Organiser efficacement la gestion de ses données pour en assurer le traitement rationnel

Chaque jour, les entreprises modernes doivent gérer d’énormes volumes de données. Grâce au traitement électronique de l’information (TEI), la collecte et l’organisation des informations ne sont plus un problème. Les données personnelles des clients peuvent être enregistrées dans des bases de données et la gestion du personnel peut être automatisée. Le seul besoin est de fournir une quantité suffisante de données à l’ordinateur. Des algorithmes élaborés s’occupent ensuite de les traiter.

Cependant, l’expansion des réseaux et l’augmentation du volume de données font apparaître de nouveaux défis. Plusieurs employés d’une même entreprise doivent pouvoir accéder, parfois simultanément, à la même base de données. Les données ne doivent pas être enregistrées plusieurs fois et doivent rester accessibles en permanence. Par ailleurs, elles doivent être protégées contre toute perte liée à des défauts matériels ou de mauvaises manipulations, ainsi que contre les cyberattaques menées par des hackers ou des voleurs de données. Des aspects juridiques doivent également être respectés, tels que les périodes de rétention, les déclarations de consentement à l’enregistrement des données personnelles et la nomination de délégués à la protection des données.

La complexité de ces questions a donné naissance à une nouvelle discipline informatique : le « data management », ou gestion des données en français. Ce domaine est également devenu un objet d’étude pour la recherche, baptisé la science des données (« data science » en anglais). Elle couvre, entre autres, le stockage et la mise en relation rationnels des données, ainsi que la recherche au sein de bases de données volumineuses.

La gestion des données (ou « data management ») impose certaines exigences concernant la manipulation des données numériques. Elle désigne un processus plutôt que des actions individuelles. Dès leur collecte et/ou saisie, les données doivent être organisées. Dans ce contexte, la minimisation et la qualité des données sont deux facteurs essentiels à prendre en compte. Au-delà de la nécessité de protéger les contenus, les données doivent avant tout pouvoir être utilisées aux fins spécifiques énoncées pour leur collecte. Tous les efforts doivent être déployés pour garantir leur parfaite adéquation aux tâches de l’entreprise. Il faut également se demander combien de temps les différentes données doivent être archivées. Identifier rapidement les données inutiles et les supprimer en toute sécurité est aussi important que garder les données utiles.

Pour bien planifier la gestion des données, il faut dans un premier temps s’interroger sur les types de données à traiter. Leur classement en catégories peut ainsi faciliter leur traitement systématique et éviter les oublis :

• Données personnelles : il s’agit des informations qui se rapportent directement aux personnes, telles que leur nom, leur numéro de téléphone et leur adresse. Elles comprennent également les données de mesure et les habitudes d’achat. Ces informations peuvent concerner des clients, des employés, mais aussi des tiers. Elles bénéficient d’une protection particulière.
• Données commerciales sensibles : il s’agit des données internes des entreprises, telles que les chiffres comptables, les documents fiscaux et les secrets commerciaux : autant d’informations dont la gestion revêt un intérêt particulier pour les entreprises. Il est judicieux de définir précisément quelles informations sont concernées dans le cadre d’une politique de gestion des données.
• Données secondaires : il s’agit des données générées dans le cadre d’une activité qui vise un autre objectif. Exemple : les bandes de vidéosurveillance, laquelle sert d’abord à lutter contre les effractions et les vols. Il arrive qu’elles contiennent des images faisant apparaître les plaques d’immatriculation des véhicules des clients. Citons également les fichiers-journaux (logs) enregistrés sur les réseaux d’entreprise, qui enregistrent les adresses IP des visiteurs.
• Données publiques : il s’agit des données volontairement rendues publiques, telles que les informations présentes sur les sites Internet et les brochures d’entreprises. Le respect des lois sur le droit d’auteur et la protection de ses propres données, qu’il s’agisse de photos, de slogans publicitaires ou de logos, sont ici essentiels. Ces derniers peuvent être protégés par la loi sur les dessins et modèles.

La gestion des données doit intégrer toutes les étapes du processus, de la collecte des données à leur archivage ou suppression, et ce, le plus efficacement possible. Elle s’applique à toute la « durée de vie » des données. On parle également de « data lifecycle management (DLM) » (gestion du cycle de vie des données).

Le traitement des données commence par leur collecte. L’accent est ici mis sur la minimisation des données : seules les informations strictement nécessaires doivent être collectées. Cette obligation a été inscrite dans le Règlement général sur la protection des données (RGPD). En vertu de celui-ci, les données ne peuvent être traitées qu’avec l’accord de la personne concernée ou si des obligations légales doivent être remplies, pour l’élaboration de contrats par exemple.

La saisie est le moment le plus propice pour assurer la qualité des données. Une capture minutieuse limite le nombre de demandes ultérieures et les corrections inutiles. Par ailleurs, il est important d’enregistrer les informations directement dans le format auquel elles seront utilisées par la suite. En effet, tout transfert ou conversion comporte un risque d’introduction d’erreurs dans la base de données.

Il est déterminant de bien sélectionner le lieu de stockage des données et le format. Outre le disque dur local, une sauvegarde dans le cloud peut être envisagée. Ces deux solutions présentent des avantages et des inconvénients. Le stockage local peut être protégé plus facilement contre les accès non autorisés. A contrario, le stockage dans le cloud est à la fois plus évolutif et plus résistant aux pannes. Pour les données critiques, l’idéal est d’employer une solution hybride.

Pour les données très volumineuses, les bases de données s’imposent comme la meilleure option de stockage. En cas d’utilisation de logiciels spéciaux, par exemple de comptabilité ou de gestion des stocks, la question du lieu de stockage ne se pose pas. Néanmoins, il convient de garantir une compatibilité avec certains systèmes externes et des moyens d’exportation afin de permettre la réalisation d’audits par l’administration fiscale.

La sécurité est un thème aussi important que complexe dans le domaine de la gestion des données. Les données doivent être protégées contre toute perte, toute modification involontaire et tout accès non autorisé. La Commission Nationale de l’Informatique et des Libertés met à disposition des informations utiles très complètes en la matière. Mis à jour régulièrement, son site internet détaille méthodiquement les risques informatiques qui nous guettent. Outre ces risques, il présente des processus modulaires de protection. Ce recueil est disponible gratuitement. Un autre avantage est que de nombreuses certifications issues de la norme ISO 27001 (dont celle sur la sécurité de l’information) en découlent.

Les risques potentiels sont :

• dommages matériels dus à un incendie, un dégât des eaux ou une surtension ;
• perte de données due à une mauvaise manipulation ;
• perte de données ou défaillance de systèmes due à des logiciels malveillants (logiciels d’extorsion) ;
• perte de données due à des défauts logiciels (bugs) ;
• perte de données due à un vol.

En réponse à ces différents risques, les solutions mises en œuvre vont des mécanismes de protection logiciels aux dispositifs physiques, comme les alarmes anti-incendie et anti-intrusion.

Pour éviter toute mauvaise surprise, il est conseillé de suivre les principes suivants :

• Mises à jour régulières. Il convient d’évaluer les avantages et les inconvénients des modes de mise à jour automatisée et manuelle. L’avantage des mises à jour automatisées est qu’on ne risque pas de les oublier. Quant aux mises à jour manuelles, elles permettent d’éviter toute mise à jour erronée.
• Mots de passe sécurisés. Il existe ici différentes stratégies. Il est intéressant d’obliger les employés à choisir des mots de passe complexes. Il est également judicieux de programmer une modification régulière des mots de passe. En revanche, combiner l’utilisation de mots de passe complexes à leur modification fréquente peut amener les employés à écrire leurs mots de passe sur papier et à les conserver à leur poste de travail.
• Stratégie de sauvegarde. L’un des points les plus importants reste, sans aucun doute, la stratégie de sauvegarde. Les données doivent être sauvegardées régulièrement et de la manière la plus exhaustive possible, sur des supports distants. La sauvegarde des bases de données présente un défi particulier. Il n’est pas toujours possible de copier des fichiers ouverts en cours d’exploitation. La sauvegarde doit alors se faire à partir de l’application utilisée ou d’un logiciel spécial, tel que MySQLDump.
• Antivirus/pare-feu. Tous les systèmes informatiques doivent impérativement être équipés d’un antivirus à jour. Selon la complexité du réseau, il est conseillé d’utiliser aussi un pare-feu et un système de détection d’intrusion.

Il est préférable d’automatiser les sauvegardes. Dans le cas contraire, elles risquent de ne pas être exécutées par manque de temps, par oubli... voire par fainéantise. Les données importantes doivent être enregistrées de manière incrémentielle, c’est-à-dire en plusieurs versions. Cela signifie, dans un premier temps, que seuls les enregistrements modifiés sont sauvegardés. Cependant, les versions antérieures doivent également, dans la mesure du possible, être conservées pendant un certain temps pour permettre une restauration des données en cas de suppression involontaire.

Un sujet d’actualité est la protection des sauvegardes archivées. Les logiciels d’extorsion tentent de compromettre le support de stockage auquel ils s’attaquent en chiffrant les données. Si la sauvegarde se trouve sur un système de stockage réseau relié ou sur un support externe, elle peut aussi être chiffrée. Un système limitant l’accès aux utilisateurs peut aider à s’en prémunir, tout comme une implication temporaire des supports de stockage pendant la sauvegarde.

Il ne faut pas confondre la protection des données avec la sécurité des données, quand bien même les deux concepts se recoupent. L’objectif est ici d’empêcher toute personne non autorisée d’accéder à des données confidentielles. Pour cela, il convient d’une part de prévenir tout accès extérieur, ce qui exige de prendre des mesures pour garantir la sécurité des données. D’autre part, il faut restreindre l’accès interne aux données personnelles. À cette fin, le logiciel utilisé doit posséder une fonction de gestion des droits. L’accès peut alors être interdit à certains employés, partiellement ou totalement. Le transfert et le stockage chiffrés des données offrent un niveau de protection supplémentaire. Les données sensibles sont ainsi protégées contre tout accès matériel, que ce soit en cas d’effraction ou par un employé non autorisé.

Dans la mesure du possible, la gestion des données doit être intégrée intuitivement aux processus de l’entreprise. En effet, cela permet de maximiser son acceptation par les employés, et donc son efficacité. Certains des objectifs présentés offrent également des avantages en termes d’augmentation de l’efficacité. La collecte de données inutiles prend du temps et peut exaspérer les clients. L’enregistrement ordonné et sûr des données accroît la productivité.

Chaque entreprise peut donc profiter de la mise en œuvre d’une politique de gouvernance des données stipulant comment les données doivent être traitées en son sein. Cette politique peut notamment aborder la qualité des données et les possibilités d’amélioration de leur traitement par le biais de corrections automatiques. Elle peut aussi définir des concepts communs.

L’archivage des données qui ne sont plus utilisées fait également partie des tâches des entreprises. Cela concerne les données soumises à une obligation de conservation légale, à l’instar des factures et dossiers fiscaux. En ce sens, cet aspect doit faire partie intégrante d’un concept de gestion des données.

Le stockage séparé peut présenter un avantage. Il permet de minimiser le volume des données actuellement sauvegardées tout en garantissant la protection des données. Il convient de noter que tous les supports de stockage ne conviennent pas à l’archivage des données. Il faut par exemple brancher régulièrement les disques durs pour s’assurer qu’ils fonctionnent. Les supports de données optiques, comme les CD, sont sensibles aux influences extérieures et possèdent une durée de vie limitée. Les lecteurs de bandes magnétiques sont une solution optimale. Les coûts d’acquisition de ces lecteurs sont peut-être élevés, et leur usage peu commode, mais les bandes de sauvegarde ont l’avantage d’être bon marché et très durables.

Les données devenues inutiles doivent être supprimées. C’est aussi un bon moyen de se décharger de la responsabilité de leur sécurité. Un bon outil de gestion des données doit offrir la possibilité de sélectionner et supprimer séparément ces données. Les données personnelles, en particulier, doivent être supprimées en toute sécurité.

Les fonctions de suppression des systèmes d’exploitation autorisent généralement l’écrasement de ces données mais non leur suppression définitive. Les données continuent d’exister sur le disque dur jusqu’à ce que l’emplacement de stockage soit utilisé de manière aléatoire et qu’elles soient ainsi écrasées.

Outre les prescriptions du RGPD, d’autres directives s’appliquent aux entreprises pour garantir la protection des données. En cas de manquement donnant lieu à un usage abusif de données personnelles, le propriétaire ou le délégué peut être tenu responsable. Les organismes ou les autorités publiques, les entreprises qui procèdent à un suivi à grande échelle de personnes et les entreprises qui traitent des données personnelles ont l’obligation de nommer un délégué à la protection des données.

L’organisation de la gestion des données dépend de la taille de l’entreprise. Sur le marché, différentes approches de solutions intégrées sont disponibles. Certaines se concentrent sur l’analyse et l’exploitation optimale des données, à des fins publicitaires par exemple. D’autres visent à augmenter la productivité en faisant usage de toutes les données disponibles. Voici quelques exemples :

• Enterprise Resource Planning Systems (ERP, progiciels de gestion intégrée). Ces systèmes offrent une approche globale, qui couvre toutes les ressources de l’entreprise, à savoir le personnel, les équipements et les matières premières. Les fournisseurs les plus connus sont SAP, Sage, Oracle et Microsoft. Il existe également des solutions gratuites, comme Odoo et OpenZ.
• Master Data Management (gestion centralisée des données de référence). Ces systèmes servent à la centralisation et au traitement des données de référence d’une entreprise. Ces données comprennent les données sur les employés, les clients, mais aussi les équipements. L’objectif est de parvenir à une qualité uniforme des données pour en améliorer l’exploitabilité. Cette approche est surtout suivie par les systèmes ERP.
• Content Management Systems (CMS, systèmes de gestion des contenu). Ces systèmes servent principalement à gérer de l’information, et peuvent par exemple prendre la forme d’un site Intranet centralisé pour toute l’entreprise. En raison de leur grande flexibilité, d’autres usages, comme la gestion des formulaires et l’intégration de bases de données, sont également possibles.
• Systèmes de gestion documentaire (DMS). Ces systèmes, qui s’inscrivent dans la gestion de données, fournissent des formulaires et offrent des fonctions de stockage et d’archivage.

La gestion des données est un processus dynamique qui nécessite un ajustement constant aux exigences de l’entreprise. Cela pose de nombreux nouveaux défis.

Les volumes de données ne cessent de croître, imposant des exigences élevées en termes d’évolutivité des capacités de stockage et de sauvegarde, ainsi que pour le classement et l’accessibilité des données recherchées. Plus l’entreprise collecte de données, plus la minimisation de ces données joue un rôle prépondérant. Il faudra donc mettre l’accent sur le filtrage des informations pour se concentrer sur les plus importantes.

Les responsables de réseaux sont chaque jour confrontés à de nouveaux risques. Le vol d’informations par ingénierie sociale et le rançonnement au moyen des logiciels d’extorsion n’en sont que quelques exemples. Plus une entreprise numérise ses bases de données, plus elle devient dépendante du bon fonctionnement du système qu’elle utilise. C’est pourquoi il est indispensable de rester en permanence informé des nouveaux risques et de prendre ses dispositions pour parer à une panne matérielle ou une perte d’accès à ses systèmes.

L’introduction du RGPD a apporté son lot d’incertitudes et contraint les entreprises à faire de gros efforts. Pourtant, il n’est pas improbable que d’autres directives du même genre voient le jour ou que des modifications des lois en vigueur imposent des changements supplémentaires. Ce qui pourra affecter le concept de gestion des données des entreprises.

La gestion des données doit tenir compte des changements de structure ou de processus d’une entreprise. Un moyen de s’y préparer est de recourir à des systèmes extensibles ou faciles à migrer. Dispenser des formations régulières à ses employés sur la gouvernance des données au sein de l’entreprise est une mesure supplémentaire qui peut être prise.

La question de la gestion des données demande d’y passer du temps et peut vous empêcher de vous concentrer sur votre cœur de métier. Cependant, si vous réfléchissez aux différentes mesures présentées, vous noterez qu’elles sont à la fois nécessaires et judicieuses. Elles vous aideront à respecter les directives légales, à améliorer la sécurité de vos données et bien mises en place, à augmenter l’efficacité de vos processus de travail. Votre temps sera donc bien investi.