Vous trouverez ici cinq articles sur le GDPR et les données qui peuvent vous inspirer et aider votre organisation à progresser.
Vous pouvez toujours prendre rendez-vous avec moi directement ICI, ou m'écrire à abs@dataandmore.com si vous souhaitez en savoir plus ou collaborer avec nous.
.
Andreas Strøbek, partenaire, Data & More
PS : Si vous vous interrogez sur votre compliance avec GDPR - nous vous offrons un scan gratuit de vos données (voir à la fin du texte).
A : Maîtrisez-vous vos systèmes de partage de fichiers ?
Vous manquez d'informations sur le contenu de vos systèmes de partage de fichiers ? Êtes-vous préoccupé par les violations de données ou les rapports à l'Autorité suédoise de protection de la vie privée (IMY) ? Voulez-vous vous assurer que vous êtes en conformité avec la législation dans ce domaine ?
Peu de gens peuvent en toute conscience être d'accord avec les affirmations suivantes :
- Nous ne stockons pas de données illégales.
- En cas de violation de données sur nos systèmes de partage de fichiers, nous savons exactement quelles données (personnelles) ont pu être exposées.
- Si nos systèmes de partage de fichiers font l'objet d'une attaque par ransomware, il n'y a aucun risque que les secrets de notre entreprise soient volés.
- Si nous sommes soumis au contrôle de l'Agence suédoise de protection de la vie privée, nous pouvons rapidement trouver les données pertinentes dans notre système de partage de fichiers.
Le partage de fichiers est comme une grande cave : Il n'est jamais nécessaire de faire le ménage, car il y a toujours de la place pour un autre carton. Année après année, la cave se remplit de nouveaux cartons, jusqu'à ce que certains cartons soient là depuis si longtemps que personne ne sait plus ce qu'ils contiennent, ni qui les a mis là.
Puis sont arrivés le GDPR, le Ransomware et les violations de données. Dans l'ensemble, il est nécessaire de nettoyer tout l'héritage et la dette accumulés, auxquels nous avons contribué ensemble année après année.
Malheureusement, le problème est bien plus important qu'on ne le pense. Data & More gère quotidiennement plus de 2 000 000 000 d'ensembles de données (feuilles Excel, PDF, documents Word, PowerPoints, etc.) pour aider les organisations à se conformer à la législation et à garantir le respect des données. Il s'avère que 3 à 7 % de toutes les données en dehors des systèmes de ressources humaines, de gestion des dossiers et de finances sont illégales et devraient être supprimées.
3-7% peut sembler peu, mais lorsqu'une organisation de 100 employés possède environ 150 000 ensembles de données illégales, vous comprenez l'ampleur du problème (multipliez le nombre d'employés si vous en avez plus...). Et un seul ensemble de données (par exemple, une feuille Excel) peut contenir un grand nombre de données personnelles et d'informations sensibles. Voici quelques exemples concrets :
- Une grande compagnie d'assurance et de retraite possédait dans son système de partage de fichiers une feuille Excel vieille de cinq ans contenant des informations sur ses clients, des informations financières, des maladies, des informations familiales, des numéros de sécurité sociale, etc. Il s'agit de données profondément personnelles et sensibles concernant des centaines de milliers de personnes, auxquelles tous les employés ont eu accès pendant des décennies.
- Ou que dire d'une municipalité qui, dans le cadre de la détermination de son budget annuel, avait d'anciens fichiers Excel contenant des informations sur les enfants handicapés de la municipalité et les coûts y afférents, qui se trouvaient dans le partage de fichiers communs.
- Ou encore l'entreprise qui a sauvegardé des photos de passeports et de permis de conduire d'anciens clients, qui auraient dû être supprimées depuis longtemps.
Je pourrais continuer, mais le fait est que, par respect pour les données des autres, nous devrions veiller à nettoyer nos données avant de les partager avec d'autres - ou de les mettre en vente. Il ne s'agit pas d'un problème qui disparaîtra de lui-même.
Heureusement, il existe des solutions qui peuvent aider à faire le gros du travail, car le nettoyage manuel est une tâche impossible. Par exemple, en utilisant un scanner de données pour scanner automatiquement les données, il est possible d'obtenir un véritable aperçu de ce que contient exactement le système de partage de fichiers, sans stresser les employés. De cette manière, vous attirerez au moins l'attention de la direction et vous obtiendrez, avec un peu de chance, son soutien pour résoudre le problème. Après tout, il s'agit de nos propres données.
B : Vers le stockage en nuage ?
Si vous envisagez de transférer vos données vers un système de stockage en nuage (ou de changer de plateforme), il est judicieux de supprimer les données dont vous n'avez plus besoin ou que vous n'avez plus le droit de stocker. Nettoyer les données anciennes et inutiles n'est pas seulement la chose logique à faire - il y a en fait un certain nombre de bonnes raisons de le faire. En voici quelques-unes :
1 - Vous économisez de l'argent
Tout d'abord, le nettoyage permet d'économiser de l'argent. Les services en nuage coûtent de l'argent - et le prix est souvent basé sur la quantité de données que vous stockez et la fréquence à laquelle vous y accédez. Si vous faites le ménage et supprimez toutes les anciennes données dont vous n'avez pas besoin, vous aurez moins de données à déplacer. Cela signifie que les coûts sont moins élevés lorsque vous déplacez vos données et pour le stockage proprement dit dans le nuage. Pensez-y comme si vous n'aviez pas à payer de loyer et à stocker des choses que vous n'utilisez jamais de toute façon.
2 - Pour le bien de l'environnement
Le déplacement et le stockage des données vont au-delà de l'environnement. Toute manipulation ou stockage d'un courriel, d'une pièce jointe, de fichiers sur des lecteurs de fichiers, etc. nécessite de l'énergie. La quantité de Co2 dépend de plusieurs facteurs, mais selon le livre de Berners Lee "The Carbon Footprint of Everything", la quantité de Co2 est comprise entre 30 gr et 5 kg pour seulement 100 courriels... Faites ensuite le compte du nombre de courriels que vous avez - et n'oubliez pas vos données sur le partage de fichiers.
3 - Réduire les risques pour l'entreprise
Le stockage d'anciennes données présente un risque élevé pour l'entreprise, car elles contiennent souvent des données personnelles sensibles et des données critiques pour l'entreprise. La conservation de ces données, dont vous n'avez plus besoin et qui sont stockées au mauvais endroit, ou qui peuvent même être profondément illégales selon l'Autorité de protection de la vie privée, représente un risque commercial important. De nombreux rapports adressés à l'autorité de protection des données proviennent en fait des employés eux-mêmes, qui sont loin d'être satisfaits de la manière dont l'organisation (la direction) donne la priorité à compliance en ce qui concerne la législation. Et s'il y a une violation de données et qu'il n'y a pas de vue d'ensemble des données de l'organisation, cela peut aboutir à ce que beaucoup de vos et de mes données soient soudainement vendues.
4 - Faites-le efficacement et gagnez du temps
Souvent, le nettoyage n'est pas fait parce qu'il prend trop de temps. Et dans une vie quotidienne bien remplie, ce n'est pas exactement ce qui figure en haut de la liste des choses à faire. Mais la demande d'effacement formulée par l'autorité suédoise de protection des données a entraîné l'apparition de nouveaux types de solutions sur le marché - des solutions capables de scanner, d'identifier et d'effacer efficacement les données, soit en incluant l'employé, soit automatiquement, selon la manière dont vous souhaitez gérer l'effacement. Et si vous considérez le temps que vous gagnez en tant qu'organisation, il s'agit souvent d'une bonne solution à un problème autrement ennuyeux et difficile.
5 - Réduisez le temps nécessaire au transfert de vos données
Plus vous avez de données, plus il vous faudra de temps pour les déplacer. En vous débarrassant des données dont vous n'avez pas besoin, vous pouvez accélérer l'ensemble du processus. Cela signifie moins de temps d'arrêt pour votre organisation et une transition plus rapide vers le nouvel ensemble.
6 - Se souvenir de toutes les données, et pas seulement de celles qui se trouvent en surface
Vous devez contrôler toutes vos données, et pas seulement celles qui sont faciles à effacer. Il peut y avoir beaucoup de données à supprimer dans les courriels, les pièces jointes au format PDF, les images, les feuilles Excel et, bien sûr, les documents ordinaires. Une simple présentation Powerpoint avec de jolis graphiques et des propositions de budget pour 2019 peut, par exemple, contenir une feuille intégrée avec toutes les dépenses de la municipalité (y compris les numéros de sécurité sociale et des informations détaillées) concernant les citoyens handicapés de la municipalité.
7 - Établir les rôles et les responsabilités en matière de données
Le transfert des données dans le nuage est également une bonne occasion de mettre de l'ordre dans vos données. Au fil du temps, votre lecteur de fichiers est certainement devenu un fouillis de fichiers obsolètes, de doublons, d'erreurs d'emplacement, etc. En nettoyant vos données avant de les transférer, vous vous assurez que seules les données pertinentes sont transférées, mais vous devez également définir les rôles et les responsabilités en matière de gestion des données.
8 - Éviter que tout soit vrai
Dans le cadre du déménagement, vous devez bien entendu avoir mis en place des méthodes et des outils, et avoir attribué des responsabilités afin de vous assurer que cela ne se reproduise pas. La Suède est un pays largement numérisé et la quantité de données dans les organisations augmente chaque jour.
En quelques mots, nettoyez vos données avant de les transférer dans le nuage : c'est logique, vous gagnez du temps et de l'argent et c'est bon pour l'environnement. Enfin, déterminez les mesures nécessaires pour que cela ne se reproduise pas. Nous avons la responsabilité commune de nous débarrasser de notre ancien héritage et de nos dettes, même dans une vie quotidienne bien remplie. Après tout, il s'agit en grande partie de vos données et des miennes.
C : Réussir avec Microsoft Purview
De nombreuses personnes essaient Microsoft Purview pour mieux gérer leurs données, mais doivent renoncer à l'utiliser après un certain temps. Mais il y a de l'espoir ! Les plus grands défis posés par Purview peuvent être résumés en quelques phrases - et heureusement, ils peuvent tous être résolus :
Dans Purview, vous devez construire et maintenir vous-même un moteur de recherche complexe, qui aura toujours un taux d'erreur élevé - et qui est également incroyablement lent pour rechercher des données. Et en cas d'erreurs ou de changements, vous devez tout recommencer. Toutes les données pertinentes ne peuvent pas être traitées par Purview - et lorsque vous souhaitez finalement supprimer les données, vous les supprimez aveuglément sans savoir si Purview l'a fait correctement.
Ces domaines constituent souvent des obstacles pour les organisations qui veulent contrôler leurs propres données. J'ai donc formulé les points qui posent problème à Purview et les solutions disponibles.
Où se situe donc l'échec de Purview ?
1. Mauvaise identification des données
Purview est livré avec des recherches prédéfinies. Elles sont loin de répondre aux besoins et ne sont pas non plus très précises. Vous devez donc configurer vous-même les milliers de types de recherche nécessaires pour vous conformer, par exemple, au GDPR et bientôt à NIS2. Ce n'est pas rédhibitoire, mais c'est un travail énorme qui nécessite toute une équipe d'experts linguistiques et de consultants en systèmes de gestion de la sécurité. Pour chaque langue utilisée dans l'organisation, il faut bien sûr créer un ensemble distinct pour cette langue. Il faut également veiller à ce que, par exemple, un numéro de série allemand ne soit pas confondu avec le numéro d'identification personnel danois. Malheureusement, la complexité d'une recherche précise est à la fois une tâche énorme et un facteur essentiel de réussite.
2. Numérisation très lente
Purview est un scanner de données (extrêmement) lent - vous pouvez donc facilement attendre des années pour que vos données soient scannées. Si vous avez 250 employés avec environ 100 000 fichiers de données chacun (courriels, pièces jointes, fichiers, etc.), il faudra environ 365 jours pour scanner toutes les données (multipliés si vous êtes plus nombreux). Et il ne s'agit que d'une analyse. Étant donné que vous ne pouvez effectuer qu'une seule analyse d'une durée de 7 jours à la fois, la réalisation de l'analyse de toutes les données devient également un processus lourd en projets.
3. Un nouveau balayage est souvent nécessaire
Bien entendu, vous devez adapter vos recherches lorsque, par exemple, vous connaissez mieux vos propres données, lorsque vous savez mieux ce que vous voulez rechercher, si vous voulez minimiser les faux positifs, etc. Chaque modification nécessite une nouvelle analyse de toutes les données de l'organisation (voir ci-dessus).
4. Étiquetage - mais seulement pour quelques données
L'étiquetage est une fonction essentielle de Purview. Il est donc important que les données correctes soient marquées d'une étiquette afin qu'elles puissent être traitées correctement par la suite. Cependant, Purview ne peut scanner et étiqueter qu'un nombre limité de données. Le reste des données de l'organisation n'est donc pas marqué.
5. Nettoyage avec les yeux fermés
Peu de gens osent effacer leurs données les yeux fermés sans savoir exactement ce qu'ils suppriment (des données qui sont même souvent mal sélectionnées). C'est pourtant ce qui se passe sur le site Purview. L'employé/le propriétaire des données n'est pas impliqué - et la décision de lancer l'effacement est prise par une équipe centralisée. En soi, cela peut avoir d'énormes conséquences commerciales lorsque des données importantes sont perdues.
Cela dit, il est possible de continuer à Purview, d'augmenter le nombre de lancements et de réussir :
Data & MoreLa solution de Purview permet de relever tous ces défis (et bien d'autres) là où n'est pas à la hauteur. Par exemple, vous pouvez utiliser la solution de Data & Morecomme une solution autonome ou comme une solution complémentaire qui prend en charge les tâches les plus lourdes. De cette manière, l'organisation peut rapidement commencer à utiliser Purview pour ses compétences de base.
Quelques mots sur la solution proposée par Data & More:
- La solution est prête à l'emploi. Il n'est pas nécessaire de la configurer, de la programmer, etc.
- Il contient des centaines de milliers de recherches prédéfinies et testées dans plusieurs langues.
- La solution numérise rapidement et peut traiter d'énormes quantités de données (pétaoctets).
- Si les recherches changent, il n'est pas nécessaire de refaire l'analyse.
- La solution contrôle toujours toutes les données de toutes les sources de données connectées, y compris les nouvelles données.
- Des étiquettes peuvent être placées sur tous les types de données - qui peuvent ensuite être utilisées par exemple par Purview, DLP, etc.
L'employé est automatiquement impliqué si nécessaire
L'employé peut revérifier les données à supprimer avant qu'elles ne soient supprimées.
La solution peut retrouver les données sélectionnées en quelques secondes (par exemple en cas de demande d'accès) dans toutes les données.
Fondamentalement, la solution de Data & Morefait le gros du travail, à savoir scanner rapidement et efficacement toutes les données et appliquer les bonnes marques - aux bonnes données - dans toutes les sources de données pertinentes. Elle implique également l'employé si des données doivent être supprimées. Au cours des dernières années, Data & More a développé et maintient en permanence une classification pour GDPR, CCPA, PIPEPA, etc. basée sur des milliards d'ensembles de données (emails, pièces jointes, fichiers, etc.) chaque jour - et elle peut être utilisée directement avec Purview.
De cette manière, Purview bénéficie d'un point de départ optimal pour réussir.
D : AI également Microsoft CoPilot
Lorsque vous utilisez par exemple Microsoft CoPilot (ou certains types d'IA), les données sont souvent distribuées. Mais si vous ne contrôlez pas vos données, vous risquez de distribuer de grandes quantités de données à Microsoft, par exemple. Des données qui ne devraient pas être partagées, et même des données qui auraient peut-être dû être supprimées depuis longtemps.
C'est une chose d'être exposé à une violation de données de l'extérieur en raison, par exemple, d'un manque de sécurité. Une autre chose est de diffuser sciemment les données de votre organisation, qui comprennent souvent les données personnelles et sensibles d'autres personnes, sans vous assurer que vous savez exactement quelles données vous partagez.
Si vous avez le moindre doute sur la nature exacte des données que vous partagez, veillez à vérifier vos propres données et celles des autres avant de les partager.
E : Dataläck (Violation de données) !
Veillez à ce que vos plans d'urgence contiennent des informations sur la manière dont vous garantirez un accès rapide et précis aux données divulguées, de manière efficace, en cas de violation de données.
Cela vous permet de communiquer et de gérer rapidement la violation de données en relation avec les personnes privées concernées, sur la base d'informations factuelles concernant le contenu de la fuite de données.
Data & More aide rapidement et efficacement les organisations victimes d'une violation de données en garantissant une transparence totale sur les données personnelles identifiables et sensibles qui ont été divulguées. Bien entendu, nous pouvons également aider à déterminer quelles informations critiques pour l'entreprise ont été divulguées.
Mais un bon conseil reste le fameux "Videz la voiture avant le voleur" - veillez donc à nettoyer vos données à l'avance. Les dégâts seront alors bien moindres - si cela devait arriver.
Plus d'informations ici : https://dataandmore.com/sv/data-breach/
Obtenez une vue d'ensemble de vos risques liés aux données compliance - efficacement et gratuitement
De nombreuses données sont encore stockées, alors qu'elles auraient dû être supprimées depuis longtemps en vertu du GDPR - et de nouvelles données sont ajoutées chaque jour. C'est l'inconvénient de vivre dans une société numérique. Nous sommes tous concernés, en tant qu'individus, lorsque nos informations personnelles et sensibles sont incluses dans une violation de données, ou en tant qu'organisation, lorsque l'Autorité de protection de la vie privée vient nous rendre visite ou que nous faisons l'objet d'une couverture médiatique.
Pour aider à sécuriser les organisations et chacun d'entre nous en tant qu'individu, nous offrons maintenant des scans gratuits. Il s'agit exactement du même type de solution que celle que nous vendons par ailleurs - et qui traite chaque jour plus de 2 000 000 000 d'e-mails, de pièces jointes, de documents, etc. C'est juste gratuit.
- Soyez opérationnel en quelques minutes - aucune installation n'est requise
- Analyse automatique des courriels de votre organisation (jusqu'à 250 comptes)
- L'analyse est basée sur les règles GDPR des autorités
- La solution recherche les contenus à haut risque, qui seraient catastrophiques en cas de violation de données.
- Aperçu factuel des risques à télécharger
- Personne dans votre organisation n'a accès aux informations numérisées, pas même vous.
- Suivez vos chiffres clés, vos tendances et vos risques au fil du temps.
- Le fournisseur est scandinave et est certifié ISAE 3402 et GDPR 3000.
- Tous les documents juridiques (accord sur le traitement des données, etc.) sont inclus.
La numérisation proprement dite peut prendre de 2 à 4 semaines, en fonction du nombre de comptes à numériser et de la quantité de données. Si vous souhaitez une numérisation plus rapide ou plus importante - ou si vous souhaitez numériser d'autres types de données - écrivez-moi à l'adresse suivante : abs@dataandmore.com.
- Données automatisées Compliance: Identifie et supprime les données privées non conformes avec validation par l'utilisateur final.
- Atténuation des violations de données: Identifie et signale les personnes concernées par une violation de données, en veillant à ce que les données soient correctement validées.
- Vie privée du copilote: Empêche Microsoft Copilot d'accéder par inadvertance à des informations sensibles en marquant les données de confidentialité avec les étiquettes de sensibilité de Microsoft.
- Data & More pour Purview: Améliore Purview avec une classification complète de la confidentialité GDPR et définit automatiquement les étiquettes de sensibilité à la confidentialité de Microsoft sur les données.
- Plateforme de données d'entreprise AI: Utilise notre technologie de classification pour identifier et exploiter les données de grands référentiels non structurés pour les grands modèles de langage (LLM).