Définir une politique de gestion des données sensibles pour le groupe

Besoin du client

Le groupe SMABTP souhaite identifier les données « sensibles » pour mettre en place une stratégie de protection adaptée et cohérente pour toutes les entités du groupe.

Le défaut de maitrise de la sensibilité de l’information par le Groupe SMABTP peut exposer les dirigeants à des risques de différentes natures, par exemple :

  • Risque juridique et risque de conformité découlant du droit (pénal, civil, autres codes) et de la réglementation (CNIL, etc),
  • Risque stratégique et risque opérationnel du fait de la compromission de leurs objectifs business, dévalorisation des actifs – matériel et/ou immatériels – à cause d’une perte de propriété intellectuelle, de grille tarifaire, de savoir-faire, d’une fraude interne, de divulgation prématurée d’information, etc.

La sensibilité de l’information, dépend de sa nature (info médicale, savoir-faire, etc) et de critères tels que l’intégrité, la disponibilité, la confidentialité, la valeur marchande.

La mission devait capitaliser sur les travaux de cartographie de la fraud.

Mission réalisée

Pour répondre au besoin exprimé, BPA a proposé de :

  • Préciser la définition d’une « donnée sensible » et définir les catégories de données sensibles
  • Proposer une méthode de qualification des données sensibles