Dans le cadre du livre blanc “Data Management : le remède contre la fraude au virement”, Trustpair donne la parole à Betty Sfez, Avocat associé IT / DATA / IP au sein du cabinet Solegal.
Dans cet article, Betty Sfez partage son expertise et nous éclaire sur la gouvernance de la donnée en entreprise et les mesures réglementaires à respecter.
A propos de Betty Sfez :
Ayant prêté serment depuis maintenant 15 ans, Betty Sfez a été collaboratrice de plusieurs cabinets français et internationaux. Après avoir créé un cabinet dédié à la Data et à l’innovation, elle est aujourd’hui Avocat Associé au sein du cabinet Solegal, où elle occupe la place de Directrice du pôle IT / DATA / IP.
L’équipe du pôle IT/DATA/IP du cabinet Solegal intervient dans la rédaction et la négociation des contrats, accords et partenariats impliquant l’usage de technologies. Par exemple, le Cabinet est amené à conseiller des éditeurs de logiciel dans le cadre de leur relation avec leurs clients, ou inversement des entreprises souhaitant contractualiser avec des fournisseurs de solutions technologiques. Le cabinet accompagne également ses clients sur les sujets et problématiques suivants : la protection des données personnelles, incluant la stratégie de gouvernance de la donnée, et la protection de l’innovation et du savoir-faire de l’entreprise.
Qu’entend-on par gouvernance de la donnée en entreprise ?
“Généralement, chaque entreprise partage sa propre définition de gouvernance de la donnée. A mon sens, cela peut notamment consister en la formalisation d’une politique interne régissant la gestion des données au sein de l’entreprise.”
L’objectif est que l’entreprise comprenne que la donnée représente un enjeu. Une fois cette prise de conscience avérée, elle va pouvoir formaliser une politique menée et pilotée par le VP et le COMEX afin d’assurer la protection de la data, et voire de la faire fructifier.
“Une fois que les entreprises ont conscience que leurs données valent de l’or, l’idée est d’élaborer une stratégie interne pilotée par le COMEX pour assurer que la donnée soit protégée des tiers, mais aussi qu’elle soit correctement exploitée.”
Quelles sont les démarches à suivre pour que la donnée soit exploitable ?
“Pour garantir une donnée exploitable, le premier réflexe est de respecter la loi.”
Des réglementations françaises et européennes expliquent aux entreprises dans quelles mesures elles doivent protéger et sécuriser leurs données personnelles et leurs données métiers (parfois stratégiques) :
- Comment exploiter la donnée vis-à-vis des droits des tiers ?
- Comment exploiter la donnée de façon sécurisée pour éviter que des concurrents ou des tiers viennent voler le savoir-faire ?
“Lorsqu’on parle de data, on ne parle pas que de données personnelles. On parle aussi de données métiers, données stratégiques, secrets d’affaires, savoir-faire. Toutes ces données ont une valeur marchande forte qu’il faut pouvoir sécuriser.”
Dès lors qu’une entreprise souhaite innover et élaborer des stratégies de commercialisation, il faut penser en amont la stratégie data ainsi que la protection de la vie privée.
Quelles lois encadrent la gouvernance et la protection des données ?
De manière globale, la gouvernance de la donnée est encadrée par des directives européennes comme la directive NIS, qui a été transposée en France par une loi interne concernant la sécurité informatique et qui fait actuellement l’objet d’une mise à jour.
Il y a eu une volonté du législateur européen d’imposer aux entreprises des obligations en matière de sécurité informatique. Plusieurs réglementations européennes encadrent alors le sujet de la sécurité informatique, et ont été adoptées dans plusieurs pays européens dont la France.
“Les lois portant sur la sécurité informatique imposent aux entreprises la mise en place des mesures préventives de sécurité – détection de la fraude et des intrusions – et des mesures correctives afin de savoir comment réagir en cas d’attaque.”
Sur le même modèle, la réglementation RGPD impose des mesures visant à protéger les données personnelles, et à déterminer comment réagir en cas de violation de ces données.
Les entreprises sont-elles toutes soumises aux mêmes réglementations ?
“En fonction de la typologie de l’entreprise, le législateur impose un certain niveau de vigilance aussi bien en amont qu’en aval. Selon le niveau de risque d’une organisation et de l’enjeu de ces données, la réglementation sera plus ou moins sévère.”
Dans le cadre de la réglementation européenne, il y a par exemple un distinguo entre les entreprises qui gèrent ou stockent de la data en masse – fournisseurs d’accès à internet, hébergeur, Marketplace – et les opérateurs d’importance vitale.
Les opérateurs d’importance vitale, privés ou publics, sont considérés par le Code de la Défense comme fournissant des activités incontournables et indispensables pour la survie de la nation. Ils doivent mettre en place des mesures de sécurité beaucoup plus fortes qu’une entreprise classique. Elles concernent une douzaine de secteurs : fournisseurs d’eau, d’électricité, les transports alimentaires… Par exemple, une centrale nucléaire doit mettre en place des mesures de sécurité très fortes puisque les conséquences d’une faille de sécurité peuvent être graves.
Comment une entreprise doit-elle procéder pour assurer la protection de ces données ?
“Assurer la sécurité et la protection des données à l’échelle de l’entreprise est un travail de longue haleine.”
En ce qui concerne les ETI/PME et grands groupes, il y a des mesures juridiques relevant à la fois de la contractualisation avec des tiers externe et interne :
- Revue des contrats avec des sous-traitants importants ou à risque ;
- Implémentation de chartes internes afin de sensibiliser les collaborateurs aux risques (phishing, clause de confidentialité).
Au-delà du juridique, il y a des mesures organisationnelles visant à élaborer des processus internes strictes :
- Mapping des flux de données interne pour les fluidifier et sécuriser les échanges de données ;
- Définition de droits d’accès et d’autorisation spécifiques pour chaque collaborateur ;
- Mise en place de seuils d’alerte en fonction du montant ou du niveau de sensibilité d’une transaction.
Finalement, il y a des mesures techniques et informatiques, où l’on va verrouiller et protéger les Systèmes d’Information de l’entreprise via différents outils :
- Firewall ;
- Anti-virus ;
- Sonde de détection.
Quelles sont les grandes étapes pour mener un projet de gouvernance de la data ?
“La gouvernance de la donnée est projet pluridisciplinaire, il n’y a pas de services spécifiques qui portent le sujet. Il faut des compétences juridiques mais aussi techniques.”
Lorsque l’on mène ce genre de projets avec nos clients, on s’entoure d’entreprises spécialisées pour nous accompagner. Deux grandes étapes sont alors nécessaires.
1- Mener un audit juridique, organisationnel et technique
La phase d’audit est cruciale et essentielle pour savoir :
- Comment l’entreprise fonctionne ?
- Quels sont ses processus ?
- Comment les Systèmes d’Informations sont-ils protégés ?
- Dans quelles mesures la Direction financière est concernée par ces processus ?
Dans le cas où l’entreprise est déjà victime d’une faille de sécurité ou de violation de données, l’objectif est de définir des actions de remédiation immédiates. Mais en règle générale, l’audit est nécessaire.
2 – Définition et déploiement d’une stratégie pertinente pour améliorer le niveau de sécurité
Sur la base de cet état des lieux et des constats négatifs, on va pouvoir expliquer à l’entreprise ce qu’il ne va pas et lui proposer des mesures d’ordre correctives. Que ce soit pour la protection ou l’exploitation de la data, la mise en place d’un projet de gouvernance de la donnée est un sujet pluridisciplinaire.
En plus d’une concertation entre les équipes juridique et IT, il est indispensable d’avoir une impulsion de la part du VP et du COMEX. Leur appui va crédibiliser la démarche au sein de l’entreprise, et accélérer le management de changement et la digitalisation des processus financiers.
Dans quelles mesures la Direction financière est-elle impliquée dans la gouvernance de la donnée ?
La Direction financière a pour charge d’assurer la pérennité financière et économique de l’entreprise en gérant la trésorerie et la sécurité des flux financiers. Elle doit être impliquée dans les projets Data car elle est à l’origine de nombreux processus qui doivent être acceptés puis mis en place au sein de leurs services.
Par exemple, la protection contre la fraude au virement est une vraie préoccupation pour la DAF, particulièrement lorsqu’une entreprise opère à échelle internationale. La sécurité financière relève de leur responsabilité.
Comment la DAF doit-elle s’organiser pour faire face à la fraude ?
“La fraude atteint des chiffres record, et intégrer des logiciels et des outils d’aide à la décision semble incontournable. Aujourd’hui, si une Direction financière n’a pas les outils performants pour lutter contre la fraude, il semble difficile d’y arriver avec une simple charte interne.”
En quoi assurer une donnée fiable est-il essentiel ?
Une donnée fiable est essentielle car elle répond à deux objectifs :
1 – Respecter les obligations légales
Cela assure une donnée qui soit mise à jour, exacte et pertinente. Travailler avec des données obsolètes, tout comme collecter et traiter des données en masse sans pouvoir apporter de justification, est contraire à la loi.
2 – Assurer une meilleure exploitation commerciale
Il est essentiel de quitter l’ère du Big Data pour aller vers le Smart Data et assurer un traitement intelligent et en temps réel des données. Les bases de données au volume conséquent n’ont plus grand intérêt aujourd’hui pour les entreprises.
Quelle est la place de la technologie dans la gouvernance de la data ?
“Aujourd’hui, de nombreuses technologies permettent d’améliorer l’exploitation et la fiabilité des données telle que l’Intelligence Artificielle. Ces technologies doivent être considérées comme des outils d’aide à la décision, n’excluant ainsi pas l’humain, et être utilisées à bon escient.”
Pour conclure :
Avant d’élaborer une stratégie de gouvernance de la donnée, le premier réflexe est de connaître la loi. C’est sur la base de ces réglementations que l’entreprise va pouvoir définir sa stratégie.
Le Data Management et la gouvernance des données impliquent une vraie concertation interne entre les Directions métiers. Il faut assurer une entente commune pour arriver à un résultat satisfaisant.
“Pour arriver à un bon Data Management et une bonne gouvernance de la donnée, il est indispensable d’associer : une solution technologique, une bonne organisation interne, des processus définis et la sensibilisation des équipes.”