Assurer l’intégrité des données correspond à la capacité de garantir l’exhaustivité, la précision, l’exactitude et la validité des données durant tout leur cycle de vie. Cette démarche rend compte du cycle de vie de la donnée et des altérations fortuites ou intentionnelles que la donnée a pu subir.
De nombreux documents officiels font référence à la notion d’intégrité des données. Voici quelques-unes des définitions proposées :
- Selon la norme ISO/CEI 27000:2016, « l’intégrité est la propriété d’exactitude et de complétude ».
- Le Référentiel Général de Gestion des Archives définit l’intégrité comme la « qualité d’un document ou d’une donnée qui n’a pas été altéré. Dans le monde numérique, un document ou une donnée est réputé intègre si son empreinte à un temps t+1 est identique à l’empreinte prise à un temps t. »
- Selon l’Instruction Générale Interministérielle n°1300, c’est la « propriété assurant qu’une information ou un traitement n’a pas été modifié ou détruit de façon non autorisée ».
Assurer l’intégrité des données signifie donc que les informations transmises ou stockées resteront fiables, cohérentes, exactes, vérifiables quels que soient leur durée de conservation et leur usage. C’est l’une des dimensions de la Gouvernance des Données.
De manière pratique, derrière la notion d’intégrité des données, il y a de nombreuses questions : « Savez-vous qui effectue des modifications sur vos données ? Etes-vous capable d’identifier tous les changements qui ont impacté vos données ? Comment pouvez-vous prouver à des tiers que vos données n’ont pas été altérées ? Comment garantissez-vous à chaque instant que vos données soient fiables et valides ? »
Cet article traitera de l’intégrité des données stockées sur des supports numériques. En effet l’intégrité des données peut aussi concerner des supports papier par exemple. De même on se concentrera sur l’intégrité logique plutôt que sur l’intégrité physique.
Quels types de données numériques sont concernés ?
L’intégrité concerne tous les types de données numériques. De manière générale, on retrouve en particulier deux grandes catégories :
- Les fichiers : documents bureautiques, vidéos, images… mais aussi les fichiers liés à l’exploitation du SI comme les journaux d’événements ou les fichiers de configurations ainsi que les programmes informatiques.
- Les données au sein des bases de données, aussi bien métier que technique
Focus sur l’intégrité des données dans le système qualité pharmaceutique
L’intégrité des données concerne tous les secteurs d’activité. Bien sûr, les exigences seront d’autant plus fortes que le secteur gérera des données critiques avec des impacts financiers, humains ou stratégiques : l’industrie pharmaceutique est donc parmi les premiers secteurs concernés ! L’intégrité des données y est une contrainte légale forte.
L’intégrité des données est considérée, à juste titre, comme un élément important de la responsabilité de l’industrie pharmaceutique pour assurer la sécurité, l’efficacité et la qualité des médicaments, et de la capacité des agences de santé à protéger la santé publique.
Qu’est-ce qu’un défaut d’intégrité sur les données ? Quelles sont ses causes et ses conséquences ?
Un défaut d’intégrité correspond à une altération ou une destruction des données. L’impact peut être immédiat ou non. Si dans certaines situations le défaut peut n’avoir aucun impact comme par exemple dans le cas un document conservé à titre d’archivage légal, dans d’autres les conséquences peuvent être très graves !
Comment assurer l’intégrité des données ? Quelles sont les bonnes pratiques à suivre ?
Protéger l’intégrité des données implique de pouvoir identifier les modifications anormales de données et, si nécessaire, de retrouver une version des données antérieure. Il s’agit aussi de pouvoir prouver que les données n’ont pas été modifiées.
Si la sécurité des données est l’une des facettes permettant d’assurer leur intégrité (la « protection »), ce n’est que l’une d’elles ! Il ne faut pas confondre les deux. La gestion des systèmes d’information ou les mécanismes de détection de fraudes sont tout aussi importants.
Ainsi, assurer l’intégrité des données requiert de :
- Fiabiliser la collecte des données. Toute entrée doit être vérifiée et validée et être cohérente avec le dictionnaire de données.
- Contrôler les permissions et les droits d’accès et de modification
- Centraliser et garantir l’unicité de vos bases de données. L’intégrité repose aussi sur le fait que l’information qui est utilisée est la bonne !
- Surveiller toutes les modifications effectuées sur les données (ajout, suppression, modification…) et disposer d’un historique complet et non-falsifiable.
- Assurer la sauvegarde les données et la capacité à restaurer des informations
- Réaliser de manière périodique des audit trails : écrasement de données, traitements interrompus, tests de conformité, suppression de données, antidatage, modifications…
- Former, préparer et impliquer le personnel ! Le maillon humain est souvent le plus critique. Il faut documenter les procédures, définir les règles et les obligations, faire comprendre les enjeux… Les fournisseurs et les partenaires ont aussi leur rôle à jouer dans la chaine d’intégrité des données. Il faut définir avec eux les responsabilités, les contrôles à mener et préciser les processus de communication et leur matérialisation informatique.
Gouverner les données pour garantir leur intégrité
L’intégrité des données désigne aussi bien un état qu’un processus. Nous sommes convaincus chez Blueway qu’elle repose sur la complémentarité entre les différentes dimensions de l’échange de données afin d’assurer leur gouvernance : les référentiels, les processus ainsi que la circulation des informations entre les applications internes et externes du SI. L’adhérence des processus au Système d’Information n’est pas une option pour contrôler l’exactitude, la traçabilité ou l’évolution des données pendant tout leur cycle de vie !
Nous accordons aussi une place importante à la dimension humaine. La rupture entre les besoins des utilisateurs et les solutions informatiques sont une des sources de défaut d’intégrité (solution palliative, problème de sécurité…).
De plus, la traçabilité et la non-répudiation des modifications ne suffisent pas toujours à assurer l’intégrité des informations au sein de la base de données. Il est toujours possible à quelqu’un disposant des droits d’aller directement dans la base de données pour supprimer ou modifier des éléments. La non-falsifiabilité est aussi essentielle, et c’est pour cela que Blueway innove avec l’association entre blockchain et Master Data Management.
Au plaisir de discuter avec vous