Ceci étant, aucune de ces pistes n’oriente l’entreprise sur la façon dont elle doit s’organiser. Nous sommes peut-être là sur le nœud gordien de l’anonymisation :
- « Dois-je anonymiser application par application ? »
- « Que faire des applications qui partagent des données personnelles d’un même individu ? »
- « Quel mode d’organisation va répondre aux exigences des métiers ? »
- « Vais-je perdre en agilité dans l’évolution du système d’information ? »
Clairement, l’organisation est la clef de voûte du projet d’anonymisation et conditionne son succès.
Vous devez mettre en œuvre un « service d’anonymisation industrialisé » à même de répondre au besoin de toutes les équipes informatiques, qui seront les plus impactées :
- avoir la capacité d’adresser toutes les technologies (en respectant leur règle de licensing et de support, bien sûr) ;
- proposer un échantillonnage performant et intelligent : on ne se contente pas des 1000 premières lignes… on va chercher un jeu de données représentatif dans une source de données et dans les référentiels subsidiaires (pour garantir une intégrité référentielle entre applications) ;
- garantir des niveaux de services performants : proposer des anonymisation « on demand » ou automatisées ;
- mettre à disposition une librairie de format d’anonymisation complète (remplacement aléatoire, suppression de données, réécriture…).
Ce service d’anonymisation fera alors évoluer positivement dans les méthodes de travail des équipes informatiques, avec un impact minimum sur leur quotidien.