Article réservé aux abonnés Archimag.com

Données stratégiques et sensibles : vers la fin de l’open data ?

Le

  • donnees-strategiques-sensibles-vers-fin-open-data.jpg

    donnees-strategiques-sensibles-vers-fin-open-data
    "Les données sont un prérequis incontournable et, pour les faire parler, il faut une expertise encore rare et précieuse", explique Denis Berthault. (Rawpixel/Freepik)
    • Le nouveau contexte numérique annonce-t-il la fin programmée de l’open data pour les données stratégiques et sensibles ?

    am_gp_80_couvbd.jpgenlightened RETROUVEZ CET ARTICLE ET PLUS ENCORE DANS NOTRE GUIDE PRATIQUE : STRATÉGIE DATA : TIREZ PROFIT DE L’INTELLIGENCE DES DONNÉES

    mail Découvrez Le Brief de l'IT, la newsletter thématique gratuite d'Archimag dédiée aux professionnels des data, de l'IT, de la digitalisation et de la transformation numérique !

    Pour survivre et agir dans le monde numérique des prochaines décennies, l’exploitation des données au sein d’une entreprise ou d’une administration devient un prérequis vital, car les différentes intelligences artificielles (IA) se nourrissent uniquement de données (humaines ou synthétiques) fiables, contrôlées et exactes.

    Or, si toute entreprise ou toute administration produit des données, elle en collecte aussi provenant d’autres entreprises, d’autres administrations, quand ce n’est pas du "web ouvert".

    On comprend qu’il y a un oxymore entre ces deux phrases : comment disposer de données fiables, contrôlées et exactes si on ne contrôle ni ses propres données ni celles avec lesquelles on s’alimente ni, peut-être même, celles que l’on diffuse ?

    De plus, trop souvent, l’IA rend fou : pour de nombreuses raisons, les comités exécutifs veulent tout, tout de suite, avec beaucoup d’idées de produits en tête. Or, dans l’IA, rien ne se fait sans données de qualité. Les données sont un prérequis incontournable et, pour les faire parler, il faut une expertise encore rare et précieuse.

    Lire aussi : Cycle de vie de la data : l'affaire de tous !

    C’est dans ce nouveau contexte technologique de l’IA qu’il faut aborder la diffusion des données, que ce soit sous le régime de l’open data ou d’une diffusion contrôlée. Toutefois, avant d’expliquer les raisons pour lesquelles devenir "data-driven" nécessite une nouvelle organisation ainsi qu’une nouvelle gouvernance et de tenter une définition de ce que sont les données sensibles, il convient de balayer brièvement le nouveau paysage géopolitique et politique dans lequel s’inscrit désormais la circulation des données.

    Guerre numérique : les données comme victimes

    On peut aujourd’hui évoquer sans crainte la réalité prégnante et quotidienne d'une guerre numérique menée, non seulement par des entreprises, des officines ou des réseaux mafieux, mais aussi par des États. Cette guerre, toute silencieuse qu’elle est, n’en fait pas moins des victimes : on ne compte plus les données, personnelles ou non, volées, hackées, revendues sur le dark web et mettant à nu des personnalités politiques, des dirigeants, des magistrats… Dans cet environnement, il devient irresponsable de laisser des données stratégiques et sensibles, qu’elles émanent d’acteurs publics ou d’entreprises, circuler sans un minimum de règles et de contrôle.

    De son côté, le Règlement européen sur les données - Data Act - qui organise les conditions d’un marché européen de la donnée et entre en application en septembre 2025, change radicalement le paysage de la donnée et dessine un monde auquel juristes et ingénieurs devront porter toute leur attention pour éviter les stratégies franco-françaises forcément vaines.

    Enfin, un article récent paru dans Les Échos démontre que le croisement des données, combiné avec l’effet multiplicateur et incontrôlé des réseaux sociaux, constitue une menace de plus en plus flagrante pour les individus dans leur cadre professionnel, mais aussi pour les entreprises et les institutions (entreprises, régions, hôpitaux ou autres). Or, l’exposition de certaines données personnelles, dont la diffusion était obligatoire en vertu de la loi pour une République numérique ou de la transparence financière (nom des magistrats dans les jugements, adresse personnelle des dirigeants dans les statuts, etc.), devient trop dangereuse, ce qui doit inciter les producteurs publics à combattre cette montée exponentielle des risques liés à une ouverture non maîtrisée et non coordonnée de leurs données, par une anonymisation tous azimuts. Avec le risque que la donnée, ainsi ouverte, devienne incompréhensible…

    Lire aussi : ecologie.data.gouv.fr, le catalogue des données consacrées la transition écologique

    Dans ces conditions, faut-il encore ouvrir des données ? La réponse est bien entendu positive, même s’il devient évident que la cohabitation entre l’open data, d’une part, et les données sensibles ou données stratégiques, de l’autre, a vécu.

    Pourquoi devenir une organisation "data-driven" ?

    • pour une prise de décision éclairée et la possibilité de disposer d’un pilotage d’ensemble de l’organisation,
    • pour casser les silos entre les services : les données sont, la plupart du temps, disséminées, dans des formats différents, ce qui les rend incroisables et inexploitables,
    • pour réduire les cybermenaces (détournement, dépendance, vol, etc.),
    • pour respecter la conformité à tous les stades (RGPD, etc.),
    • pour innover, décider et agir/réagir plus vite,
    • pour mutualiser les investissements (data center, data space, etc.),
    • pour exploiter le potentiel des différentes intelligences artificielles (IA).

    Comment mettre en place une gouvernance ?

    L’équipe

    • il faut commencer par désigner comme pilote une personne très haut placée dans la hiérarchie et disposant de moyens d’arbitrage permettant de faire prévaloir ses vues,
    • l’équipe doit être aussi transversale que possible et réunir les différents services (communication, DSI, compliance, DPO, juridique, RH, comptabilité, finance, marketing, commercial…) tout en veillant à disposer de profils différents (ingénieurs, juristes, commerciaux, documentalistes…),
    • elle doit être astreinte à des reportings complets et loyaux, car, à ce stade, des erreurs ou des non-dits pourraient avoir des conséquences incalculables à moyen/long terme et, peut-être, irréversibles ;

    L’audit interne

    • il décrit la circulation interne et externe des données (workflow) : quels services produisent quelles données, pour quel usage, à quelles fins et partagées avec qui ?

    La “datamap”

    • elle permet de créer des typologies de données (données sensibles, données internes, données externes, régimes juridiques spécifiques…), une description du contenu et du format utilisés (Word, Excel, PDF, base de données, etc.) et les étapes de conformité juridiques et techniques existantes ou à créer,

    Lire aussi : Nouveau report pour la publication des décisions de justice en open data

    Le “ownership” de chaque type de données

    • on confiera à une personne dédiée et experte la responsabilité du cycle de vie de la donnée (collecte, traitement, diffusion interne ou externe, conformité…),

    Les modes de diffusion externe envisageables

    • open data : pas de redevance, pas de contrôle, licence de réutilisation des données "light". La diffusion se fait via une plateforme ouverte interne ou externe (comme data.gouv ou Opendatasoft, pour le secteur public, ou Dawex, pour le secteur privé),
    • diffusion encadrée : signature d’un contrat de licence préalable permettant de connaître l’identité des réutilisateurs (nationalité, forme juridique, siège, effectifs, CA) via une plateforme,
    • diffusion contrôlée : obligation pour le réutilisateur de décrire dans le contrat de licence l’usage qui sera fait des données. Possibilité d’audit préalable ou en cours de contrat,
    • dans tous les cas, un suivi de la diffusion est vivement conseillé.

    Exemples de données sensibles pour une entreprise

    1. données comptables, bancaires, financières,
    2. données RH,
    3. développement / R&D,
    4. retours clients,
    5. relation client (fichiers clients, CRM, usage, etc.),
    6. réponses aux appels d’offres,
    7. dépôt de brevets/marques en préparation,
    8. données de veille sur les marchés et les concurrents,
    9. bases de données de connaissances internes,
    10. captations via l’internet des objets (robots, caméras),
    11. données soumises à des régimes juridiques spécifiques (ex : NIS2, secret des affaires, droits de propriété intellectuelle, etc.).

    denis_berthault.jpgDenis Berthault
    [Codirecteur scientifique du Code du numérique ; par ailleurs, vice-président du gf2i et directeur du développement des contenus en ligne chez LexisNexis]

    0 Commentaire
    GP80
    Open data
    données
    données sensibles
    data
    Data gouvernance
    À lire sur Archimag
    Les podcasts d'Archimag
    Êtes-vous prêt pour la réforme de la facturation électronique ? À moins de 460 jours du grand lancement, l’écosystème se prépare activement. Lors de la Journée de la Facturation Électronique qui s'est tenue le 13 mai dernier à Paris, Archimag Podcast est allé à la rencontre des acteurs incontournables de cette réforme : les Plateformes de dématérialisation partenaires, ou PDP. Ensemble, nous avons parlé de leur rôle, de leurs spécificités, de leur modèle économique et de leur secret de longévité. Dans cet épisode, nous vous dévoilons qui sont ces acteurs et ce qu'ils préparent pour accompagner la réforme.
    Lire la suite...

    Serda Formations Data 2023