Constat >
|
|
Une base de données est un outil de capitalisation de l’information.
Elle structure et organise les données, et permet de réaliser des
ajouts, des mises à jour, des suppressions et des recherches. En
plus de ce socle structurel, la base de données facilite le partage
des données. Il est donc nécessaire d’assurer la confidentialité des
modes de consultation ou de diffusion afin d’encadrer ce partage.
Or, le partage vient souvent s’opposer à la confidentialité,
formant ainsi un paradoxe que nombre d’organisations peinent à
éclaircir.
 |
| Text
mining |
| Forfait tout compris |
| -20%
à partir de |
|
1492€ 1193€
|
|
 |
|
|
Contre toute attente, partager l’information renforce la
réactivité plus qu’il ne diminue le pouvoir… à condition que
chacun soit sensibilisé et respecte les règles du partage. Ainsi,
les organisations sont chaque jour plus nombreuses à choisir des
solutions informatiques coordonnant différents processus métiers
d’une entreprise. Ce sont les fameux ERP ou progiciels de gestion
intégrés. Cependant, ces outils sont utilisés par des êtres humains.
Leur appropriation peut ainsi s’avérer délicate.
La confidentialité est habituellement liée au secret
professionnel : il s’agit dans ce cas de limiter les droits d’accès
à certaines données – le plus souvent par des moyens électroniques.
Mais, la notion de confidentialité est quelquefois utilisée
abusivement pour des raisons liées à la résistance individuelle.
Dans ce cas, la motivation pour partager les données est limitée. Le
partage est alors associé à la crainte du vol ou du détournement
d’information. Il est parfois bien difficile de faire le
distinguo entre le secret professionnel et les craintes personnelles.
Le cas de figure le plus courant est celui du commercial qui ne
souhaite surtout pas partager les informations sur ses clients de
peur qu’un collaborateur indélicat empiète sur ses plates-bandes.
Dans d’autres cas, il peut s’agir d’équipes de recherche ou de
consultants qui associent le partage de l’information à une perte de
pouvoir – ou plutôt qui le perçoivent comme tel.
Enfin, notons que la notion de confidentialité est également liée
à la protection des données personnelles. Ainsi, le traitement
d’informations à caractère personnel est soumis aux textes de la loi
française Informatique et Libertés ou aux lois étrangères appelées
plus communément data privacy. A ce titre, il n’est pas
possible de traiter sous forme de base de données des informations
liées à des personnes physiques (que ce soit des contacts en
entreprise ou des particuliers) sans un minimum de cadre légal et
sécuritaire.
|
Méthode >
|
|
Phase 1 : élaborer un plan technique
Gérer les droits d’accès à la base de données
Utilisez l’ensemble des paramètres de gestion des accès par
groupes. Ainsi, vous pouvez moduler les droits de lecture, de
copie, d’écriture, de suppression… en attribuant des droits
particuliers pour des groupes de personnes. Cette approche groupée
est plus sûre et facile à mettre en œuvre que des accès au cas par
cas. Elle nécessite par ailleurs une implication forte des
ressources humaines qui doivent, selon un processus défini à
l’avance, réaliser les demandes de mises à jour en fonction des
mouvements internes, des entrées et sorties de salariés. La gestion
des droits doit également administrer les autorisations de personnes
externes à la société.
Protéger les données
Il s’agit ici de protéger la base de données dans son ensemble et
non des parties de celles-ci. L’architecture informatique (réseau)
doit empêcher toute copie, export massif ou intrusion dans les
fichiers de données. La généralisation de l’Internet et des clefs
USB sont deux facteurs qui fragilisent la sécurité de
l’information : il est devenu facile de faire une copie d’un fichier
et ensuite prendre tout son temps pour s’y introduire en essayant de
multiples combinaisons.
Phase 2 : dresser un plan de gestion du changement
Elaborer une visualisation distribuée de l’information
Dans les organisations, le frein au partage le plus courant est
lié à la résistance individuelle. La solution la plus
courante est de fragmenter l’information ou de la rendre opaque.
Ceci contribue largement à développer la capitalisation des données
tout en prenant en compte les contraintes personnelles :
Fragmenter l’information
Certains champs confidentiels sont masqués pour
l’ensemble des utilisateurs et visibles uniquement par
l’auteur. Par exemple : le numéro de téléphone d’un
client n’est pas affiché pour tout le monde.
|
Opacifier l’information
Certaines données
d’identification sont simplifiées. Par exemple, au lieu
d’afficher le nom et le prénom d’un contact, on affiche ses
initiales (seul l’auteur du document peut lire les données
complètes, mais ceux qui connaissent la personne la
reconnaitront). Si l’information concerne une entreprise, on
pourra remplacer le nom de l’entreprise par l’affichage de
sa taille et de son secteur d’activité. Dans d’autres cas,
un résumé donnera un aperçu d’une information par ailleurs
enregistrée en détail. Cette opération est également évoquée
sous le terme d’anonymisation. |
Naturellement ces deux façons de visualiser l’information peuvent
être utilisées en même temps.
|
| SIREN |
| Vérifiez vos codes |
|
à partir de |
|
69€ |
|
|
|
|
Conduire le changement
Pour motiver l’appropriation d’une base de données par des
utilisateurs, il convient de réaliser un diagnostic personnel
identifiant les freins pour chaque collaborateur ou service. On
classera chaque champ (ou groupe de champs) à partager en trois
catégories :
- les opposants catégoriques,
- les résistants conditionnels,
- les indifférents.
Pour chacun on évoquera les raisons de l’opposition au partage.
Cette approche systémique déliera plus facilement les langues et
facilitera la prise en compte de résistances personnelles
difficilement avouées. Parallèlement, on procédera à
l’identification des motivations réelles (besoins et envies) de
chacun : à l’issue de ce travail, on déterminera les conditions
de partage acceptées ou tolérées par tous. Une telle approche a
par exemple permis à une équipe commerciale de prendre conscience
que les contacts enregistrés dans la base clients de leur entreprise n’appartenaient pas plus à l’un
qu’à l’autre : c’est la qualité de la relation entre l’agent
commercial et son contact qui est la réelle valeur ajoutée. Or,
cette relation est unique et ne peut être « volée ».
Ecrire et diffuser une charte interne
Ce document rédigé par l’entreprise reprendra les règles de
partage des données en rappelant les droits et les obligations. La
charte proposera des recommandations pour chacun. Elle pourra
contenir également un rappel de la réglementation relative à la CNIL et
à la gestion des droits de propriété (copyright).
Encourager
Dans certaines structures, les personnes devant mettre à jour et
partager les données sont régulièrement notées sur leur travail de
qualification de l'information. Dans certains cas, cette
valorisation donnera lieu à un bonus sur la feuille de
salaire.
Phase 3 : s’accorder avec la réglementation
Régulariser
La confidentialité des données est également soumise à
la loi française
Informatique et Libertés. Cette loi encadre de façon rigoureuse
la protection des données personnelles. L’article 34 de la loi
n° 2004-801 du 6 août 2004 précise que : « le responsable du
traitement est tenu de prendre toutes précautions utiles, au regard
de la nature des données et des risques présentés par le traitement,
pour préserver la sécurité des données et, notamment,
empêcher qu’elles soient déformées, endommagées, ou que des tiers
non autorisés y aient accès. » La réglementation et les
recommandations émises par la CNIL évoluent constamment. Ainsi, le
20 février dernier, la CNIL se prononçait en faveur de la création
d’un nouveau numéro d’identification transcodé à partir du
numéro de
sécurité sociale (NIR). Il s’agissait d’anonymiser le NIR pour
l’utiliser dans le dossier médical personnel (DMP). Une
recommandation qui est désormais entre les mains des parties
prenantes en
charge du projet.
|
