La lecture d'un récent rapport britannique de l'ICO (Information Commissioner's Office), basé sur l'audit de 16 autorités locales et leur conformité au DPA (Data Protection Act), soulève l'intérêt, voire l'inquiétude. L'audit montre du doigt les politiques et les pratiques de partage des données comme un domaine requérant une attention particulière. Selon l'organisme de contrôle des améliorations sont possibles dans toutes les organisations qu'ils ont visitées lors de leurs audits. Et ce constat peu s'étendre à toutes les organisations et entreprises européennes.
Pour 96% des autorités auditées des améliorations - de légères à considérables - sont nécessaires. Plus problématique encore : l'une des autorités locales ne fournissait qu'une « assurance très limitée », impliquant « un risque substantiel de non conformité » au Data Patriot Act et « des mesures immédiates nécessaires ». Tous ces manquements pourraient couter chers aux autorités locales, ICO a prélevé 2,3 millions de livre sterling auprès des autorités locales pour les violations les plus sérieuses des principes de protection des données. Ces failles correspondaient « majoritairement à la divulgation d'informations personnelles par erreur, à la perte ou au vol de documents professionnels et de matériel informatique ».
Ce rapport pose le problème de la conformité des politiques de protection des données au sein des autorités locales, mais ce problème peut aussi se constater au sein de toutes les organisations et entreprises. Pour preuve, les diverses failles causées par des pratiques insécurisées de partage de fichiers : publication sur le web de photos nues de célébrités présumées piratées sur le service iCloud d'Apple, des adresses e-mail d'utilisateurs volées sur le compte d'un employé de Dropbox, ou encore l'incident qui a vu Box.com communiquer le compte d'un client à quelqu'un d'autre à son insu.
Tous ces incidents ont montré à quel point il est facile de mal utiliser ou de perdre des données lorsque les étapes de protection appropriées ne sont pas mises en place. Que doivent faire les organisations pour garantir que les données qu'elles détiennent sont en sécurité et conformes aux directives actuelles de protection des données ? L'ICO a souligné un certain nombre de points clés, comme l'attribution de la propriété de la gouvernance des informations à un poste clé ou la publication et la création de stratégies et de procédures mises à disposition de tous les employés.
Les résultats de l'audit de l'ICO et ses recommandations arrivent juste à temps car ils coïncident avec le développement du nouveau cadre de protection des données de l'Union Européenne qui devrait étendre son champ d'application à toutes les entreprises étrangères traitant des données de résidents de l'UE. Cette mesure, connue sous le nom de Cadre général de protection des données (GDPR), va permettre une harmonisation des règlements de protection des données dans l'ensemble de l'UE, ce qui permettra aux entreprises non Européennes de s'y conformer plus facilement. Mais elle comprend également un régime de conformité strict à la protection des données avec des pénalités sévères allant jusqu'à 5 % du chiffre d'affaires mondial pour les organisations violant le Cadre général de protection des données. Cette réglementation combinée, dont on prévoit la mise en application à partir de la fin 2015, exigera une mise en œuvre généralisée des meilleures pratiques dans toutes les organisations de l'UE.
Beaucoup d'organisations utilisent la messagerie électronique comme plate-forme principale, mais leur infrastructure de messagerie n'est pas conçue pour jouer le rôle de mécanisme principal du transport de fichiers. Dans la vaste majorité des systèmes de messagerie électronique, il n'existe pas de garantie de livraison du contenu, le système n'est pas chiffré et toute tentative d'auditer le contenu envoyé par e-mail se révèle difficile et fastidieuse.
Autre problème : de nombreuses organisations utilisent des systèmes automatisés et manuels pour échanger de grandes quantités de données structurées et non structurées dans le cadre du traitement des transactions ou du partage d'informations, en amont et en aval de la chaîne logistique. Elles utilisent souvent plusieurs systèmes pour échanger ces données, ce qui entraîne des incompatibilités entre les différents formats de fichiers et un manque de contrôle centralisé sur la façon dont les données sont envoyées, traduites et gérées sur le long terme. Cela génère un grand nombre de problèmes, notamment des contenus non surveillés tout au long de leur cycle de vie, l'absence de maintenance correcte d'une chaîne d'évidence ou la conversion fastidieuse entre différents formats de fichiers.
Conséquence de ces problèmes : les organisations manquent de visibilité sur le processus de gestion et de transfert des fichiers, et sont incapables d'imposer des normes cohérentes de transfert de fichiers dans toutes les parties de l'organisation. Une mauvaise gouvernance des données peut rendre la conformité aux exigences d'une agence de réglementation extrêmement difficile au cours d'un audit ou dans le cadre des politiques d'entreprise ou de l'industrie pour la gouvernance des données.
Les organisations doivent déployer une solution de transfert de contenu robuste, qui garantit que le partage des données est sûr et conforme. La solution doit leur offrir une visibilité sur l'ensemble du cycle de vie du contenu, permettre un contrôle granulaire sur les transferts de fichiers, garantir la validation du contenu et fournir des niveaux de service permettant aux organisations de gérer les transferts de fichiers de façon efficace, performante et rapide.
Les autorités locales et autres organisations sont de plus en plus dépendantes du transfert de types disparates d'informations. Il est nécessaire de gérer les processus de transfert de contenu d'une façon efficace qui fournisse une gestion complète et de bout en bout du contenu sur l'ensemble de son cycle de vie, et qui permette la mise en œuvre des stratégies d'entreprise. Pour atteindre cet objectif, les systèmes de transfert de fichiers doivent être évolutifs, fiables, automatisés pour la performance, sécurisés, et ils doivent respecter un large éventail d'exigences réglementaires. Dans le cas contraire, la prise d'effet du cadre général de la protection des données pourrait augmenter le montant et la fréquence des amendes, et le prochain audit pourrait se révéler une lecture plus amère.