Anonymiser les données

Sans tapage médiatique, un nouveau défi se présente aux DSI. Avant la fin de l'année, ils devront se conformer aux modifications apportées à la loi Informatique et Libertés en 2004 ?" les décrets d'application viennent de sortir ?" sur le délicat sujet de la protection et de la sécurité des données personnelles. Le texte impose que chaque entreprise identifie et protège l'ensemble des données personnelles qu'elle manipule. Et, le cas échéant, puisse en rendre compte à la Cnil.L'obligation de garantir l'anonymat des informations concernant les personnes physiques s'applique tout au long du cycle de vie des données au sein de l'ensemble du système d'information. Protéger cet anonymat rend impossible l'utilisation de celles-ci à toute personne qui y aurait accès sans en avoir explicitement le droit.Concrètement, le DSI doit pouvoir identifier toutes les données sensibles concernées et les applications qui les exploitent, mais aussi définir les stratégies pour rendre les données anonymes, élaborer des processus adaptés et les mettre en ?"uvre. Sont impliqués les départements d'exploitation des services informatiques ainsi que les installations de production, d'étude, de test...La stratégie se complique lorsque les équipes de développement sont dispersées et distantes, quand des prestataires externes participent au projet, ou quand une partie du projet est externalisée. Les risques de non-conformité augmentent avec l'éloignement physique de la production si l'on travaille dans des pays à la législation moins contraignante qu'en France. Certes, quand ils tiennent compte de la loi, la plupart des responsables informatiques font signer des accords de non-divulgation ou limitent l'accès aux données confidentielles. Mais aucune de ces solutions ne paraît véritablement efficace et durable.En charge de la mise en conformité du système d'information et de ses processus, le DSI retiendra l'offre d'anonymisation des données la mieux adaptée à son métier et à ses exigences afin de disposer d'une solution globale, durable, sécurisée et pouvant faire l'objet d'un audit. De tels outils visent à industrialiser l'identification des données sensibles et à faciliter celle des applications et des environnements cibles. Ils servent également à déterminer les techniques d'anonymisation des données (chiffrement, remplacement, masquage), à analyser les effets de l'anonymisation sur les processus, et à assurer la permanence de la procédure tout au long du projet. Ainsi, ils fournissent la preuve que les données sont protégées.Ce type de projet se révèle exigeant. Mais l'obligation légale de 2006 l'est tout autant. Le choix de bons processus et de solutions automatisées, efficaces et compétitives simplifie les démarches à entreprendre. Et réagir suffisamment tôt pour se prémunir procure un double avantage. Le responsable se libérera de préoccupations juridiques contraignantes et pourra optimiser plus sûrement ses espaces de stockage. A l'arrivée, il bénéficiera datouts pour mieux démarquer son entreprise de ses rivales.