[Cybernews] Christopher Wall, HayStackID : « Les lois sur la protection de la vie privée exigent des entreprises qu'elles sachent quelles données elles possèdent »

en flag
nl flag
fr flag
de flag
pt flag
es flag
uk flag

Note de l'éditeur : En tant que société de services de découverte électronique de premier plan axée sur la cyber-découverte, la gouvernance de l'information et la découverte juridique, HayStackID est régulièrement mise en avant par des experts et des publications du secteur en raison de son approche innovante et de son expertise approfondie dans la résolution des défis centrés sur les données pour les entreprises, les cabinets d'avocats et les services gouvernementaux. Cet article récemment publié mettant en lumière l'expertise de HayStackID en matière de confidentialité et de conformité et mettant en vedette Chris Wall de HayStackID est fourni ci-dessous et peut être utile aux professionnels de la cyberdécouverte, des données et de la découverte juridique qui cherchent à relever les défis liés à la confidentialité, à la sécurité et à la conformité.

Par Anna Zhadan et publié par Cybernews*

Les armoires à documents appartiennent probablement au passé, mais on pourrait soutenir que la numérisation des données a posé plus de défis en matière de confidentialité, de sécurité et de récupération que les classeurs manille traditionnels.

La quantité d'informations à parcourir lors de la recherche de données dans le cadre de procédures judiciaires est énorme. Le processus comporte souvent des risques de modification, de fuite, de suppression ou de compromission des données. Le contrôle d'accès autorisé, la formation et le respect des lois sur la confidentialité peuvent faire partie de la solution à ce problème, mais il y a toujours plus à prendre en compte lors de la sécurisation et du traitement des données.

Cybernews a contacté Christopher Wall, qui est le conseiller spécial pour Global Privacy and Forensics et le responsable de la protection des données chez HayStackID. Nous avons parlé des processus complexes de récupération des données numériques sensibles nécessaires aux enquêtes judiciaires, ainsi que du rôle de la technologie dans le domaine juridique.

Comment est née l'idée de HayStackID ? Quel a été votre parcours depuis ?

Mon parcours a été une approche longue et non traditionnelle des enquêtes médico-légales. J'ai fourni mes premiers conseils juridiques à un client du secteur des technologies en 1998 — une semaine après avoir passé le barreau — en échange d'une formation MCSE, puis j'ai commencé à exercer le droit chez BigLaw, et j'ai finalement quitté la pratique juridique traditionnelle pour rejoindre les rangs du conseil en technologie. Ce fut un voyage fascinant, passionnant et incroyablement amusant, mais je n'aurais probablement pas pu le tracer au début de ma carrière.

Chez HayStackID, vous êtes spécialisé dans une pratique appelée eDiscovery. Peux-tu m'expliquer brièvement comment cela fonctionne ?

Une grande partie de ce que nous faisons chez HayStackID implique certainement l'eDiscovery, qui est la composante de collecte et de partage d'informations des litiges. Mais peut-être plus exactement, je dirais que chez HayStackID, nous sommes spécialisés dans les preuves électroniques et la criminalistique électronique. Notre travail quotidien implique la conservation, la collecte, l'extraction, la recherche et l'examen de données électroniques dans le cadre de litiges ainsi que dans d'autres contextes tels que les violations de données et autres cyberenquêtes, les enquêtes internes en matière d'emploi et les procédures réglementaires. L'approche que nous adoptons en termes de chaîne de contrôle, d'application de principes solides d'analyse médico-légale, etc., est la même que ce soit dans le contexte de la découverte électronique ou dans un autre contexte, mais les cas d'utilisation de notre travail peuvent réellement prendre de nombreuses formes différentes. Une partie souvent méconnue de ce que nous faisons est du côté prévention de l'équation.

Bien que nous soyons souvent connus pour notre travail de tri des données, une grande partie de ce que nous faisons consiste à aider nos clients à réduire les coûts et les risques auxquels ils peuvent être confrontés avant qu'ils n'entrent en litige ou qu'ils aient à mener une enquête ou une enquête. Puisque nous savons où se trouvent les points faibles et les dangers potentiellement coûteux, nous sommes bien placés pour aider nos clients à mettre en place des plans proactifs et préventifs de gouvernance de l'information (IG), de confidentialité et de sécurité, et d'hygiène des données afin qu'ils puissent atténuer certains de ces risques avant qu'ils n'apparaissent .

Quelle technologie utilisez-vous pour sélectionner des informations précieuses parmi de grandes quantités de données ?

Il n'est pas rare que HayStackID soit invité à collecter, traiter, analyser et examiner des téraoctets de données le plus rapidement possible. Nos outils de collecte judiciaire incluent Cellebrite, XRY et EnCase. Nous utilisons également une combinaison d'outils, en fonction des besoins, pour passer au crible les données collectées afin de trouver les quelques fichiers dont nos clients ont réellement besoin. Des outils tels que Nuix, Reveal (Brainspace) et Relativity, entre autres, nous aident à analyser et à réviser. Si cela se justifie en fonction du volume de données et de la nature du dossier, nous pouvons appliquer des outils d'intelligence artificielle, d'apprentissage automatique et d'analyse pour vous aider à passer au crible les données. Mais ce ne sont là que les outils de notre boîte à outils. La vraie valeur vient des personnes incroyablement intelligentes et talentueuses de notre équipe qui savent comment utiliser ces outils.

Comment la pandémie a-t-elle affecté le secteur juridique ? Y a-t-il eu de nouveaux défis auxquels vous avez dû vous adapter ?

HayStackID était bien positionné pour faire face à la pandémie, car l'entreprise a investi massivement dans le développement et le déploiement d'équipes de révision de documents, d'infrastructures et de personnel technologique 100 % virtuels à distance au cours de la dernière décennie. Le travail à distance n'était pas nouveau et, à bien des égards, pour les employés de HayStackID, la pandémie et les confinements étaient synonymes de statu quo.

Les avocats aiment généralement leur temps en face à face (interaction réelle avec les clients, pas nécessairement l'application). Le secteur juridique repose sur la confiance, et sur cette base, l'élément humain en personne du secteur juridique ne disparaîtra jamais complètement. Néanmoins, la pandémie a créé une opportunité pour la profession juridique et le secteur juridique en général de se développer au-delà des anciens modèles. Les réunions virtuelles ont remplacé de nombreuses réunions physiques en salle de conférence, et l'un des avantages du nuage sombre de la pandémie était qu'il a poussé de nombreux acteurs du secteur à examiner l'efficacité des réunions en personne par rapport aux réunions virtuelles. En ce sens, l'exercice virtuel a probablement contribué à rendre le retour éventuel aux réunions en personne plus efficient et plus efficace. Bien entendu, il existe également des compromis avec la productivité. Comme dans de nombreuses autres industries, sans trajet et moins de temps de refroidissement de l'eau, le secteur juridique a vu sa productivité augmenter à bien des égards, même si les professionnels ont trouvé de nouvelles façons d'équilibrer les exigences personnelles lorsqu'ils travaillaient à domicile.

En ce qui concerne certains des autres défis posés par la pandémie, à l'instar de la plupart des autres secteurs, le secteur juridique a dû trouver des moyens d'être plus efficace en matière de déplacement et d'interaction avec les données. Le travail à distance présentait des défis logistiques, techniques et de sécurité. Avant la pandémie, par exemple, une grande partie de notre travail de criminalistique informatique était effectué dans un laboratoire physique. Le besoin de ces services médico-légaux n'a certainement pas ralenti pendant la pandémie. La pandémie nous a amenés à trouver des moyens d'effectuer bon nombre des mêmes tâches techniquement et juridiquement défendables à partir de sites distants plutôt que dans un laboratoire centralisé.

Nous devions trouver comment nous assurer que chacun disposait du matériel et des logiciels dont il avait besoin dans son environnement distant, qu'il était capable d'utiliser ces outils dans son environnement distant et qu'il était capable de le faire de manière sécurisée. Le secteur juridique traite de nombreuses informations sensibles, confidentielles et souvent privilégiées. Pendant la pandémie, nous devions trouver un moyen de maintenir la sécurité de ces informations pendant que nos professionnels travaillaient avec ces informations à leur table de cuisine. Rétrospectivement, c'était ce que j'aime appeler un « problème-unité ». Ce que nous avons appris et les méthodes que nous avons développées pendant la pandémie ont incité de nombreux acteurs du secteur à prendre davantage conscience de la sécurité de l'information et nous ont permis de mieux servir nos clients à l'avenir, après la pandémie.

L'augmentation récente des solutions cloud complique-t-elle la découverte électronique d'une manière ou d'une autre ?

La plupart des professionnels de l'informatique sont d'accord pour dire que les solutions cloud présentent de nombreux avantages. Entre autres choses, elles peuvent être beaucoup plus puissantes que les solutions sur site. Ils peuvent contribuer à réduire les coûts informatiques. Ils peuvent rationaliser la gestion informatique pour de nombreuses entreprises. Ils peuvent faire de même pour la découverte électronique. Pendant la pandémie, par exemple, les solutions cloud faisaient partie intégrante des fournisseurs de services de découverte électronique, car elles permettaient de fournir des services de découverte électronique de manière très efficace. Avant la pandémie, l'offre principale de HayStackID traitait à la fois des cas d'utilisation sur site et dans le cloud. Cela représentait donc un peu moins de changement pour nous, mais pour l'ensemble du secteur, le passage au cloud était vital.

Mais les solutions cloud créent également de nouveaux risques et de nouvelles complications. L'un des grands avantages des services cloud est qu'ils permettent aux données de circuler librement vers l'endroit où les utilisateurs en ont besoin, partout dans le monde. Mais la force du cloud est également son facteur de complexité. Tous les clouds ne sont pas égaux et du point de vue de la protection des données, toutes les juridictions dans lesquelles chaque cloud est hébergé ne sont pas égales non plus. Nous sommes beaucoup plus conscients de la confidentialité individuelle aujourd'hui, et la découverte électronique d'aujourd'hui est de nature transfrontalière. Ainsi, lorsque nous effectuons des eDiscovery à l'aide de ressources cloud, nous devons maintenant déterminer quelles sont les données qui vont dans le cloud, la nature de ces données et où se trouvent ce cloud et ses sauvegardes dans le monde. Cela peut être une analyse complexe, et une fois l'analyse terminée, nous devons nous assurer que nous avons mis en place les règles juridiques ou les clauses contractuelles appropriées et évaluer si et comment les données doivent être déplacées vers un environnement cloud particulier.

D'après votre expérience, quelles sont les raisons les plus courantes pour lesquelles une entreprise peut opter pour la découverte électronique ?

La quasi-totalité des activités d'aujourd'hui sont menées par voie électronique, ce qui signifie que lorsqu'il s'agit de savoir qui, quoi, quand, pourquoi ou comment quelque chose s'est passé sur le lieu de travail, nous nous tournons vers les données d'une organisation pour obtenir des réponses. Pour cette raison, peu d'organisations ont probablement le luxe de choisir de faire de l'eDiscovery de nos jours. Malheureusement, dans le monde de plus en plus litigieux dans lequel nous vivons, l'eDiscovery est généralement imposée à une organisation, qu'elle le veuille ou non. L'eDiscovery peut coûter cher, et lorsqu'une organisation est confrontée à une eDiscovery liée à un litige (ou généralement dans tout autre contexte), elle doit décider si un la réponse proportionnelle implique la réalisation d'eDiscovery. Comme beaucoup de choses dans le secteur juridique, il s'agit d'un test d'équilibre. Par exemple, si la charge ou les dépenses de la découverte électronique l'emportent sur ses avantages probables — compte tenu de l'enjeu de l'affaire, du montant d'argent en litige, des ressources dont l'organisation dispose pour s'engager dans la découverte électronique ou de l'importance attendue de la découverte électronique dans la résolution des problèmes — alors une organisation peut décider de régler ou de rechercher d'une autre manière un résultat négocié.

À votre avis, quelles sont les plus grandes erreurs que les gens ont tendance à commettre lorsqu'il s'agit de traiter des données sensibles ?

Il y a tellement de choses qui peuvent mal tourner lors du traitement de données sensibles, mais la spoliation et la confidentialité viennent immédiatement à l'esprit. La spoliation se produit lorsque des données censées être conservées sont modifiées ou supprimées. Ce n'est pas une bonne chose lors d'un litige ou d'une enquête lorsque l'intégrité des données (y compris toutes les métadonnées) est primordiale. Nous le voyons souvent : un acte innocent, comme le simple déplacement de fichiers d'un dossier à un autre avec de bonnes intentions ou le désir d'aider, pourrait modifier les métadonnées d'un fichier particulier. Ce simple fait pourrait alors avoir pour effet de remettre en question l'authenticité et, par conséquent, l'utilité de ce dossier. Il existe des méthodes éprouvées que de nombreux cyberprofessionnels utilisent pour éviter la spoliation, mais je pense qu'elles attesteront toutes le fait que ces méthodes ne sont pas toujours appliquées comme elles le devraient.

La plus grande erreur que nous constatons, en particulier ces dernières années, est de ne pas avoir mis en place de politiques et de pratiques efficaces en matière de confidentialité et de sécurité. Du point de vue de la sécurité, les mots de passe et le stockage portable peuvent poser des problèmes, ce qui ne devrait pas surprendre la plupart des cyberprofessionnels. Les employés ont automatiquement tendance à utiliser des mots de passe faibles, ils utilisent le même mot de passe pour toutes les applications et les services, ou lorsqu'ils utilisent des mots de passe uniques, ils les enregistrent et les stockent dans des endroits évidents. Le stockage portable présente des problèmes car le personnel perd souvent ces appareils et l'entreprise peut ne pas savoir si l'appareil perdu contient des informations sensibles. Dans d'autres cas, lorsque le personnel utilise des appareils fournis par l'entreprise avec sécurité intégrée, les utilisateurs sont frustrés par la sécurité et la désactivent pour des raisons de commodité.

Cela m'amène à parler de la vie privée. Du point de vue de la protection de la vie privée, la Californie et l'UE semblent attirer toute l'attention, mais il existe un nombre croissant de juridictions aux États-Unis et dans le monde dans lesquelles les failles de sécurité que je viens de décrire peuvent entraîner de graves risques financiers et de réputation. Du point de vue de la confidentialité, les données sensibles impliquent souvent des informations personnelles, c'est-à-dire des informations qui appartiennent à des individus et non à l'entreprise. Dans de nombreuses juridictions, les individus ont le droit de faire certaines choses avec ces informations, même si les données qui y sont associées se trouvent au cœur d'une base de données Oracle vieille de 20 ans ou se trouvent sur une bande de sauvegarde d'e-mails Pegasus dans un placard poussiéreux quelque part. Ne pas être en mesure de répondre à l'exercice par ces personnes de leurs droits à la vie privée peut entraîner de lourdes amendes européennes dont tout le monde parle. Ce type d'infraction de la part d'une organisation peut entraîner une amende de 4 % du chiffre d'affaires annuel ou de 20 millions d'euros, selon le montant le plus élevé. Les entreprises ont besoin de connaître les données dont elles disposent. Cela inclut les données vieilles de 20 ans, qui, d'ailleurs, l'entreprise a, espérons-le, une très bonne raison, dans le cadre de sa politique IG, de traîner encore. De nombreuses lois émergentes sur la protection de la vie privée dans le monde exigent des entreprises qu'elles sachent quelles données elles possèdent, qu'elles sachent où elles sont physiquement stockées et qu'elles soient en mesure d'identifier les informations personnelles des personnes en leur possession. Cela signifie que l'organisation a mené une évaluation de la confidentialité étroitement liée à sa politique en matière d'IG. Des politiques de confidentialité et de sécurité efficaces bénéficiant d'un solide soutien de la part de la direction, accompagnées de pratiques contrôlées et de formations régulières, sont essentielles si une organisation souhaite atténuer les risques liés à la sécurité et à la confidentialité et éviter les « grosses » erreurs.

Outre la découverte de données, quelles autres solutions juridiques numériques deviendront-elles bientôt monnaie courante ?

Je constate que l'IA et l'apprentissage automatique continuent de progresser dans le secteur juridique. Cette technologie a le potentiel de réduire considérablement les coûts de découverte électronique et de permettre aux organisations de classer et d'organiser les documents dès le début, réduisant ainsi le risque institutionnel associé à des politiques ou pratiques IG inefficaces.

L'exploration de données structurées, en plus ou en combinaison avec des sources non structurées telles que le courrier électronique, deviendra de plus en plus courante à mesure que les organisations chercheront à être en mesure de brosser un tableau factuel plus complet en utilisant toutes les données dont elles disposent. Nous avons entendu des gens parler de l'utilisation du Big Data pendant ce qui semble être une éternité maintenant, mais la véritable avancée sera de combiner les données stockées en lignes et en colonnes (y compris toutes les données que nous avons sur les appareils mobiles dans nos poches) avec les e-mails et les documents professionnels que nous avons presque exclusivement examinés pour long. L'association des deux va devenir de plus en plus courante, non seulement dans le domaine de l'eDiscovery et de la conformité, et pas seulement dans le secteur juridique, mais dans le monde des affaires en général. Le fait d'avoir un panorama holistique de l'activité d'une organisation lui permettra de prendre des décisions commerciales meilleures, plus éclairées et potentiellement plus opportunes.

Enfin, il y a l'intimité. Les évaluations de la protection des données ont déjà pris leur envol alors que les entreprises sont de plus en plus conscientes de leurs obligations légales en matière de confidentialité et de sécurité, et que de plus en plus de clients l'attendent. Ainsi, alors que les audits de confidentialité et de sécurité deviennent de plus en plus courants, le résultat naturel de ces évaluations comprendra des exigences plus strictes en matière de mots de passe, l'anonymisation des données — ou la dépersonnalisation des données personnelles lorsque cela est possible — et une analyse plus approfondie des sous-traitants d'une organisation les pratiques de confidentialité et de sécurité. Nous verrons de plus en plus de personnes exercer leurs droits sur leurs informations personnelles en demandant l'accès, la suppression ou la correction de leurs informations personnelles qu'une organisation peut détenir.

Partagez avec nous, quelles sont les prochaines étapes pour HayStackID ?

HayStackID a débuté en tant que société d'investigation informatique et de cyberinvestigation, et les principes et pratiques médico-légaux établis pour ce travail seront toujours au cœur de ce que nous faisons. Mais alors que nous nous tournons vers l'avenir, HayStackID s'efforce de transformer la façon dont les professionnels de la cybersécurité, de l'IG et de l'eDiscovery pensent des preuves électroniques. Nous repoussons les limites de l'utilisation de l'IA, de la science des données et de l'apprentissage automatique, et nous associons ces technologies à des évaluateurs humains qualifiés afin de fournir aux organisations des informations exploitables plus rapidement et à moindre coût que jamais auparavant.

Ce que nous faisons dans le domaine de la protection de la vie privée et des données est peut-être encore plus intéressant. Pour aider nos clients à analyser les données à la recherche d'informations sensibles, allant des informations personnelles aux informations personnelles et aux anomalies de code de violation de données, nous déployons Protect Analytics de HayStackID. Lorsque nous combinons cela avec l'offre ReviewRight Protect de HayStackID, nous pouvons exploiter la puissance de la technologie et de l'examen humain et les orienter directement vers la détection, l'identification, la révision et la notification des violations et anomalies liées aux données sensibles.

Bien que les preuves électroniques et la découverte électronique soient toujours notre pain et notre beurre, nous sommes enthousiastes à l'idée de ce que nous apportons au secteur pour le rendre plus efficace, plus efficient et plus rentable pour nos clients.

Lisez l'article original.

*Partagé avec autorisation.

À propos de HayStackID®

HayStackID est un cabinet spécialisé de services de découverte électronique qui aide les entreprises et les cabinets d'avocats à trouver, comprendre et tirer des leçons en toute sécurité des données lorsqu'ils font face à des enquêtes et à des litiges complexes et gourmands en données. HayStackID mobilise des services de cyberdécouverte, des solutions d'entreprise et des offres de découverte juridique de pointe au service de plus de 500 des plus grandes entreprises et cabinets d'avocats du monde en Amérique du Nord et en Europe. Au service de près de la moitié des entreprises du classement Fortune 100, HayStackID est un fournisseur alternatif de services cybernétiques et juridiques qui allie expertise et excellence technique à une culture de service client irréprochable. En plus d'être régulièrement classée par Chambers USA, la société a récemment été nommée leader mondial des services de découverte électronique par IDC MarketScape et un fournisseur représentatif dans le Gartner Market Guide for E-Discovery Solutions. En outre, HayStackID a obtenu l'attestation SOC 2 Type II dans les cinq domaines de service de confiance que sont la sécurité, la disponibilité, l'intégrité du traitement, la confidentialité et la confidentialité. Pour plus d'informations sur sa gamme de services, y compris les programmes et les solutions répondant aux besoins spécifiques des entreprises juridiques, rendez-vous sur HayStackID.com.