Archives de Catégorie: Sécurité

Business et informations personnelles ?


Il y a quelque jour la BBC a publié une note concernant le cas du magazine XY (site pour jeunes homosexuels),  propriétaire d’une base de données regroupant les informations de nombreux abonnés (plus d’un million).
L’éditeur des publications XY est en faillite depuis février 2010 et il semblerait que les informations contenues dans ses bases de données aient été considérées comme un actif et donc valorisées en compensation des dettes.
Ce cas est particulièrement sensible du fait des caractéristiques de la population concernée.

Dans le cas d’une cession, ces informations vont passées sous le contrôle d’un autre « Data Controller » (voir le site de ICO en UK) et les garanties qui ont pu être données aux abonnés quant à l’utilisation de ces informations risquent d’avoir fait long feu !

De plus, aux Etats-Unis il n’y a pas d’équivalent à l’European Data Protection Directive (Directive 95/46/EC) qui protége les citoyens contre un abus possible dans l’utilisation des informations personnelles et que cette affaire ne concerne évidemment pas que des citoyens US.

Les législations vont certainement évoluer, notamment en ce qui concerne le respect de la sphère privée, mais aussi légitime que soit notre désir de protection, ne sommes-nous pas en train d’appeler de nos voeux l’existence d’un monde où l’Etat (par l’édition des règles et le contrôle de leur application) sera seul maître du jeu ?

Gouvernance, risques, protection, ordre public, e-cetera !


La vie n’est pas forcément « un long fleuve tranquille » et le monde que nous contribuons à inventer chaque jour n’est pas un « havre de paix ».

En complément de mes notes organisées autour des questions de gouvernance de l’information et de la valorisation des actifs informationnels, il est beaucoup de nouveaux sujets auxquels réfléchissent de nombreux groupes et experts.

La valeur ajoutée de ces publications est plus que significative et si vous souhaitez en savoir plus sur bon nombre de sujets mis en exergue par l’apparition de l’homo erectus 2.0, je vous conseille, entre autres, les blogs ou sites suivants :

– Le blog de Jean-Paul Pinte sur les questions de cybercriminalité, sécurité et ordre public
Regards sur le numérique (édité par Microsoft France)
– La sécurité de applications en ligne expliquée par Jacques Pantin, fondateur et PDG de Dictao

Mais également, Médiapart, le site francophone d’information 2.0

Réseaux sociaux et entreprises


Nous sommes de plus en plus nombreux à partager des informations au travers de Twitter (microblogging) ou des sites comme Linkedin ou encore Facebook, YouTube, et cela commence à impacter les entreprises.

Une anecdote rapportée par Olivier Buquen vaut sans doute plus qu’un long discours : « un PDG du CAC 40 a dû se séparer d’un collaborateur direct membre du comité exécutif parce que, dans ses états Facebook, il racontait sa journée quasiment en direct en révélant dans quel pays son patron se rendait et quelles personnes il rencontrait. »

Cette anecdote nous renvoie au contrôle des contenus que peut et doit exercer l’entreprise, mais les réseaux sociaux peuvent également être un support de croissance pour les organisations, le modèle de la wikinomie serait-il en marche ?

Les entreprises sont également très intéressées par ces nouveaux espaces de communication nés avec le web 2.0 et la mise en oeuvre de solutions telles Microsoft Office SharePoint Serveur et elles n’hésitent pas à les utiliser en interne.

Certaines expériences (Bouygues, CEA, Danone, Ubisoft, Lufthansa, etc. ) sont à découvrir dans le dossier le le collaboratif à l’heure du 2.0 publié par le Le journal du Net.

La protection des données personnelles


Le droit à la protection des données à caractère personnel est inscrit dans la charte des droits fondamentaux de l’Union européenne au titre des libertés fondamentales telles que la liberté de pensée, de conscience ou de religion, la liberté d’expression et d’information ou le respect de la vie privée et familiale, etc.

Toute organisation recueille quotidiennement des données à caractère personnel :
le cabinet de recrutement afin d’évaluer les capacités à occuper un poste, le service RH pour tenir à jour les dossiers du personnel, le conseiller clientèle que vous venez d’appeler pour une réclamation et qui a noté quelques informations ou encore le médecin et votre suivi médical qui lui également fait l’objet d’un traitement électronique.

La CNIL définit les données à caractère personnel comme « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement par référence à un numéro d’identification (par exemple le n° de sécurité sociale) ou par référence à un ou plusieurs éléments qui lui sont propres (par exemple les initiales du nom et du prénom) ou par recoupement d’informations du type : date de naissance, commune de résidence, éléments biométriques, etc. »

En France, la loi « Informatique et libertés »  donne aux personnes privées un droit de regard sur l’utilisation qui est faite de ces informations : c’est le droit d’accès. Elles peuvent ainsi savoir si un fichier comporte des informations personnelles sur elles, connaître lesquelles, en contrôler l’exactitude et lorsque c’est nécessaire, les faire rectifier, mettre à jour ou supprimer.

Le droit d’accès, qui est un droit strictement personnel, s’exerce selon deux modalités :

Le droit d’accès direct

Pour vérifier si elle est fichée ou pas, la personne doit directement s’adresser à la société ou à l’administration susceptible de conserver des informations sur vous. Cet organisme dispose d’un délai de deux mois maximum pour vous répondre. Ensuite, si l’organisme détient effectivement des données personnelles sur votre compte, elle peut accéder à leur intégralité.

Le droit d’accès indirect

C’est un régime particulier applicable à certains fichiers nationaux de souveraineté.
C’est le cas

  • des fichiers intéressant la sûreté de l’Etat, la défense et la sécurité publique (fichiers de police et de gendarmerie, fichiers de renseignement, fichier Schengen, etc.). Certains de ces fichiers sont consultés lors d’un recrutement, de l’agrément ou de l’habilitation de personnels de professions diverses ( surveillance, gardiennage, emplois dans des zones aéroportuaires, fonction publique…). Ils sont également consultés pour la délivrance ou le renouvellement de titres pour l’entrée et le séjour des étrangers.
  • Du fichier des comptes bancaires FICOBA, tenu par la direction générale des finances publiques, qui recense les ouvertures et les mouvements de comptes.

Dans ces cas précis, le droit d’accès s’exercera par l’intermédiaire d’un magistrat, membre de la CNIL qui ira contrôler le fichier au nom de la personne (accès indirect).

Naturellement, ces dispositions légales ont des conséquences importantes sur les processus de conservation des informations, d’anonymisation des données et la gestion des droits d’accès.

En savoir plus :
Le site de la CNIL
Le guide des droits d’accès en téléchargement
La loi fédérale suisse sur la protection des données et les dispositions quant au droit d’accès – Art. 8
Synthèse de la législation UE sur la protection des données à caractère personnel

Collaboration, croissance et gestion de l’information


La gestion de l’information est au centre de l’évolution de notre économie et depuis quelques années de nombreux travaux et publications mettent en avant la culture de l’information,  à l’instar de Don Tapscott et Anthony Williams qui l’ont dénommée : wikinomie.

On ne le dira jamais assez, mais un des enjeux des entreprises est notammnent de réorganiser en son sein ses modes de gestion de l’information formelle et informelle.
Si l’on se référe au « modèle » de la wikinomie, celui-ci exige au préalable une structure de gestion interne ouverte sur l’extérieur sans faille et, sécurisée.

Il y de nombreuses méthodes pour soutenir cette organisation. MIKE 2.0 est probablement la méthode la plus référencée dans les blogs anglo-saxons.

MIKE 2.0

MIKE2.0 (Method for an Integrated Knowledge Environment) est un cadre de distribution Open Source pour la Gestion d’Information d’Entreprise.
Il fournit une méthodologie complète qui peut être appliquée dans un certain nombre de projets différents dans l’espace Gestion d’Information. Bien qu’il soit initialement axé autour des données structurées, l’objectif de MIKE 2.0 est de fournir une méthodologie complète pour tout type de Développement de l’Information.

Mike 2.0

Le Développement de l’Information est une approche que les organisations peuvent utiliser pour traiter l’information comme un actif stratégique dans leur chaîne d’approvisionnement: de la façon dont elle est créée, consultée, présentée et utilisée dans le processus décisionnel à la façon dont elle est partagée, conservée en toute sécurité, entreposée et détruite.

La Nécessité du Développement de l’Information

Le concept du Développement de l’Information est fondé sur une prémisse : en raison de sa complexité, nous manquons de méthodes, de technologies ainsi que de compétences pour résoudre nos problèmes de gestion de l’information.
Un grand nombre des techniques en usage aujourd’hui sont relativement immatures et fragmentées et les solutions efficaces sont de plus en plus difficiles à trouver.
C’est une des raisons pour lesquelles les organisations qui savent bien gérer l’information connaissent plus de succès.

Il s’agit pour les organisations de :

  • Conduire une approche globale à travers une stratégie d’information.
  • Permettre aux personnes possédant les compétences nécessaire de construire et gérer des systèmes d’information tout en créant une nouvelle culture d’excellence de l’information.
  • Promouvoir des nouveaux modèles d’organisation qui offrent des compétences améliorées de gestion de l’information.
  • Améliorer les processus autour de la conformité, les politiques, les pratiques et la mesure de la valeur de l’information.
  • Fournir des solutions technologiques contemporaines qui répondent aux besoins des organisations fortement fédérées d’aujourd’hui

MIKE 2.0 est une méthode qui fait la part belle aux technologies 2.0 et qui aborde tous les aspects concrets de leur application dans l’entreprise et de la planification dans le temps et l’espace.
Même si cette méthode peut paraître un peu «lourde» en terme de descriptifs des procédures, elle offre l’indéniable avantage d’être complète et de représenter un bon cadre pour une mutation maîtrisée vers l’entreprise 2.0.


MIKE 2.0 & collaboration

Pour en savoir plus :
L’architecture SAFE
MIKE 2.0 (en anglais)
Télécharger le livre blanc Governance 2.0 (en anglais)