Tout d’abord une donnée est une ressource qui peut se matérialiser à l’écrit sous plusieurs formes : chiffre, texte, nombre, numéro de téléphone, date, caractère spécial : @ » !- ] …

Ces données peuvent être structurées, non-structurées et semi-structurées.

⦿ Les données structurées sont des données qui entrent dans un cadre répondant à des règles précises, comme un code-barres ou un numéro de carte bleue.
‍
⦿ Les données semi-structurées sont des données qui rentrent en partie dans un cadre spécifique. Par exemple : des photographies numériques, si une image est prise avec un smartphone, elle aura des attributs structurés tels que sa géolocalisation, un ID d’appareil ou son horodatage.
‍
⦿ Enfin, les données non structurées, qui peuvent être tout ce qui n'est pas dans un format spécifique. Il peut s'agir d'un paragraphe de livre contenant des informations pertinentes, d'une page internet...

Voici des données que l’on peut trouver dans un fichier comptable ou dans un formulaire d’inscription :
‍‍
❍ Fichier comptable

❍ Formulaire d’inscription

Lorsqu’une donnée est collectée, elle est associée à plusieures autres données. En effet, pour chaque donnée collectée d’autres sont également collectées et enregistrées.
‍
Prenons l’exemple d’un virement bancaire. Parmi les données collectées, on trouvera :
‍
→ le montant du virement
→ L’horodatage de la transaction
→ le numéro de compte de l’émetteur
→ le numéro de compte du receveur

Ainsi pour une opération banale du quotidien, le nombre de données brutes collectées est multiple. Ces données sont d’ailleurs probablement enregistrées à plusieurs endroits, puisqu’elles sont collectées par la banque de l’émetteur, mais aussi celle du receveur.
‍
Aujourd’hui, les entreprises doivent traiter de gros volumes de données, ce qui n’était pas le cas il y a quelques années. Depuis la digitalisation de la société, et l’apparition de services reposant sur des technologies récentes, telles que l’informatique cognitive, l’Internet des objets (IoT), l’intelligence artificielle et l’apprentissage automatique (Machine Learning, ML) le nombre de données à traiter ne fait qu’augmenter.
‍
Au cours des dix dernières années, le volume de données a été multiplié par plus de 30 dans le monde, passant de 2 zettaoctets en 2010 à 64 zettaoctets en 2020.
‍
→ Un zettaoctets : 1024 exaoctet
→ 5 exaoctet : l’ensemble des mots prononcés depuis le début de l’humanité

On parle d’ailleurs du « Big Bang du Big Data », avec des prévisions de plus de 180 zettaoctet de données numériques créées en 2025 soit 3 fois plus qu’en 2020.
‍
Cependant toutes ces données ne sont pas enregistrées. En effet, parmi ces zettaoctets, seulement 1 à 2 % de ces données sont sauvegardées, les autres sont majoritairement analysées et consommées en temps réel.
‍

Avant d’être traitée par quelconque organisation, la source de la donnée peut être interne « First party », intermédiaire « Second party » ou externe « Third party ».

Comme les données First et Second Party proviennent des clients directs de l’entreprise, on peut considérer leur fiabilité. Elles permettent de faciliter la communication via des moyens de contact directs (le mail, le push sms) et de suivre le comportement d’achat. Les datas Third party permettent notamment d’affiner ces connaissances sur les intérêts et comportements d’une clientèle cible. Couplées à des données First party, elles peuvent jouer un rôle déterminant dans une stratégie de croissance. On retrouve ces données, quelle que soit leur origine, dans tous les services de l’entreprise, souvent articulées autour de la direction des systèmes d’informations.

Voici un exemple de données que l’on retrouve dans les différents services :

Il faut distinguer trois états de données. En fonction de ces états, certaines solutions de stockage seront plus adaptées que d’autres.

⦿ Les données au repos sont des données stockées et ne changent jamais d’emplacement. Elles peuvent être stockées sur des clés USB, un disque dur, ou bien même sur un cloud. Ce sont des données déjà exploitées qui sont sauvegardées en archives pour l’entreprise. Ces données ont tout intérêt à être cryptées pour limiter les risques en cas de perte ou de vol, d’autant plus qu’elles ne sont plus exploitées.

⦿ Les données en transit sont en cours de transfert, d’un point A à un point B. Elles se trouvent dans des e-mails, des fichiers transférés par messagerie interne, et même des fichiers transférés grâce au cloud. La plateforme de départ n’est alors jamais la plateforme du stockage final.

⦿ Les données en cours d’utilisation sont des données ouvertes dans une application, et peuvent être consultées par les utilisateurs. Elles sont consultables sur n’importe quel outil et plateforme. Ces données sont particulièrement vulnérables puisque l’utilisateur a dû se connecter et décrypter le fichier : les données sont donc visualisables.

Les entreprises peuvent donc choisir, la solution qui leur convient le mieux pour le stockage de leurs données. Certaines sont plus pratiques, d’autres plus sécurisées.
‍

Tout au long de leurs projets, Scroll et ICG stockent leurs données en transit sur le cloud (via Notion) ou directement via leur logiciels (Webflow, Make, Airtable, Bubble). En fin de projet, les données sont hébergées dans des data centers.

La sécurité des flux doit s’effectuer sur deux niveaux : les utilisateurs et les outils.

Concernant les utilisateurs, la formation et la sensibilisation aux dangers du numérique sont essentielles afin de garder un haut niveau de sécurité des données. Il est par exemple nécessaire d’installer un pare-feu et d’effectuer des sauvegardes régulières des environnements de travail.
Concernant les outils, il est nécessaire de vérifier qu’ils sont conformes au RGPD, en mettant en place une gestion des droits et des accès. L’utilisation d’une méthode d’identification poussée comme la MFA (L'authentification multifacteur) peut également être une solution de renforcement de la sécurité.

Abordons maintenant les différents moyens de sécurisation des transferts de données :

❍ Cryptage général des transferts.
Le cryptage des données est la solution la plus efficace pour les protéger. Pour cela on va chiffrer l’ensemble des données et mettre en place un des deux processus de déchiffrage suivant :
‍
→  Le cryptage symétrique
Il possède une clé de chiffrement et de déchiffrement qui sont identiques.
‍
→  Le cryptage asymétrique
La clé de chiffrement et de déchiffrement sont différentes, il comprend une clé publique et une clé privée.

❍ Cryptage du courrier électronique.
‍Le cryptage du courrier électronique consiste à en crypter le contenu et à fournir au destinataire une clé de décryptage afin qu’il puisse y avoir accès.

❍ CASB (Courtier de sécurité d’accès au cloud).
Le CASB est une technologie qui lie les infrastructures internes avec le cloud. Cette technologie permet de vérifier toutes les tentatives d'accès aux infrastructures réseau. Il prévient des pertes de données, mais aussi du chiffrage des données et permet de les surveiller.

Il est également possible de sécuriser le transfert de fichiers à des plateformes tiers en ajoutant un mot de passe aux liens de téléchargement (comme sur WeTransfer) ou en protégeant le transit via un système d’habilitations.

Par exemple, pour les paiements des plateformes développées pour nos clients, nous utilisons la plateforme de paiement Stripe. Cette plateforme assure des transferts d’argent sécurisé. Stripe utilise le chiffrement AES pour chiffrer les données qu’elle enregistre. Les infrastructures de Stripe pour le stockage, le déchiffrage et la transmission des numéros de carte sont indépendantes, permettant une sécurité maximale.

⦿ Pourquoi croiser ses données?
‍
Analyser une donnée de manière isolée ne permet pas de comprendre les relations de corrélations et de causalité qui y sont liées.

Le croisement de données permet d’avoir une vision globale et exacte d’un domaine d’activité. Il permet d’extraire un maximum de connaissances et est source de création de valeur. Via la comparaison des données, il devient possible de créer des synergies et de déduire de nouvelles informations.

Le croisement de données peut même être utilisé afin de faire des prédictions, tant dans le domaine du marketing « Data Marketing » que de la médecine « ARGONet ».

Par exemple, le « Data Marketing » est fondé sur l’exploitation des données. Il demande une récolte et un traitement de données de masse. Grâce à ces données, le marketing peut être beaucoup plus personnalisé, efficace et économique. Il permet de véhiculer le bon message, au bon moment, au bon interlocuteur et évite le gaspillage d’argent par un ciblage très précis des internautes.

Quant à la médecine, il y a l’exemple de « ARGONet ». Successeur de Google Flu Trends, il est plus fiable que ce dernier et permet d’affiner les prédictions d’épidémie de grippes et l’estimation de la propagation du virus.

A l’origine, Google Flu Trends permettait de prédire les épidémies de grippe grâce à une corrélation entre les mots-clefs associés aux symptômes grippaux et les recherches sur Google. Mais cette simple corrélation avait déclenché de fausses alertes épidémiques car la population recherchaitl es symptômes de la grippe avant de réellement en souffrir.

Pour éviter cela, ARGONet est plus complexe que son prédécesseur et croise davantage de données, notamment celles des consultations pour symptômes grippaux dans les dossiers médicaux électroniques. Ainsi, le croisement de plusieurs types de données permet d’affiner les résultats et d’obtenir une information plus exacte.

Concrètement, le croisement de données peut mener à un meilleur targeting des clients ou des candidats, à un meilleur contrôle de la comptabilité, ou à la création d’un nouveau service dans une entreprise.

Ainsi, le croisement de données est la clé pour mieux comprendre un environnement et optimiser l’organisation d’une entreprise. Croiser des données permet de produire des analyses et des tableaux de bord pour piloter l’activité. L’information créée à partir de ces croisements doit être utile et avoir une finalité précise pour une organisation, afin d’éclairer ses décisions.

⦿ Comment croiser ses données?
De nombreux outils permettent de croiser des données à l’aide de numéros uniques, ou de regroupement d’information. Ces outils permettent d’éviter les erreurs et de faire des déductions exactes afin de créer une information viable pour une entreprise. Certains outils permettent même de croiser des sources et des formats de données différents. L’outil le plus basique pour le croisement de données est Excel. Grâce à ses tableaux dynamiques croisés, il permet de mieux comprendre une série complexe de données, et d’en tirer de nouvelles informations.
‍
Quid de la clé de rapprochement ?
Pour une utilisation plus complexe (Big Data, IA etc), Dataiku permet d’exploiter les données des entreprises afin de faire de la prédiction. Destinée aux professionnels des données (Data Scientist, Data Analyst, Machine Learning Engineer, etc...), la plateforme permet un traitement complet des données : de la préparation à l’exploitation. Ainsi, qu’il s’agisse d’analyse ou de prédiction, des outils existent pour aider les entreprises à donner du sens à leurs données, afin de créer une information utile.

Pour valoriser les données collectées, ces dernières vont être traitées lors de différentes étapes qui permettront une exploitation maximum de leur valeur.

Parmi les métiers nécessaires au traitement de la donnée, on en relève trois principaux :

→ Les données vont tout d’abord passer entre les mains du Data Ingénieur. Ce dernier s’occupe de mettre à disposition la donnée aux autres métiers. Le DI va donc trier, identifier, nettoyer les données intéressantes pour les rendre utiles et pertinentes pour les prochaines étapes. Le Data Ingénieur travaille avec des données brutes qu’il va par la suite valoriser.

→ Le second métier nécessaire au traitement des données est le Data Analyst. Il va utiliser les données transmises par le Data Ingénieur et les interpréter pour effectuer des analyses. Le DA va réaliser des dashboards/reportings dans le but de relever certaines tendances. Le DA tire des conclusions des chiffres étudiés pour les transmettre au Data Scientist.

→ Contrairement au DA qui étudie les données passées et présentes, le Data Scientist quant à lui a un rôle prévisionnel. Son objectif est de faire parler la donnée pour améliorer les performances d'une entreprise. Le DS suggère des modifications pertinentes à l’entreprise en fonction de plusieurs leviers. Le DS travaille directement avec les autres corps de métier pour les aider à régler des problématiques : marketing, achat, commercial, etc. Il a un rôle prédictif et stratégique. Pour cela, le DS utilise des algorithmes mathématiques permettant de révéler des données prévisionnelles, c’est ce que l’on appelle le Data Mining.

→ Un autre rôle qu’il est important de noter dans une entreprise est le Data Protection Officer. C’est le métier qui a du être crée à la suite des nouvelles réglementations RGPD. Le DPO a pour mission de protéger les données personnelles. Il effectue des reportings sur la sécurité, gère les demandes au niveau des données personnelles, mais aussi sensibilise l’entreprise aux questions de protection des données. Le DPO ne manipule pas les données à proprement parler, mais a un rôle important dans leur sécurité et leur utilisation.
‍
→ Le Chief Métavers Officer c’est quoi ? Depuis quelques années, les cryptommonnaies, le metaverse, les NFT se démocratisent. Cet écosystème constitue une réelle opportunité pour les marques de se développer sur un nouveau terrain qui est celui du metaverse. Certains grands groupes l’ont bien compris en nommant un CMO. Ce poste consiste à accompagner les entreprises dans leur développement sur le metaverse. Le CMO se charge d’aider la marque chez qui il travaille à comprendre et saisir les opportunités liées au metaverse, notamment en important la marque dans le metaverse. Décathlon ou bien encore Walt Disney ont d’ores et déjà pris les choses en main en nommant leur propre  CMO.

Le Règlement Général sur la Protection des Données est entré en vigueur le 25 mai 2018 en Europe. Il vise à mieux encadrer l’utilisation des données personnelles en offrant un cadre formalisé.

Ainsi, le RGPD fixe des règles et des droits tant pour les entreprises que pour les citoyens européens. Le règlement s’applique à toute organisation traitant ou sous-traitant des données au sein de l’Union Européenne, ou à celles dont les activités ont pour cible des citoyens européens.

Pour se conformer au RGPD, tout organisme doit identifier : les données personnelles récoltées, les finalités, les traitements réalisés etc. Parallèlement, les clients doivent être informés de leurs droits et voies de recours. Il est donc important de mettre en place un process interne garantissant le respect des engagements pris vis-à-vis du RGPD et des clients. Pour ce faire, il est primordial de sensibiliser les collaborateurs au traitement des données personnelles.

Ainsi, se conformer au RGPD est un enjeu de taille pour les entreprises car ce dernier prévoit des pénalités élevées. Elles peuvent s'élever jusqu'à 20 millions d'euros ou jusqu'à 4 % du chiffre d’affaires annuel mondial. En 2021, près de 1,1 milliard d'euros d'amendes ont été constatés en Europe, dont 214 millions d’euros rien qu'en France. C’est 7 fois plus que l’année précédente. Ainsi, dans tous les pays, les contrôles se multiplient : par exemple, la Commission nationale de l'informatique et des libertés a émis 135 mises en demeure, soit 2,7 fois plus qu’en 2020.

L’exemple le plus récent est celui de Google Analytics. Le 10 février 2022, suite à des plaintes déposées par Max Schrems et de son association NOYB (notamment contre Auchan, Sephora et Decathlon), la CNIL a émis plusieurs mises en demeure à l’encontre de gestionnaires de sites utilisant Google Analytics.

De fait, l'arrêt Schrems II du 16 juillet 2020 de la Cour de justice de l’Union européenne (CJUE) avait invalidé le régime de transferts de données entre l’Union européenne et les États-Unis (Privacy shield). Avant, le Privacy Shield était réputé pour garantir une protection suffisante des données au regard du RGPD. Mais depuis cet arrêt, les autorités chargées de l’application du RGPD, comme la CNIL, doivent réexaminer la légalité de certains transferts à destination des États-Unis. L’affaire autour de Google Analytics est l’une de ses répercussions.

De fait, la CNIL estime que Google Analytics ne sécurise pas suffisamment le transfert de données vers les Etats Unis. Pour l’instant, de tels transferts sont jugés illégaux dans le fonctionnement actuel de l’outil. Or, Google Analytics est le leader de l’analyse d’audience sur site web, avec près de 74% du marché mondial.

Cette décision de la CNIL fragilise cet écosystème, mais également toutes les entreprises qui utilisent cette technologie. Face à cette décision, des alternatives comme MATOMO commencent à voir le jour, tandis que Google essaye de promouvoir Google Analytics 4, un nouvel outil permettant une plus grande anonymisation des données.

C’est une priorité stratégique pour toutes les entreprises, quelle que soit leur taille. Néanmoins, ces dernières se retrouvent souvent perdues dans le flot d’informations, ne savent pas par où commencer, ou se posent beaucoup de questions. Cela tombe bien, nous avons préparé une petite FAQ pour répondre à toutes vos interrogations.

Pour se conformer au RGPD, il est nécessaire de suivre plusieurs étapes :
‍
❍ La mise en conformité RGPD
❍ L’audit et le suivi de la conformité

Pour la mise en conformité RGPD, les différentes étapes sont les suivantes :

→ Identifier l’ensemble des données personnelles collectées
‍
→ Rédiger et publier la politique de traitement des données.
Il s’agit de rédiger une note de politique de traitement des données, de la publier sur le site web et de la communiquer en interne. Cette note doit préciser le détail des données personnelles collectées, leur utilisation et notamment leur durée de conservation.
‍
→ Mettre en place la récolte de consentement sur le site web.
C’est la fameuse case que l’on est souvent amené à cocher des les formulaires d’inscription, d’adhésion :

→ Désigner un DPO
‍Le délégué à la protection des données (data protection officer) conseille et accompagnent les organisation sur la conformité au RGPD.

‍Le cas échéant, mettre en place des règles spécifiques pour les transferts de données hors Union Européenne. Le RGPD exige de prouver sa conformité à tous les stades de traitements. Cette preuve de conformité doit être mise en œuvre par la construction d’un « Dossier de conformité ».

❍ Registre de traitement
‍Le registre des traitements (pour les responsables de traitements) ou des catégories d’activités de traitements (pour les sous-traitants) est une des composantes du dossier de conformité.
L’objectif est de créer un registre effectué sous la charge des responsables de traitements, et de le maintenir à jour.

Afin de faciliter la bonne prise en main du sujet, il est recommandé de maîtriser sa cartographie des échanges de données (cf. Partie flux). Un traitement est un ensemble de flux qui dispose d’une finalité.

Dès lors, il sera plus simple :
‍
→ D’organiser son registre et de remonter les informations nécessaires par traitement :
Responsable, finalité, données personnelles (oui/non), transfert hors UE (oui/non), données sensibles (oui/non)
‍
→ Puis de mettre en place une fiche par traitement afin de le décrire plus précisément :
Les acteurs (responsable, DPO et autres), la finalité et sous-finalité(s) du traitement, la base juridique du traitement, la catégorie des personnes concernées, les catégories des données personnelles concernées, les données sensibles, les destinataires, le transfert hors UE et les mesures de sécurité technique et organisationnelle.