Chapitre 8

Sécurité et conformité

Établissez un système de classification des données afin de protéger la confidentialité des données financières et RH, de garantir le respect des exigences de conformité et de permettre une collaboration sécurisée entre les services.

Sécurité du code

Protégez la sécurité du code et empêchez les fuites d’informations sensibles.

Stratégie de téléversement du code

  • Ne téléchargez pas de code sensible:Utiliser des modèles locaux pour traiter du code sensible
  • Anonymisation du code: Supprimer les informations sensibles telles que les clés API, les mots de passe et les clés secrètes
  • Mécanisme de revue de code: assistance IA + relecture humaine pour garantir la sécurité
  • Mécanisme de liste autorisée:Clarifier quel code peut être téléversé

Gestion des API Key

  • Outil unifié de gestion des clés: Utiliser des outils comme 1Password, Vault, etc.
  • Mécanisme de rotation des clés: Faire tourner régulièrement les clés API
  • Contrôle d’accès aux clés: Définir les autorisations d’accès et appliquer le principe du moindre privilège
  • Surveillance de l’utilisation des clés: Enregistrer l’utilisation de toutes les clés

Protection des données et confidentialité

Mettre en place un système de classification des données et choisir les outils et méthodes de traitement appropriés selon la sensibilité des données.

Système de classification des données

Niveau 1 : données publiques

Informations pouvant être rendues publiques, sans contenu sensible

Choix de l’outil :Vous pouvez utiliser n’importe quel outil d’IA cloud
Exemple :Documentation technique publique、Article de blog、Documentation API publique
Niveau 2 : données internes

Usage interne uniquement, non publié

Choix de l’outil :Utiliser des outils de version entreprise (avec des accords de protection des données)
Exemple :Documentation technique interne、Documentation du projet、Wiki interne
Niveau 3 : Données sensibles

Contient des informations personnelles et des secrets commerciaux

Choix de l’outil :Utiliser un modèle local (Ollama), ne pas envoyer vers le cloud
Exemple :Informations sur les employés、Données client、Données financières
Niveau 4 : Données confidentielles

Très sensible, protégé par la loi

Choix de l’outil :Interdiction d’utiliser des outils d’IA, ou utiliser un modèle local entièrement hors ligne
Exemple :Données financières、Contrats juridiques、Dossiers médicaux

Protection de la confidentialité des données financières

Classification des données financières
  • Informations financières publiques: Peut utiliser des outils cloud (comme des rapports financiers publics)
  • Données financières internes:Utiliser des outils version entreprise, avec un accord de protection des données
  • Données financières sensibles: utiliser un modèle local (Ollama), entièrement hors ligne
  • Données financières confidentielles: L’utilisation d’outils d’IA est interdite
Règles d’utilisation des données financières
  • Anonymisation des données : Les données financières doivent être anonymisées avant utilisation (montants, numéros de compte, etc.)
  • Choix des outils: privilégier le modèle local pour les données financières
  • Flux d'approbation: L’utilisation d’outils d’IA pour traiter des données financières nécessite une approbation
  • Journal d’audit: Consigner toute utilisation d’outils d’IA liée aux données financières
Génération de rapports financiers
  • • Utiliser Fabric pour générer un modèle de rapport (sans données réelles)
  • • Utiliser des modèles locaux pour analyser les données financières
  • • Utiliser Cursor pour rédiger des documents financiers (sans données sensibles)

Protection de la confidentialité des données RH

Classification des données RH
  • Informations publiques:Offres d’emploi, supports de formation publics
  • Informations internes: Manuel de l’employé, plan de formation
  • Informations sensibles: informations personnelles des employés, données de performance, informations salariales
  • Informations confidentielles: Informations de santé des employés, données de vérification des antécédents
Directives d’utilisation des données RH
  • Protection des données personnelles: Les informations personnelles des employés ne sont pas téléversées dans le cloud
  • Analyse de données: Utiliser un modèle local pour analyser les données des employés
  • Génération de rapport : Utiliser des modèles pour générer des rapports, sans inclure d’informations personnellement identifiables
  • Exigences de conformité: respecter le RGPD, la loi sur la protection des informations personnelles et d’autres réglementations
Cas d’usage de l’IA RH
  • • Génération de JD de recrutement : utiliser Fabric pour générer des descriptions de poste (sans informations sensibles)
  • • Génération de questions d’entretien : utiliser l’IA pour générer des modèles de questions d’entretien
  • • Rédaction de supports de formation : utiliser Cursor pour rédiger des documents de formation
  • • Analyse de données : utiliser un modèle local pour analyser les retours des employés (après anonymisation)

Anonymisation des données

Règles d'anonymisation
  • • Informations personnelles : nom, numéro d’identité, numéro de téléphone portable → anonymisées
  • • Informations financières : montants, numéros de compte, historiques de transactions → anonymisation
  • • Secrets commerciaux : informations clients, contenu des contrats → anonymiser
Outil d’anonymisation
  • • Script d’anonymisation automatique
  • • Configuration des règles d’anonymisation
  • • Vérifier l’efficacité de l’anonymisation
Processus d’anonymisation
  1. Classification des données : identification des données sensibles
  2. Traitement d’anonymisation : appliquer les règles d’anonymisation
  3. Vérification de l’effet : contrôler l’effet de masquage
  4. Utiliser des outils d’IA : traiter des données anonymisées

Exigences de conformité

Respecter les lois et réglementations applicables et mettre en place des mécanismes d’audit et de journalisation.

Conformité aux lois et réglementations

Protection des données personnelles
  • • RGPD (UE)
  • • Loi sur la protection des informations personnelles (Chine)
  • • Principe de minimisation des données
  • • Principe de limitation de la finalité
Conformité financière
  • • Protection des données financières
  • • Exigences d’audit
  • • Vérifications de conformité
Conformité sectorielle
  • • Données médicales : HIPAA
  • • Données financières : réglementation financière
  • • Données éducatives : FERPA

Audit et journalisation

Journal d’utilisation des outils
  • • Enregistrer toutes les utilisations des outils d’IA
  • • Enregistrer l’état de l’envoi des données
  • • Enregistrer la sélection du modèle
Journal des appels API
  • • Enregistrer l’heure, le contenu et le résultat des appels API
  • • Enregistrer l’utilisation des jetons
  • • Enregistrer les informations de coût
Journaux d’accès aux données sensibles
  • • Enregistrer les accès aux données sensibles
  • • Enregistrer l’état de l’anonymisation des données
  • • Enregistrer le processus d’approbation

Vérification de conformité

Vérifications de conformité régulières
  • • Vérification mensuelle : conformité de l’utilisation des outils
  • • Vérification trimestrielle : conformité à la protection des données
  • • Vérification annuelle : audit complet de conformité
Correction des problèmes de conformité
  • • Détecter les problèmes → les corriger immédiatement
  • • Mesures correctives → archivage des enregistrements
  • • Effet d’amélioration → confirmation de la vérification
Rapport de conformité
  • • Rapport de conformité mensuel
  • • Rapport trimestriel de conformité
  • • Rapport d’audit annuel

Collaboration interservices pour la protection de la vie privée

Établir des normes de collaboration interservices pour garantir la sécurité des données.

Collaboration entre les RH et la finance

  • Normes de partage des données: préciser clairement quelles données peuvent être partagées
  • Choix des outils: choisir les outils en fonction de la sensibilité des données
  • Flux d'approbation: l’utilisation des données entre départements nécessite une approbation

Collaboration juridique et financière

  • Revue de contrat:utiliser un modèle local pour examiner les contrats liés à la finance
  • Vérification de conformité : Utiliser des outils d’IA pour vérifier la conformité financière
  • Génération de documents: Utiliser des modèles pour générer des documents financiers et juridiques

Exercices pratiques

Suggestion d’exercice :

  • 1Élaborer un système de classification des données (définitions et règles d’utilisation des niveaux 1 à 4)
  • 2Concevoir un schéma de protection des données financières (classification des données, règles d’utilisation, processus d’approbation)
  • 3Mettre en place des processus de protection de la confidentialité des données RH (classification des données, règles d’utilisation, exigences de conformité)
  • 4Créer des règles de collaboration interservices (partage des données, choix des outils, processus d’approbation)
  • 5Processus de contrôle de conformité de conception (vérifications régulières, correction des problèmes, rapport de conformité)

Résultats d’apprentissage

À la fin de ce chapitre, vous pourrez :

  • 1Maîtriser les méthodes de classification et de protection des données (système de classification des données Niveau 1-4)
  • 2Peut protéger la confidentialité des données financières et RH (classification des données, règles d’utilisation, processus d’approbation)
  • 3Comprendre les exigences de conformité (respect des lois et réglementations, journaux d'audit, contrôles de conformité)
  • 4Maîtriser les méthodes de collaboration interservices pour la protection de la vie privée (normes de coordination entre les services RH, finance et juridique)