Skip to main content

Le cycle de vie des données, ou comment comprendre les risques [activité d'approfondissement]

Pour approcher l’évaluation des risques sous l’angle du cycle de vie des données. Toutes et tous les activistes, organisations et mouvements ont affaire aux données, de la compilation/création/collecte à la publication d’informations basées sur des données.

À propos de cette activité  d'apprentissage


ativ-aprof_FR.png

Cette activité d’apprentissage consiste à approcher l’évaluation des risques sous l’angle du cycle de vie des données. Toutes et tous les activistes, organisations et mouvements ont affaire aux données, de la compilation/création/collecte à la publication d’informations basées sur des données.

Cette activité peut être réalisée selon deux approches différentes :

  • L’atelier général est conçu comme un atelier sur la sécurité numérique en général, destiné à des participant·e·s provenant de différentes organisations et/ou qui n’appartiennent à aucune organisation.
  • L’atelier organisationnel est destiné à un groupe spécifique et à son personnel. Ce type d’atelier fonctionne avec un contexte général où différentes équipes d’une même organisation se rassemblent pour réaliser une évaluation des risques adaptée à la pratique et au traitement des données dans leur organisation.

Ces deux approches couvrent les mêmes objectifs d’apprentissage et thématiques générales, mais il faudra ajuster les méthodologies et les techniques d’animation à chacun de ces ateliers, à l’aide de scénarios différents.

Objectifs d’apprentissage

Suite à cette activité, les participant·e·s seront en mesure de :

  • Comprendre les questions de risque et de sécurité à chaque étape du cycle de vie des données.
  • Appliquer des cadres d’évaluation des risques pour leur sécurité personnelle et/ou organisationnelle.

À qui cette activité est-elle destinée ?

Cette activité est conçue pour les activistes individuel·le·s (pour un atelier général sur l’évaluation des risques ou la sécurité numérique), ou pour un groupe (une organisation, un réseau, un collectif) déjà engagé dans un processus d’évaluation des risques. Cette activité peut être proposée selon deux approches différentes, qu’il s’agisse d’un atelier général ou d’un atelier destiné à un groupe spécifique.

Elle peut également servir à faire un diagnostic permettant de définir des priorités sur les pratiques ou les outils les plus intéressants à traiter lors d’un atelier sur la sécurité numérique.

Temps requis

Cela dépend du nombre de participantes et de participants et de la taille du groupe. En général, cette activité prend un minimum de quatre heures.

Matériel

  • Tableau à feuilles mobiles
  • Marqueurs
  • Projecteur pour présenter le cycle de vie des données et les questions-guides, ainsi que pour les éventuels retours partagés par les participant·e·s suite à l’activité.

wiggy-cactus-red-several.png

Mécanique

Ceci est valable pour un atelier général sur l’évaluation des risques ou sur la sécurité numérique où des activistes issu·e·s de différents contextes se rassemblent le temps de la formation. Les objectifs d’apprentissage restent les mêmes, mais certaines tactiques de formation et d’animation diffèrent de celles d’un atelier destiné à un groupe de personnes plus établi.

Étape 1 : queQue publiez-vous ?

Pour cette étape, on demande aux participant·e·s : que publiez-vous dans le cadre de votre travail d’activiste ?

L’idée est ici de commencer avec la partie la plus évidente du cycle de vie des données : de la donnée déjà traitée qui est partagée en tant qu’information. Il peut s’agir de rapports de recherche, d’articles, de publications de blogues, de guides, d’ouvrages, de sites web, de publications sur les médias sociaux, etc.

On peut réaliser cette partie en séance plénière, en mode « popcorn » : la personne animatrice pose une question et demande des réponses brèves aux participant·e·s, comme le maïs dans une poêle !

Étape 2 : préPrésentation du cycle de vie des données et de questions de sécurité

La présentation a pour but de rappeler aux participant·e·s le cycle de gestion des données. Vous trouverez les points principaux de la présentation :

Étape 3 : tempsTemps de réflexion sur les cycles de vie des données personnelles

Regroupez les participant·e·s en fonction de ce qu’iels publient. Demandez-leur de choisir un exemple parmi leurs publications (un article, un rapport de recherche, un livre, etc.) et demandez aux personnes travaillant sur le même type de publication de se regrouper.

Donnez un temps à chaque personne pour retrouver le cycle de vie des données de sa publication, puis demandez-leur de partager leurs réflexions avec les autres membres de leur groupe.

Le temps de réflexion devrait prendre environ 15 minutes, les discussions de groupes environ 45 minutes.

Les questions de la présentation (voir Diaporama et section Présentation) permettront de guider le temps de réflexion individuelle.

Pour le travail de groupe, chaque membre du groupe devra aborder avec les autres le cycle de vie des données de sa publication.

Étape 4 : miseMise en commun et questions de sécurité

Au lieu de demander à chaque groupe de faire un retour, la personne formatrice-animatrice pose des questions à chaque groupe pour faire ressortir ce dont le groupe a parlé.

Voici des exemples de questions permettant de faire un bilan du temps de réflexion et des discussions de groupe :

  • Quels sont les appareils de stockage de données les plus courants dans le groupe ? Quels sont ceux qui ont été utilisés exclusivement ?
  • Quels différences et points communs sont ressortis concernant l’accès au stockage des données dans votre groupe ?
  • Et pour le traitement des données ? Quels outils ont été utilisés dans votre groupe ?
  • Des personnes dans le groupe ont-elles publié quelque chose qui les ont mises en danger, elles ou une personne de leur connaissance ? Qu’était-ce ?
  • Certaines personnes du groupe avaient-elles déjà réfléchi à la question de l’archivage et de l’élimination des données avant aujourd’hui ? Si oui, quelles sont leurs pratiques dans ce domaine ?
  • La sécurité et la sûreté ont-elles été sujets de préoccupations au cours du cycle de vie de vos données ? Quelles ont été ces préoccupations ?

Synthèse de l’activité

À la fin des présentations de groupe et de la mise en commun, la personne formatrice-animatrice peut synthétiser l’activité en :

  • Pointant les principales observations réalisées.
  • Demandant aux participant·e·s de donner les idées clés tirées de l’activité.
  • Questionnant les participant·e·s sur de possibles évolutions de leurs pratiques en matière de gestion des données qu’iels ont appris pendant l’activité.

wiggy-cactus-red-several.png

Déroulement d'un atelier organisationnel

Ceci concerne un atelier destiné à une organisation et à son personnel.

Étape 1 : quellesQuelles sont les informations partagées par chaque service/programme/équipe de l’organisation ?

En fonction de la configuration et de la structure de l’organisation, demandez à chaque service ou équipe un exemple d’information qu’iels partagent, que ce soit au sein de l’organisation ou en externe.

Voici quelques exemples pour encourager les réponses :

  • Pour des services de communication : en quoi consistent les rapports que vous publiez ?
  • Pour des équipes de recherche : en quoi consistent les recherches sur lesquelles vous publiez des rapports ?
  • Pour des équipes administratives et/ou financières : qui a accès aux fiches de paye de votre organisation ? Et aux rapports financiers ?
  • Pour les services des ressources humaines : que se passe-t-il avec les évaluations de personnel ?

Conseil pour l’animation : Il est bien plus simple de répondre à cette question pour les équipes tournées vers l’extérieur, comme un service de communication ou un programme qui publie des rapports et documents de recherche. Pour les services plus tournés vers l’intérieur, comme la finance et l’administration ou les ressources humaines, la personne formatrice-animatrice peut avoir besoin de passer du temps sur des exemples d’informations que ces services partagent.

Cette étape vise à ce que les différentes équipes reconnaissent qu’elles partagent toutes des informations, en interne comme vers l’extérieur. C’est important puisque chaque équipe devrait pouvoir identifier un ou deux types d’informations qu’elles partagent lorsqu’elles évaluent les risques dans leur pratique de gestion des données.

Étape 2 : préPrésentation du cycle de vie des données et des questions de sécurité

La présentation a pour but de rappeler aux participant·e·s le cycle de gestion des données. Vous trouverez les points principaux de la présentation :

Étape 3 : travailTravail en groupes

Au sein des équipes, demandez à chaque groupe d’identifier un ou deux types d’informations qu’ils partagent/publient.

Pour établir des priorités, encouragez les équipes à déterminer quelles informations elles souhaitent sécuriser le plus, ou quelles sont les informations les plus sensibles qu’elles partagent.

Ensuite, pour chaque type d’informations partagées ou publiées, demandez aux équipes de remonter le processus afin d’examiner le cycle de vie de ses données. Servez-vous de la présentation ci-dessous pour leur poser des questions clés sur leurs pratiques en matière de gestion des données pour chacune des données publiées ou partagées.

À la fin de ce processus, chaque équipe devrait pouvoir partager avec les autres les résultats de leurs discussions.

En règle générale, il faut compter environ une heure pour ce travail de groupe.

Étape 4 : préPrésentations de groupes et réflexion sur la sécurité

Selon la taille de l’organisation et le travail réalisé par chaque service, donnez-leur du temps pour présenter les résultats de leurs discussions à leurs collègues. Encouragez chaque équipe à réfléchir à des façons créatives de présenter et de mettre en valeur les points principaux de leurs discussions. Iels n’ont pas besoin de partager la totalité de leurs discussions.

Encouragez les autres participant·e·s à prendre des notes sur ce que les groupes partagent, puisqu’il y aura du temps pour les commentaires et les réactions à la fin de chaque présentation.

Ceci devrait prendre environ 10 minutes par groupe.

Le rôle de la personne formatrice-animatrice consiste ici, outre chronométrer et gérer les réactions, aussi à réagir après chaque présentation. C’est le moment de mettre votre chapeau de personne pratiquant la sécurité.

Quelques sujets sur lesquels il est intéressant de questionner :

  • Si le processus de collecte de données est supposé être privé, ne serait-il pas préférable d’utiliser des outils de communication plus sûrs ?
  • Qui a accès aux appareils de stockage, en théorie et en réalité ? Si ceux-ci sont physiques, où se trouvent-ils dans les bureaux ?
  • Qui peut voir les données brutes ?

En tant que personne formatrice-facilitatrice, vous pouvez aussi profiter de ce moment pour émettre quelques recommandations et suggestions pour rendre les pratiques de l’organisation en matière de gestion des données plus sûres.

Conseil pour l’animation : Consultez l’activité intitulée Outils alternatifs : Réseaux et communications pour mieux guider cet atelier.

Étape 5 : retourRetour aux groupes : améAméliorer la sécurité

Après la présentation de toutes les équipes, celles-ci se reforment pour continuer à discuter et réfléchir aux manières de mieux sécuriser leurs processus de gestion de données et de leurs données elles-mêmes.

L’objectif est ici que chaque groupe planifie des façons d’améliorer la sécurité à chaque étape du cycle de vie de leurs données.

À la fin, chaque équipe devrait avoir quelques plans pour améliorer la sécurité dans leurs pratiques en matière de données.

Remarque : On suppose ici que le groupe a déjà été un peu formé aux bases de la sécurité dans le but de faire ceci. Si ce n’est pas le cas, la personne formatrice-animatrice peut, lors de l’étape 4, suggérer quelques outils, options et processus alternatifs offrant davantage de sécurité pour la pratique du groupe en matière de gestion des données.

Questions-guides pour les discussions de groupes

  • Parmi les types de données que vous gérez, lesquelles sont publiques (tout le monde peut en savoir quelque chose), privées (seule l’organisation peut en savoir quelque chose), confidentielles (seule l’équipe et certains groupes de l’organisation peuvent en savoir quelque chose), et comment votre équipe s’assure-t-elle que ces différents types de données sont bien privés et confidentiels ?
  • Comment votre équipe peut-elle s’assurer que vous êtes en mesure de gérer qui a accès à vos données ?
  • Quelles sont les politiques de conservation et de suppression des données des plateformes dont vous vous servez pour stocker et traiter vos données en ligne ?
  • Que peut faire l’équipe pour améliorer la sécurité de ses communications, en particulier les données et informations privées et confidentielles ?
  • Quels pratiques et processus l’équipe devrait-elle mettre en place pour préserver le caractère privé et confidentiel de ses données ?
  • En quoi devriez-vous changer votre manière de gérer les données pour en améliorer la sécurité ? Revenez sur les résultats du précédent travail de groupe et cherchez ce qui peut être amélioré.
  • Quel rôle devrait jouer chaque membre de l’équipe pour réaliser ces changements ?

Étape 6 : préPrésentation finale des plans d’évolution

Ici, chaque équipe aura du temps pour présenter comment elle compte améliorer la sécurité de sa gestion des données.

C’est l’occasion pour l’ensemble de l’organisation de mettre en commun des stratégies et des tactiques, et d’apprendre les uns et les unes des autres.

Synthèse de l’activité

À la fin des présentations de groupes et de la mise en commun, la personne formatrice-animatrice peut synthétiser l’activité en :

  • Pointant les principales observations réalisées.
  • Demandant aux participant·e·s de donner les idées clés tirées de l’activité.
  • Se mettant d’accord sur les prochaines étapes pour mettre les plans à exécution.

wiggy-cactus-red-several.png

Présentation et ressources supplémentaires

Présentation

Diaporama :  Présentation-Cycle de vie des données.odp

Une autre manière de comprendre les différents échelons des risques consiste à examiner les pratiques d’une organisation en matière de données. Toute organisation a affaire à des données, et chaque service d’une organisation aussi.

Voici quelques points à prendre en compte en matière de sécurité et de sûreté pour chaque phase du cycle de vie des données.

Création/compilation/collecte de données

  • Quel type de données sont compilées ?
  • Qui crée/compile/collecte les données ?
  • Cela peut-il menacer des personnes ? Qui sera menacé pour la publication de ces données ?
  • Dans quelle mesure le processus de collecte de données est-il public, privé ou confidentiel ?
  • Quels outils utilisez-vous pour assurer la sûreté du processus de collecte de données ?

Stockage des données

  • Où les données sont-elles stockées ?
  • Qui a accès au stockage des données ?
  • Quelles pratiques/processus/outils utilisez-vous pour veiller à la sécurité de l’appareil de stockage ?
  • Stockage dématérialisé, stockage physique ou appareil de stockage ?

Traitement des données

  • Qui traite les données?
  • L’analyse des données menace-t-elle des individus ou des groupes ?
  • Quels sont les outils utilisés pour analyser les données ?
  • Qui a accès au processus/système d’analyse des données ?
  • Lors du traitement des données, des copies secondaires des données sont-elles stockées ailleurs ?

Publication/partage des informations à partir des données traitées

  • Où les informations et la connaissance sont-elles publiées ?
  • La publication des informations peut-elle menacer des personnes ?
  • Quel public visent les informations publiées ?
  • Avez-vous le contrôle sur la façon dont les informations sont publiées ?

Archivage

  • Où les données et les informations traitées sont-elles archivées ?
  • Les données brutes sont-elles archivées, ou uniquement les informations traitées ?
  • Qui a accès aux archives ?
  • Quelles sont les conditions d’accès aux archives ?

Suppression

  • Quand les données sont-elles écrasées ?
  • Sous quelles conditions sont-elles supprimées ?
  • Comment s’assurer que toutes les copies ont bien été supprimées ?

Conseils pour l’animation

  • Cette activité est une bonne manière de connaître et d’évaluer les contextes, la pratique et les processus utilisés par les participant·e·s en matière de sécurité numérique. Mieux vaut se focaliser sur cet aspect que d’attendre de cette activité qu’elle débouche sur des stratégies et des tactiques pour améliorer la sécurité numérique.
  • Pour un atelier auprès d’une organisation, il peut être bon de faire particulièrement attention aux équipes/services administratifs et de ressources humaines. D’une part, dans nombre d’organisations, ce sont les membres du personnel les moins susceptibles d’avoir déjà participé à un atelier sur la sécurité numérique, si bien que de nombreux thèmes et sujets peuvent être nouveaux pour elles et eux. D’autre part, une bonne partie de leur travail étant interne, il se peut qu’iels ne considèrent pas que leurs services « publient » quoi que ce soit. Pourtant, dans de nombreuses organisations, ces services détiennent et traitent un grand nombre de données sensibles (informations sur le personnel, salaires, notes de réunions du conseil, informations bancaires de l’organisation, etc.), il est donc important que le faire remarquer lors de l’atelier.
  • Faites également attention aux matériels de stockage physique. S’il y a des tiroirs de classement où des copies imprimées de documents importants sont stockées, demandez où ils se trouvent et qui y a accès physiquement. On a parfois tendance à ne penser qu’aux pratiques de stockage en ligne, en oubliant d’améliorer la sécurité des tactiques de stockage physique.

Ressources supplémentaires (facultatif)


wiggy-cactus-red-several.png