Trop de silos et de données non-structurées
En France, seul 22% des données des organisations sont bien identifiées et qualifiées de stratégiques. D’une part, les administrateurs de l’IT connaissent souvent mal le contenu des 80% de données non-structurées dans leurs serveurs, d’autre part les métiers tendent à considérer l’espace de stockage comme infini, et donc à tout garder.
Si le Secteur Public n’est pas plus mauvais élève que le secteur privé, cette tendance est plus forte dans les pays latins que les anglo-saxons. Au Royaume-Uni, on détruit une donnée dès qu’il n’est plus obligatoire de la conserver. En France, tant qu’on ne nous force pas à la détruire, on la conserve.
Cette fuite en avant présente des risques, en termes de :
1) coût (ressources humaines, matérielles et financières)
2) temps d’administration et de recherche
3) réputation (pannes, pertes d’information, sortie d’information…)
Récupérer la visibilité sur les données
Quand une donnée n’a plus de valeur, elle devrait être détruite, sauf à vouloir faire de la conservation patrimoniale.
Pour remédier à ce problème, l’acteur public doit considérer le cycle de vie complet des données et les identifier selon 3 axes :
1. Le type de donnée (vidéo, fichiers…)
2. L’âge des données (création, dernier accès, modification et dernier usage…)
3. Le propriétaire et les utilisateurs de la donnée
Le dialogue avec les métiers est nécessaire pour établir des règles de conservation et de destruction des données propres à chacune. Le Data Protection Officer (DPO) peut aider à définir ces règles. Notons que depuis la mise en œuvre du RGPD en mai dernier, il est désormais rattaché à la Direction Générale : cela donne plus de poids à sa mission.
Une fois l’audit réalisé, il reste à appliquer les règles établies et détruire les données identifiées comme inutiles sur les serveurs (MP3, AVI, données de plus de 10 ans non-accédées, données personnelles d’un employé ayant quitté la structure depuis X années…)
Il existe des outils informatiques pour détruire environ 20% des données sans risque via des règles automatiques. On observe des gains immédiats dès qu’un tel processus est mis en place.
Au-delà de l’application des règles, il est important d’évaluer ensuite l’impact obtenu avec des outils de mesure et de vérifier régulièrement que l’on est en ligne avec le plan ou pas.
Ainsi commence le cercle vertueux de la maîtrise des données ! A l’avenir, il s’agira pour chaque organisation de prendre en compte dès le début d’un nouveau projet quand la donnée devra être détruite.
Par Amaury Couffignal, Ingénieur avant-ventes Secteur Public