubernais, avec leur autorisation
Le travail dans le processus de lignage de données se fait avec des données structurées. Ce type de donnée se trouve dans les bases de données, dans les systèmes métiers et les systèmes clients.
Un environnement technologique qui évolue constamment demande aux organisations de faire face à ce changement, entre autres à l’aide du lignage de données qui génère des données « propres et concises ». Le processus de lignage de données permet de réduire les incohérences et d’améliorer l’efficacité de la transmission des données. Il permet aussi de répondre aux exigences réglementaires et être conforme avec les lois de protection de renseignements personnels. De plus, il fournit une « assurance raisonnable de la qualité des données aux parties prenantes internes et aux régulateurs ». Il assure une architecture efficace des données qui optimise « le reporting interne et externe sur les risques ». Et finalement, il facilite la génération d’analyses prédictives qui contribuent à la sensibilisation des clients et à l’augmentation de l’offre de produits afin de stimuler la croissance future des revenus.
Le résultat d’un lignage de données sera une cartographie. Cette dernière se réalise en catégorisant les actifs informationnels, en cartographiant des processus, et en cartographiant l’environnement technologique.
Les trois outils de la cartographie de données Source : Tiré de la présentation de Cynthia Viau-Mainville et Marie Dubernais, avec leur autorisation
La catégorisation des actifs informationnels est un outil précieux qui permet d’identifier les données dans les systèmes. Dans ce contexte, un exemple sur la sensibilité des données dans les systèmes est donné par Cynthia Viau-Mainville: « On prend une donnée sensible, un renseignement personnel, je donne l’exemple du numéro d’assurance sociale (NAS) parce qu’il est plus critique. Où est le NAS dans toute l’organisation confondue […] le NAS quand je le joins avec d’autres choses ça peut créer un monstre. Un nom de quelqu’un ça ne vaut pas grande chose, une maladie, ça ne vaut pas grande chose, mais quand j’ai le nom de quelqu’un avec une maladie, quand je joins les données, c’est là que ça devient payant pour les gens qui sont malhonnêtes ».
Lors de la cartographie des processus, il est nécessaire de reposer les questions pour identifier quelle donnée à collecter et conserver, la personne qui va la collecter, le moment de la collecte, le lieu du stockage, et la raison de la collecte. Cela aide à limiter la collecte de données pour empêcher toute infobésité qui pourrait se produire.
Pour la cartographie de l’environnement technologique, on désigne le portrait global de toute la part informatique des organisations. Les conférencières proposent deux façons pour réaliser la cartographie des données dans cet environnement :
- La première façon est à partir des systèmes informatiques. « Où sont nos données ? ». Il est possible de dire qu’elles sont dans tel ou tel système. Après on précise qui a accès, pourquoi et quand ?
- La deuxième façon est à partir des utilisateurs. On rencontre les gens à travers d’entrevues, où on pose des questions telles que : « À quel moment vous collectez la donnée ? Vous la déposez où ? Sur des serveurs, dans la base de données, dans la GED ? ».
Le lignage des données fournit des informations sur le lieu de conservation des données physiques. De plus, il permet aux utilisateurs d’identifier les relations en amont (collecté comment, par qui, etc.). Il ne montre pas seulement le flux de données, mais il reflète également les transferts et partages. Il est essentiel pour effectuer des contrôles de qualité des données et pour assurer le suivi et la remédiation des problèmes.
À la fin d’un travail de cartographie de données, certains constats seront mis en évidence touchant différents aspects de la donnée : sa gouvernance, sa protection, son accès, sa conservation, son partage, son utilisation non adéquate, sa qualité, etc. Les informations offertes par un employé durant une entrevue: « je l’enregistre [la donnée] dans tel et tel endroit, la transfère à mon collègue, la transfère à l’externe » permettent aux responsables de la cartographie de faire des constats et établir une feuille de route pour les étapes suivantes. Et c’est là que la cartographie permet de détecter les lacunes dans le processus de gestion des données.
Responsabilité de protection des données et des renseignements personnels
La conférence s’est terminée en signalant que la protection des données et des renseignements personnels est « l’affaire de tous » : les organisations et les individus.
Pour que les organisations s’assurent qu’elles remplissent leur rôle de protection des données, elles doivent se poser les questions suivantes : Comment développer notre feuille de route de conformité ? Comment pouvons-nous convaincre la haute direction d’obtenir des ressources supplémentaires pour répondre aux exigences ? (Questions de conformité). Quelles sont les exigences réglementaires auxquelles nous sommes soumis ? Quel sera l’impact des projets de loi à venir ? (Questions des services juridiques). Comment utilisons-nous les données personnelles pour générer de la valeur tout en respectant les exigences réglementaires ? (Questions d’analyses de données). Quels mécanismes technologiques sont nécessaires/disponibles pour automatiser les activités de conformité et confidentialité ? (Questions de technologie de l’information). Comment pouvons-nous inclure le volet « confidentialité » aux mandats d’audit ? Existe-t-il des politiques, des procédures pour soutenir la conformité, confidentialité ? (Questions d’audit interne).
Quant aux individus, dans le cadre de leur travail, ils doivent adopter des pratiques spécifiques pour la protection des renseignements personnels. En collectant les données, ils doivent obtenir les consentements et limiter la collecte de données lorsqu’elle n’est pas nécessaire. Durant l’utilisation des données, ils doivent faire une minimisation de ces données, une journalisation et une gestion des mots de passe. Lors de leur exploitation, une anonymisation des données, un inventaire et un transfert sécurisés seront demandés. Pour la conservation des données, il est nécessaire d’établir des délais de conservation, assurer un transfert sécurisé vers la plateforme/solution de stockage sécurisée des données tout en considérant la continuité des affaires, l’accessibilité et la récupération des données. Et finalement la destruction des données se fera selon les normes et les standards pour les données sur support numérique, support papier, systèmes métiers et plateforme de stockage.
Convergence AAQ 