Sécurité et conformité
Établissez un système de classification des données afin de protéger la confidentialité des données financières et RH, de garantir le respect des exigences de conformité et de permettre une collaboration sécurisée entre les services.
Sécurité du code
Protégez la sécurité du code et empêchez les fuites d’informations sensibles.
Stratégie de téléversement du code
- •Ne téléchargez pas de code sensible:Utiliser des modèles locaux pour traiter du code sensible
- •Anonymisation du code: Supprimer les informations sensibles telles que les clés API, les mots de passe et les clés secrètes
- •Mécanisme de revue de code: assistance IA + relecture humaine pour garantir la sécurité
- •Mécanisme de liste autorisée:Clarifier quel code peut être téléversé
Gestion des API Key
- •Outil unifié de gestion des clés: Utiliser des outils comme 1Password, Vault, etc.
- •Mécanisme de rotation des clés: Faire tourner régulièrement les clés API
- •Contrôle d’accès aux clés: Définir les autorisations d’accès et appliquer le principe du moindre privilège
- •Surveillance de l’utilisation des clés: Enregistrer l’utilisation de toutes les clés
Protection des données et confidentialité
Mettre en place un système de classification des données et choisir les outils et méthodes de traitement appropriés selon la sensibilité des données.
Système de classification des données
Informations pouvant être rendues publiques, sans contenu sensible
Usage interne uniquement, non publié
Contient des informations personnelles et des secrets commerciaux
Très sensible, protégé par la loi
Protection de la confidentialité des données financières
- • Informations financières publiques: Peut utiliser des outils cloud (comme des rapports financiers publics)
- • Données financières internes:Utiliser des outils version entreprise, avec un accord de protection des données
- • Données financières sensibles: utiliser un modèle local (Ollama), entièrement hors ligne
- • Données financières confidentielles: L’utilisation d’outils d’IA est interdite
- • Anonymisation des données : Les données financières doivent être anonymisées avant utilisation (montants, numéros de compte, etc.)
- • Choix des outils: privilégier le modèle local pour les données financières
- • Flux d'approbation: L’utilisation d’outils d’IA pour traiter des données financières nécessite une approbation
- • Journal d’audit: Consigner toute utilisation d’outils d’IA liée aux données financières
- • Utiliser Fabric pour générer un modèle de rapport (sans données réelles)
- • Utiliser des modèles locaux pour analyser les données financières
- • Utiliser Cursor pour rédiger des documents financiers (sans données sensibles)
Protection de la confidentialité des données RH
- • Informations publiques:Offres d’emploi, supports de formation publics
- • Informations internes: Manuel de l’employé, plan de formation
- • Informations sensibles: informations personnelles des employés, données de performance, informations salariales
- • Informations confidentielles: Informations de santé des employés, données de vérification des antécédents
- • Protection des données personnelles: Les informations personnelles des employés ne sont pas téléversées dans le cloud
- • Analyse de données: Utiliser un modèle local pour analyser les données des employés
- • Génération de rapport : Utiliser des modèles pour générer des rapports, sans inclure d’informations personnellement identifiables
- • Exigences de conformité: respecter le RGPD, la loi sur la protection des informations personnelles et d’autres réglementations
- • Génération de JD de recrutement : utiliser Fabric pour générer des descriptions de poste (sans informations sensibles)
- • Génération de questions d’entretien : utiliser l’IA pour générer des modèles de questions d’entretien
- • Rédaction de supports de formation : utiliser Cursor pour rédiger des documents de formation
- • Analyse de données : utiliser un modèle local pour analyser les retours des employés (après anonymisation)
Anonymisation des données
- • Informations personnelles : nom, numéro d’identité, numéro de téléphone portable → anonymisées
- • Informations financières : montants, numéros de compte, historiques de transactions → anonymisation
- • Secrets commerciaux : informations clients, contenu des contrats → anonymiser
- • Script d’anonymisation automatique
- • Configuration des règles d’anonymisation
- • Vérifier l’efficacité de l’anonymisation
- Classification des données : identification des données sensibles
- Traitement d’anonymisation : appliquer les règles d’anonymisation
- Vérification de l’effet : contrôler l’effet de masquage
- Utiliser des outils d’IA : traiter des données anonymisées
Exigences de conformité
Respecter les lois et réglementations applicables et mettre en place des mécanismes d’audit et de journalisation.
Conformité aux lois et réglementations
- • RGPD (UE)
- • Loi sur la protection des informations personnelles (Chine)
- • Principe de minimisation des données
- • Principe de limitation de la finalité
- • Protection des données financières
- • Exigences d’audit
- • Vérifications de conformité
- • Données médicales : HIPAA
- • Données financières : réglementation financière
- • Données éducatives : FERPA
Audit et journalisation
- • Enregistrer toutes les utilisations des outils d’IA
- • Enregistrer l’état de l’envoi des données
- • Enregistrer la sélection du modèle
- • Enregistrer l’heure, le contenu et le résultat des appels API
- • Enregistrer l’utilisation des jetons
- • Enregistrer les informations de coût
- • Enregistrer les accès aux données sensibles
- • Enregistrer l’état de l’anonymisation des données
- • Enregistrer le processus d’approbation
Vérification de conformité
- • Vérification mensuelle : conformité de l’utilisation des outils
- • Vérification trimestrielle : conformité à la protection des données
- • Vérification annuelle : audit complet de conformité
- • Détecter les problèmes → les corriger immédiatement
- • Mesures correctives → archivage des enregistrements
- • Effet d’amélioration → confirmation de la vérification
- • Rapport de conformité mensuel
- • Rapport trimestriel de conformité
- • Rapport d’audit annuel
Collaboration interservices pour la protection de la vie privée
Établir des normes de collaboration interservices pour garantir la sécurité des données.
Collaboration entre les RH et la finance
- •Normes de partage des données: préciser clairement quelles données peuvent être partagées
- •Choix des outils: choisir les outils en fonction de la sensibilité des données
- •Flux d'approbation: l’utilisation des données entre départements nécessite une approbation
Collaboration juridique et financière
- •Revue de contrat:utiliser un modèle local pour examiner les contrats liés à la finance
- •Vérification de conformité : Utiliser des outils d’IA pour vérifier la conformité financière
- •Génération de documents: Utiliser des modèles pour générer des documents financiers et juridiques
Exercices pratiques
Suggestion d’exercice :
- 1Élaborer un système de classification des données (définitions et règles d’utilisation des niveaux 1 à 4)
- 2Concevoir un schéma de protection des données financières (classification des données, règles d’utilisation, processus d’approbation)
- 3Mettre en place des processus de protection de la confidentialité des données RH (classification des données, règles d’utilisation, exigences de conformité)
- 4Créer des règles de collaboration interservices (partage des données, choix des outils, processus d’approbation)
- 5Processus de contrôle de conformité de conception (vérifications régulières, correction des problèmes, rapport de conformité)
Résultats d’apprentissage
À la fin de ce chapitre, vous pourrez :
- 1Maîtriser les méthodes de classification et de protection des données (système de classification des données Niveau 1-4)
- 2Peut protéger la confidentialité des données financières et RH (classification des données, règles d’utilisation, processus d’approbation)
- 3Comprendre les exigences de conformité (respect des lois et réglementations, journaux d'audit, contrôles de conformité)
- 4Maîtriser les méthodes de collaboration interservices pour la protection de la vie privée (normes de coordination entre les services RH, finance et juridique)