Souveraineté des données : de la prise de conscience à la mise en pratique

Par Hugo B.
Publié le 12 février 2021
Lecture : 8 min.
7 #Techno
souveraineté des données illustration

L’application de messagerie WhatsApp a annoncé début janvier à ses utilisateurs que leurs données seraient dorénavant partagées avec les autres entités du groupe Facebook, qui l’a rachetée en 2014. Derrière cette évolution des conditions d’utilisation de WhatsApp, qui a pris effet le 8 février 2021, la volonté de monétiser l’application via la machine publicitaire de Facebook. Cette décision, dont le manque de transparence pourrait être sanctionné en Europe par une amende record, trahit la promesse faite aux fondateurs de WhatsApp… lesquels avaient obtenu de Mark Zuckerberg la garantie que leur service de messagerie resterait « autonome et géré de manière indépendante ». Mais là n’est pas le plus intéressant. Pour la première fois, la modification des CGU d’un service en ligne a provoqué la fuite massive et quasi instantanée des utilisateurs. S’il est difficile d’obtenir des chiffres précis, on peut en juger par l’augmentation des téléchargements des deux applications concurrentes, Signal et Telegram, dans les jours qui ont suivi l’annonce (la 1re revendique + 7,5 millions d’utilisateurs, la seconde + 25 millions).

 

Point de bascule ?

La méfiance des utilisateurs envers Facebook est-elle exacerbée par les scandales répétés qui ont entaché l’image du réseau social au 2,8 milliards d’utilisateurs ? Ou s’agit-il d’une prise de conscience, globale et irréversible, de la nécessité de protéger ses données personnelles ? On notera d’ailleurs qu’il ne s’agit pas de sécurité, mais bien de confidentialité des données, puisque WhatsApp, Signal et Telegram chiffrent tous les trois les conversations de bout en bout. Ce qui a, ici, de la valeur pour Facebook et ses annonceurs est moins le contenu des conversations que les métadonnées, en l’occurrence les liens entre les utilisateurs, et l’association d’un compte à un numéro de téléphone.

Pour Camille Cacheux, Directeur Général Adjoint de Pictime Groupe, cette actualité est symptomatique d’un basculement. Sous la pression conjointe du RGPD, adopté en mai 2018, et d’utilisateurs plus regardants, les entreprises s’intéressent enfin, concrètement, à la manière dont elles collectent, utilisent et stockent les données, constate-t-il. « Elles veulent reprendre le contrôle ». Une réflexion accélérée par la pandémie : « Les deux périodes de confinement et le recours massif au télétravail ont fait gagner de 3 à 5 ans sur la transformation digitale. Qu’il s’agisse de e-commerce, de santé ou de services en ligne – les 3 domaines d’expertise de Pictime Groupe – l’appropriation des outils numériques a été boostée. »

Souvent, de cet usage accru des outils numériques résulte… des montagnes de données. De quoi réaliser les promesses du Big Data, renouvelées avec le développement de l’IA ? « Pas si simple, nuance Camille. Il est effectivement plus facile aujourd’hui d’extraire de la valeur de ces données. Les ressources de calcul sont disponibles et leur accès se démocratise. Les algorithmes se perfectionnent. Mais les entreprises, et c’est tant mieux, ont une approche pragmatique, sous l’effet du RGPD, autant que des contraintes économiques. Stocker de la donnée engendre des coûts, financiers et environnementaux ». Elles aspirent donc à ne collecter que la donnée utile, en prévision des traitements qu’elles sont capables de réaliser et dont elles savent avoir besoin. L’approche du data lake, dans lequel on déverse quantité des données en vrac, dans l’espoir de les explorer un jour, a du plomb dans l’aile.

 

La RSE s’étend à la gestion des données

Les risques encourus par les entreprises qui seraient, par négligence, responsables d’une fuite de données personnelles ne sont plus négligeables (jusqu’à 4 % du chiffre d’affaires annuel mondial !). Les plaintes auprès de la CNIL se multiplient, signe que les utilisateurs sont aujourd’hui mieux informés de leurs droits, et décidés à les faire respecter. Au-delà des sanctions financières, le risque en termes d’image est également très présent dans l’esprit des DSI. « Si l’on veut voir les choses sous un angle plus positif, note Camille, le respect de la vie privée des utilisateurs et l’hébergement des données en France deviennent des arguments de vente. ». Tout comme le fait d’être un partenaire à capitaux 100% européens et même français « On est en train de changer d’ère, résume Camille. La gestion des données rejoint la liste des sujets inclus dans la RSE, sur lesquels les utilisateurs attendent que les entreprises s’engagent. »

 

La nécessité d’une « gouvernance » des données

Concrètement, le premier chantier pour les DSI, avec l’appui des RSSI, est de parer la multiplication des attaques informatiques, qui visent aussi bien les particuliers que les entreprises ou… les hôpitaux. Ceci alors que le périmètre du système d’information ne cesse de s’étendre : « Télétravail, BYOD, Shadow IT, applications SaaS et externalisation vers différents providers… Cartographier le système d’information et savoir où se trouvent les données de l’entreprise n’est pas simple. À mesure que le périmètre du SI s’élargit, la surface d’attaque augmente. »

Le second chantier, c’est évidemment la conformité. C’est-à-dire le respect des normes (type ISO 27001, certification HDS pour les données de santé, PCI-DSS pour les données de paiement…). Auquel il faut ajouter la « compliancy » au sens RGPD, qui responsabilise l’ensemble des opérateurs traitant de la donnée personnelle, en les obligeant à décrire ce qu’ils font avec les données et comment ils en assurent la protection. De là, découle l’intérêt porté au traitement de la donnée « de bout en bout », depuis sa collecte jusqu’au stockage, dans un cloud public ou privé, sur des serveurs situés en France, en Europe, ou dans des pays à la législation moins protectrice. « En somme, il s’agit pour les entreprises de mettre en place une véritable gouvernance des données. Et c’est un sujet stratégique, dont la sécurité – à laquelle les entreprises ont alloué beaucoup de moyens ces dernières années – n’est qu’un volet. »

 

Des choix techniques éclairés

Évidemment, la gouvernance des données a des implications directes sur les choix techniques.

Ceux qui avaient misé sur le « tout public cloud », pour aller vite, commencent à en revenir. Un mouvement de « data repatriation » qui s’explique aussi par des considérations financières, le modèle économique Pay as you go du cloud public finissant par coûter cher. « Après les DevOps, voici venu le temps des FinOps, qui mettent leur nez dans les dépenses cloud pour les rationaliser, notamment en consolidant les infrastructures. » Le cloud privé ou « de confiance », c’est-à-dire hébergé en France et dont l’usage est réservé à des clients bien identifiés – contrairement au cloud public, qui est construit sur le mode de la colocation de ressources avec des inconnus – n’est cependant pas suffisant pour satisfaire tous les besoins. « La tendance est au cloud hybride, qui tire le meilleur parti des deux mondes, et notamment la souplesse du cloud public… et de son avance technologique. Certaines briques, dans l’IA notamment, ne sont disponibles dans les cloud d’AWS ou de Microsoft Azure, dont Pictime Groupe est partenaire. »

Pictime Groupe, qui propose un cloud de confiance, hébergé sur 3 sites géographiques en France (2 à Paris, 1 à Lille), suggère ainsi souvent d’associer les deux types de ressources au sein d’un même projet : « Pour entrainer un algorithme d’IA avec un jeu de données anonymisées ou par chiffrement (voir : https://chiffrer.info/), rien de plus efficient que le cloud public. Et cela ne pose aucun problème du point de vue RGPD. D’un autre côté,  certains acteurs préfèreront stocker leurs données sensibles sur un cloud de confiance pour rassurer leurs utilisateurs ou leurs clients. » Se pose enfin la question du verrouillage technologique : « Plus on utilise de briques au sein du catalogue d’un même fournisseur, plus le risque est grand de s’en trouver dépendant. » Être « cloud agnostique » n’est pas toujours possible, mais il faut faire ses choix en connaissance de cause. Et la containérisation, tout comme l’adoption de Kubernetes, offrent l’espoir de faciliter les migrations d’un cloud à l’autre.

En somme, le travail de Pictime Groupe consiste aujourd’hui à conseiller ses clients pour faire rimer conformité et agilité. « Un travail qui requiert une expertise technique que n’ont pas la plupart des clients, légitimement plus préoccupés par le développement de leurs services, et maintenant la gouvernance des données que par les problématiques d’infrastructure. » À bon entendeur !


Vous aimerez aussi

7 #Techno
pictime Groupe label expert cyber
Pictime Groupe est labellisé ExpertCyber.

Le label ExpertCyber est destiné à valoriser les professionnels en sécurité numérique ayant démontré un niveau d’expertise technique et de transparence dans les domaines de l’assistance et de l’accompagnement de leurs clients.

Lire la suite
7 #Techno
Hébergement et infogérance Pictime Groupe : garantir la continuité d’activité en cas de crise

Alors que l’épidémie du coronavirus semble s’éloigner sur notre territoire, beaucoup de directions informatiques entreprendront dans les semaines à venir de dresser un bilan de la crise qu’elles ont traversé.

Lire la suite
FR   |   EN