Déroulement d'un atelier organisationnel

Ceci concerne un atelier destiné à une organisation et à son personnel.

Étape 1 : quelles sont les informations partagées par chaque service/programme/équipe de l’organisation ?

En fonction de la configuration et de la structure de l’organisation, demandez à chaque service ou équipe un exemple d’information qu’iels partagent, que ce soit au sein de l’organisation ou en externe.

Voici quelques exemples pour encourager les réponses :

  • Pour des services de communication : en quoi consistent les rapports que vous publiez ?
  • Pour des équipes de recherche : en quoi consistent les recherches sur lesquelles vous publiez des rapports ?
  • Pour des équipes administratives et/ou financières : qui a accès aux fiches de paye de votre organisation ? Et aux rapports financiers ?
  • Pour les services des ressources humaines : que se passe-t-il avec les évaluations de personnel ?

Conseil pour l’animation : Il est bien plus simple de répondre à cette question pour les équipes tournées vers l’extérieur, comme un service de communication ou un programme qui publie des rapports et documents de recherche. Pour les services plus tournés vers l’intérieur, comme la finance et l’administration ou les ressources humaines, la personne formatrice-animatrice peut avoir besoin de passer du temps sur des exemples d’informations que ces services partagent.

Cette étape vise à ce que les différentes équipes reconnaissent qu’elles partagent toutes des informations, en interne comme vers l’extérieur. C’est important puisque chaque équipe devrait pouvoir identifier un ou deux types d’informations qu’elles partagent lorsqu’elles évaluent les risques dans leur pratique de gestion des données.

Étape 2 : présentation du cycle de vie des données et des questions de sécurité

La présentation a pour but de rappeler aux participant·e·s le cycle de gestion des données. Vous trouverez les points principaux de la présentation :

Étape 3 : travail en groupes

Au sein des équipes, demandez à chaque groupe d’identifier un ou deux types d’informations qu’ils partagent/publient.

Pour établir des priorités, encouragez les équipes à déterminer quelles informations elles souhaitent sécuriser le plus, ou quelles sont les informations les plus sensibles qu’elles partagent.

Ensuite, pour chaque type d’informations partagées ou publiées, demandez aux équipes de remonter le processus afin d’examiner le cycle de vie de ses données. Servez-vous de la présentation ci-dessous pour leur poser des questions clés sur leurs pratiques en matière de gestion des données pour chacune des données publiées ou partagées.

À la fin de ce processus, chaque équipe devrait pouvoir partager avec les autres les résultats de leurs discussions.

En règle générale, il faut compter environ une heure pour ce travail de groupe.

Étape 4 : présentations de groupes et réflexion sur la sécurité

Selon la taille de l’organisation et le travail réalisé par chaque service, donnez-leur du temps pour présenter les résultats de leurs discussions à leurs collègues. Encouragez chaque équipe à réfléchir à des façons créatives de présenter et de mettre en valeur les points principaux de leurs discussions. Iels n’ont pas besoin de partager la totalité de leurs discussions.

Encouragez les autres participant·e·s à prendre des notes sur ce que les groupes partagent, puisqu’il y aura du temps pour les commentaires et les réactions à la fin de chaque présentation.

Ceci devrait prendre environ 10 minutes par groupe.

Le rôle de la personne formatrice-animatrice consiste ici, outre chronométrer et gérer les réactions, aussi à réagir après chaque présentation. C’est le moment de mettre votre chapeau de personne pratiquant la sécurité.

Quelques sujets sur lesquels il est intéressant de questionner :

  • Si le processus de collecte de données est supposé être privé, ne serait-il pas préférable d’utiliser des outils de communication plus sûrs ?
  • Qui a accès aux appareils de stockage, en théorie et en réalité ? Si ceux-ci sont physiques, où se trouvent-ils dans les bureaux ?
  • Qui peut voir les données brutes ?

En tant que personne formatrice-facilitatrice, vous pouvez aussi profiter de ce moment pour émettre quelques recommandations et suggestions pour rendre les pratiques de l’organisation en matière de gestion des données plus sûres.

Conseil pour l’animation : Consultez l’activité intitulée Outils alternatifs : Réseaux et communications pour mieux guider cet atelier.

Étape 5 : retour aux groupes : améliorer la sécurité

Après la présentation de toutes les équipes, celles-ci se reforment pour continuer à discuter et réfléchir aux manières de mieux sécuriser leurs processus de gestion de données et de leurs données elles-mêmes.

L’objectif est ici que chaque groupe planifie des façons d’améliorer la sécurité à chaque étape du cycle de vie de leurs données.

À la fin, chaque équipe devrait avoir quelques plans pour améliorer la sécurité dans leurs pratiques en matière de données.

Remarque : On suppose ici que le groupe a déjà été un peu formé aux bases de la sécurité dans le but de faire ceci. Si ce n’est pas le cas, la personne formatrice-animatrice peut, lors de l’étape 4, suggérer quelques outils, options et processus alternatifs offrant davantage de sécurité pour la pratique du groupe en matière de gestion des données.

Questions-guides pour les discussions de groupes

  • Parmi les types de données que vous gérez, lesquelles sont publiques (tout le monde peut en savoir quelque chose), privées (seule l’organisation peut en savoir quelque chose), confidentielles (seule l’équipe et certains groupes de l’organisation peuvent en savoir quelque chose), et comment votre équipe s’assure-t-elle que ces différents types de données sont bien privés et confidentiels ?
  • Comment votre équipe peut-elle s’assurer que vous êtes en mesure de gérer qui a accès à vos données ?
  • Quelles sont les politiques de conservation et de suppression des données des plateformes dont vous vous servez pour stocker et traiter vos données en ligne ?
  • Que peut faire l’équipe pour améliorer la sécurité de ses communications, en particulier les données et informations privées et confidentielles ?
  • Quels pratiques et processus l’équipe devrait-elle mettre en place pour préserver le caractère privé et confidentiel de ses données ?
  • En quoi devriez-vous changer votre manière de gérer les données pour en améliorer la sécurité ? Revenez sur les résultats du précédent travail de groupe et cherchez ce qui peut être amélioré.
  • Quel rôle devrait jouer chaque membre de l’équipe pour réaliser ces changements ?

Étape 6 : présentation finale des plans d’évolution

Ici, chaque équipe aura du temps pour présenter comment elle compte améliorer la sécurité de sa gestion des données.

C’est l’occasion pour l’ensemble de l’organisation de mettre en commun des stratégies et des tactiques, et d’apprendre les uns et les unes des autres.

Synthèse de l’activité

À la fin des présentations de groupes et de la mise en commun, la personne formatrice-animatrice peut synthétiser l’activité en :

  • Pointant les principales observations réalisées.
  • Demandant aux participant·e·s de donner les idées clés tirées de l’activité.
  • Se mettant d’accord sur les prochaines étapes pour mettre les plans à exécution.
Passez à la section Présentation et Ressources supplémentaires.

wiggy-cactus-red-several.png