Vous ne savez pas de quoi je parle ? Je parle des demandes de consentement lié à vos données personnelles (PII) que vous recevez ici et là de vos sites web préférés. Beaucoup m’ont demandé : « Comment peut-on gérer autant de règlementation? ».
Revenir à la base !
Le risque d’être non conforme existe depuis la création des lois. Par exemple, à l’époque de Moïse, si les gens ne se conformaient pas aux 10 commandements (le Décalogue), ils risquaient les «foudres» théistes ou de ne pas accéder au paradis une fois notre dernière heure venue, tout dépend (ou pas) des croyances de chacun. Il en est de même pour la GDPR, la Norme de sécurité de l’industrie des cartes de paiment (PCI) ou la Health Insurance Portability and Accountability Act (HIPAA), il est possible de prendre le risque d’être non conforme.
Il n’y a que quatre manières de gérer ce type de risque : l’accepter et risquer la sanction, le mitiger/réduire et investir temps ou argent pour implanter un contrôle, le transférer et prendre une assurance par exemple (dans le cas de la règlementation, il est rare qu’un assureur accepte de vous assurer contre le non-respect de la loi ou sinon la prime sera salée) et enfin l’annuler.
Oui, il est possible d’annuler un risque. Dans le cas du risque d’être non conforme, l’annulation est la meilleure solution, ou du moins la plus efficace et la moins coûteuse à long terme.
Annuler un risque
Un risque est une perte potentielle d’une qualité (disponibilité, confidentialité, intégrité, flexibilité, mobilité…etc.) d’un actif, liée à l’impact dû à l’exposition (via une défaillance, par exemple) de cet actif à un agent de menace. En clair, dans le cas d’un incendie résidentiel : l’actif c’est la maison et son contenu, la menace c’est l’huile sur le feu, l’exposition (la défaillance) est l’absence de surveillance de cette casserole d’huile par un adulte responsable. Donc, l’annulation s’opère par la suppression de l’actif : la maison par exemple. Si vous n’avez pas de maison, vous n’avez ainsi aucune exposition à la menace et à son impact potentiel.
Je vois que vous commencez à comprendre où je vous emmène et j’entends déjà certains d’entre vous me dire que cette solution n’est tout simplement pas applicable car trop extrême. Eh bien, prenez le temps de réfléchir à cette option, parce qu’elle est viable.
La majorité des écosystèmes de données ayant obligé les entreprises à la conformité sont souvent des données non-capitalisables et inutiles du processus d’affaires réel. Nous n’avons juste pas appris à ne pas les collecter.
En effet, la dématérialisation de l’information, la facilité et l’augmentation des espaces de stockage informatique nous ont créé des travers de «boulimie d’information».
Nous collectons trop d’informations.
Par exemple, est-ce que les banques ont besoin de votre numéro d’assurance sociale ? La réponse est non, pourquoi le demandent-elles ? Par boulimie d’informations. Cette information n’est pas réellement capitalisable et sa collecte ne présente qu’un risque de perte ou de vol supplémentaire de cette information précieuse.
Selon l’étude annuelle du Ponemon Institute, une donnée au Canada vaut plus de 250$ en cas de perte ou vol, chaque information collectée sur un individu s’additionnant.
Plus votre dossier d’informations sur un même individu grossi (client, partenaire ou employé), plus le coût global du dit dossier augmente.
Ainsi, si vous collectez 20 types d’informations différentes identifiables sur un même individu, ce dossier vous coûtera plus de 5000$ en cas de perte ou vol. Combien avez d’employés ou de clients ?
Donc, moins vous collectez de données inutiles, moins vous devez vous conformer à des règles contraignantes, et moins lourde sera la facture quand la brèche arrivera. Le règlement GDPR donne aux citoyens européens le droit de réclamer à toute entreprise le consentement «explicite» et «positif», le droit à l’effacement, le droit de recevoir les données à caractères personnelles les concernant qu’ils ont fournies, le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, et le droit d’être notifiés, dès que possible, en cas de violations graves de données. PCI est la règlementation du consortium VISA, MASTERCARD, DISCOVER, JCB et AMEX pour la protection des données de cartes de paiement et HIPAA s’applique aux citoyens américains dans le cadre de la protection de leurs données de santé et d’assurance.
Rappelez-vous que noter une information règlementée sur un morceau de papier est une collecte d’information à part entière.
La solution est de débuter l’analyse de votre processus de collecte d’information afin de le rationaliser. Si vous n’avez pas besoin d’une information, ne la collectez pas. Ne tentez pas de gérer les cas d’exceptions ou les «On en aura besoin si ça arrive…», car cela vous poussera à collecter de l’information potentiellement règlementée et inutile pour votre processus d’affaires. Vous devez avoir un Mind Chart ou une architecture des informations règlementées de tiers (qui ne vous appartiennent pas) dont vous disposez et que vous avez à protéger. Diminuez votre responsabilité légale et de sécurité en limitant le volume de la collecte d’information et en rationnalisant son traitement. Ce faisant, vous limiterez également l’intérêt des cybercriminels à votre égard.