Nous avons interviewé notre adjoint RSSI chez ARCAD Software, qui est aussi Solution Architect sur la partie DOT Anonymizer :
[Nar.] Pourquoi l’anonymisation des données est-elle primordiale pour les entreprises ?
[R.A.] L'anonymisation des données est un élément très important pour une entreprise, puisqu'il s'agit de protéger les données de nos clients et de notre personnel interne. L'anonymisation est le meilleur moyen d'y parvenir, car on vient modifier la donnée. On l'altère pour qu'elle ne soit plus utilisable par la suite. C’est pour ça que c'est important d'autant plus qu'elle permet également d’éviter des sanctions.
[Nar.] Pourquoi est-il important de sensibiliser à la cybersécurité au sein de son entreprise ?
[R.A.] La sensibilisation à la cybersécurité est extrêmement importante, parce que c'est l'un des risques majeurs auxquels les entreprises sont confrontées aujourd'hui. On voit de plus en plus de cyber-attaques détruire une entreprise, altérer toutes les données et tout le processus de fabrication, comme un blocage de machine. C’est pourquoi on considère que c’est vraiment quelque chose de primordial. Nous allons pouvoir protéger l'entreprise et sa pérennité en sensibilisant les utilisateurs, car c'est la principale vulnérabilité d'une entreprise.
[Nar.] Qu’a changé l’avènement du RGPD pour les entreprises en termes de protection des données ?
[R.A.] L'avènement du RGPD a apporté une nouvelle prise de conscience sur ces sujets. On va devoir protéger tous les utilisateurs et toutes les personnes individuellement. Et en fait, le RGPD a vraiment apporté une dimension de citoyen européen. C'est-à-dire que même dans une entreprise américaine, un citoyen européen doit voir ses droits appliqués. C'est une loi qui a un impact sur le monde entier, et plus seulement en France comme la loi Informatique et Libertés.
[Nar.] Quel est le danger pour les entreprises en cas de non-respect du RGPD ?
[R.A.] Le danger est qu'en cas de non-conformité, vous êtes obligé de la déclarer aux autorités compétentes, en France notamment à la CNIL. Ça va forcément engendrer une perte de confiance dans votre image auprès de vos utilisateurs. La CNIL peut aussi déclencher des sanctions derrière qui peuvent aller jusqu'à 4% du chiffre d'affaires mondial ou 20 millions d'euros.
[Nar.] Quelle est la durée de conservation des données dans une entreprise ?
[R.A.] En ce qui concerne la conservation des données, il y a plusieurs cas de figure. Il y a la base de données active. C'est la liste de nos prospects et de nos clients actuels. Ensuite, pour des contraintes plus spécifiques, nous avons des notions d'archivage. Pour tout ce qui concerne la facturation, c'est cinq ans. Et ensuite, nous avons des durées d’archivages beaucoup plus longs pour tout ce qui est réglementaire. Là, ça peut aller de dix ans jusqu'à indéfiniment.
[Nar.] Quel est le droit à l’oubli ?
[R.A.] Le droit à l’oubli, c'est la possibilité pour un ressortissant européen de demander à une entreprise d'effacer toutes les données le concernant. En fait, on repartirait de zéro vis-à-vis de cette entreprise. Par exemple, on peut demander à Facebook de nous transmettre toutes les données qu'ils ont collectés sur nous et aussi de les effacer par la suite.
[Nar.] Dans quel contexte les entreprises doivent-elles anonymiser leurs données ?
[R.A.] Les données doivent être anonymisées tout simplement dès qu'elles sont en dehors de la production. La production, c'est l'environnement sur lequel on travaille. Dès qu'on va sortir de cet environnement pour faire du test ou pour faire de la BI, du machine learning, de la formation, on se doit de travailler sur de la donnée anonymisée parce que ces personnes ne sont pas habilitées à voir de la donnée réelle.
[Nar.] Comment gérer au mieux un projet d’anonymisation ?
[R.A.] Pour réaliser un projet d'anonymisation, il faut impliquer tous les acteurs qui vont utiliser ces données, aussi bien ceux qui sont à la source de ces données que ceux qui vont les recevoir derrière. Une fois que l’on a tout cela, on va dire tenir un cahier des charges avec noté : « Je veux anonymiser telle donnée de telle façon ». À partir de là, on a vraiment tout le descriptif de notre projet et ensuite il ne reste plus qu’à s'équiper d'un outil qui va nous permettre de réaliser cette anonymisation.
[Nar.] Comment DOT Anonymizer répond à tous ces enjeux en termes d’anonymisation des données personnelles ?
[R.A.] L'avantage de DOT Anonymizer est de nous affranchir de la partie technique. Nous avons décrit au préalable notre besoin dans un cahier des charges. DOT Anonymizer n'est juste qu’un outil de traduction du langage métier vers la technique. Tout ça de façon simple et efficace. Nous allons pouvoir définir exactement ce qu'on souhaite faire et DOT Anonymizer va le faire pour nous. Le tout en gardant une cohérence aussi bien dans nos bases de données que sur le plan fonctionnel, c'est-à-dire en respectant toutes nos contraintes d'intégrité.