Données personnelles, danger - Numéro 457
01/05/2016
Toute entreprise a-t-elle un « patrimoine informationnel » ? Comment est-il valorisable ?
Christophe Bouguereau : Le patrimoine informationnel, défini comme l’ensemble des informations accessibles à l’entreprise et potentiellement utiles à son activité, ne peut se voir au travers du prisme comptable que dès lors qu’on lui attribue une valeur économique. Or l’information ne se valorise que lorsqu’elle devient connaissance, qu’elle est traitée. Si le problème de l’accès ne se pose plus – aujourd’hui même une TPE peut générer ou obtenir de très nombreuses informations –, la volumétrie et les temps d’analyse conduisent à de nouvelles interrogations, notamment sur la rentabilité des temps associés à ces chantiers.
Les outils de « relation client » (coupons de réduction, cartes de fidélité…) sont-ils protégés des prédateurs de données ?
C.B. : Oui et non. Les éditeurs de solutions sont forcément très attentifs aux questions de sécurité, les solutions en mode SaaS (logiciel en tant que service) proposent même des hébergements locaux, dans le pays de leur client, afin de le rassurer, mais aussi de se mettre en conformité avec les lois nationales. Par exemple, le donneur d’ordre peut exiger des audits de sécurité, ou certains hébergements de données peuvent être soumis à des agréments (autorités de santé par exemple). Cependant, quelles que soient les barrières techniques, la multiplicité des points d’accès rend les fuites probables. C’est parce que les donneurs d’ordres ou les fournisseurs en sont conscients qu’un maximum de garde-fous sont déployés. Chaque situation doit être analysée en termes de bénéfice et de risque. L’hyperprotection existe, mais elle a un coût.
Les données personnelles des consommateurs réunies dans les bases de données sont-elles suffisamment sécurisées ?
C.B. : Pas toujours. Surtout lorsque les bases sont en cours de création et les processus en cours de formalisation. La définition du rôle des différents acteurs peut rendre accessibles des données à des personnes qui ne devraient pas pouvoir les consulter. Bien sûr, il y a des piratages de bases, on imagine des génies de l’informatique qui cassent les codes, mais c’est plus souvent la négligence qui ouvre les données à des tiers. Les mots de passe cachés sous les claviers, réunis sur des pense-bêtes adhésifs ou dans des fichiers « password.xls » rendent bien des bases de données accessibles à n’importe quel stagiaire ou individu de passage sur le réseau de l’entreprise.
Quelles bases de données sont le plus exposées : celles des marques, ou des prestataires ?
C.B. : Il n’y a pas de réponse catégorique. La première serait de dire qu’une base hébergée en interne bénéficie d’un maximum de sécurité ; dans les faits ce n’est pas toujours le cas. Par méconnaissance des procédures, par une sensibilisation insuffisante des salariés, la marque peut se mettre en difficulté, alors qu’un bon contrat engagera formellement le prestataire sur les aspects de sécurité.
Comment définir la sensibilité des données et les niveaux de sécurité ?
C.B. : Deux réponses simples. D’abord, en se conformant à la loi ! Ensuite, par la capacité à donner de la valeur à la donnée ; valeur économique bien sûr, mais surtout valeur en termes d’avantage concurrentiel. 1. Aussi fondateur de MDC (Maison du client), société d’expertise en stratégie client.
Propos recueillis par J. W.-A.