La confidentialité des données est une forme de sécurité des données qui vise à s’assurer que les données sont utilisées uniquement par des personnes autorisées et aux fins prévues.
Notre capacité à créer, à collecter, à partager et à analyser des données augmente de façon exponentielle. En fait, l’humanité produit jusqu’à 2,5 quintillions d’octets de données chaque jour. À chaque instant, les organisations collectent des quantités massives de données et les utilisent pour obtenir des aperçus des tendances, des occasions et des informations sur la façon dont leurs clients pensent.
Malheureusement, la collecte de données est souvent une approche « à large spectre », qui recueille illégalement des renseignements personnels et sensibles, en plus de données plus publiques, ce qui crée des problèmes pour les consommateurs et les entreprises. En même temps, même les données personnelles partagées volontairement par les clients peuvent créer des problèmes majeurs si elles ne sont pas protégées contre un accès non autorisé. Par conséquent, la question de la confidentialité des données est une préoccupation pertinente dans tous les marchés et secteurs d’activité.
Grâce aux améliorations de la portée et de l’efficacité de la numérisation des données, il est simple pour les organisations de toutes sortes de créer des profils personnels en fonction des données capturées des personnes. Et cela va au-delà des renseignements de base comme le nom, l’âge et l’adresse. Aujourd’hui, presque toutes les formes de renseignements personnels existent en version numérique, des plus anodins (comme les intérêts et les passe-temps, les préférences d’achat, les relations, etc.) aux plus confidentiels (comme les numéros d’assurance sociale, les renseignements sur le crédit, les données sur la santé, l’emplacement et les déplacements, etc.).
Dans de nombreux cas, des machines utilisent les informations que nous partageons en ligne, intentionnellement ou non, pour devenir plus intelligentes : la photo de chiot que nous publions sur les médias sociaux aide à enseigner à des algorithmes semi-intelligents à reconnaître un chiot lorsqu’ils en voient un. Les recherches que nous effectuons en ligne enseignent aux machines comment mieux comprendre et reproduire le langage humain.
Toutefois, peu importe la façon dont les données sont utilisées, nous avons toutes les raisons de nous alarmer du fait qu’elles existent et qu’elles sont accessibles à des utilisateurs inconnus. Aux quatre coins du monde, les clients (et naturellement, les législateurs) commencent à exiger que les entreprises donnent aux propriétaires originaux des données le droit de décider comment leurs données sont collectées et utilisées.
Par conséquent, les organisations qui établissent et suivent des politiques saines en matière de confidentialité des données sont plus à même d’établir une relation de confiance avec leurs clients. En même temps, elles éliminent les risques juridiques associés au non-respect des lois, normes et règlements sur la confidentialité des données, nouveaux et à venir. La récente amende de 5 milliards de dollars imposée par la FTC (Federal Trade Commission) à Facebook est un exemple de la rigueur des sanctions en cas de violation de ces lois.
L’amende de 5 milliards de dollars de Facebook est la plus importante jamais imposée à une entreprise pour des violations de la confidentialité des données des consommateurs, mais elle ne sera certainement pas la dernière de ce type. Les organismes de surveillance gouvernementaux des États-Unis, de l’Union européenne, de l’Amérique du Sud et du reste du monde s’opposent fermement à la collecte et à l’utilisation non autorisées de données. Les organisations qui ne mettent pas à jour leurs politiques de confidentialité des données courent le risque de perdre plus que la confiance de leurs clients.
D’autre part, les entreprises qui modernisent activement leurs stratégies de protection des données, en y ajoutant des technologies intégrées, automatisées et en temps réel afin de s’assurer que les données sont utilisées de façon éthique, légale et sans enfreindre les droits des propriétaires de données profitent de nombreux avantages.
Ces avantages sont les suivants :
Comme nous l’avons déjà mentionné, l’un des avantages d’affaires les plus pertinents de la confidentialité des données réside dans le fait d’éviter les pénalités et les amendes. Les sanctions en cas de non-respect des lois sur la confidentialité des données sont de plus en plus sévères, sans parler des indemnisations à verser aux clients touchés si leurs données sensibles sont rendues publiques illégalement.
De plus, les groupes gouvernementaux prennent leur mandat de protection des données des utilisateurs au sérieux, en mettant en œuvre de nouvelles lois et en renforçant leurs activités de surveillance afin de s’assurer que les entreprises ne mettent pas les données des clients en danger. Les organisations qui créent et suivent des politiques de confidentialité des données adéquates n’ont pas à s’inquiéter des accusations criminelles.
La relation consommateur-entreprise est une relation qui va bien au-delà des transactions d’achat. En effet, lorsqu’un client choisit de faire affaire avec une entreprise, il se fie à cette organisation pour respecter et sécuriser toutes les données personnelles qui peuvent être échangées dans le cadre du processus. Et lorsque cette confiance est trahie, il est difficile de la reconquérir.
Les atteintes à la vie privée causent de graves dommages à la réputation et à la marque. Les clients d’aujourd’hui ont l’embarras du choix, et dans bien des cas, une seule erreur en matière de sécurité des données suffit à les envoyer dans les bras de concurrents. Inversement, les entreprises qui démontrent clairement leur engagement envers la confidentialité des données donnent à leurs clients un contrôle sans restriction sur les méthodes de collecte et d’utilisation de leurs données et agissent de façon transparente dans leurs pratiques de données pour fidéliser les clients. Cela se traduit par une amélioration de la valeur de la marque et une augmentation de la valeur à vie du client.
La gestion de la confidentialité des données force les organisations à examiner plus en détail leurs données et la façon dont elles interagissent dans l’ensemble de l’entreprise. En commençant par un audit détaillé (suivi par des audits réguliers continus) pour déterminer comment les données sont collectées et utilisées, les entreprises peuvent facilement identifier et résoudre les inefficacités de la gestion des données. Il en résulte une culture plus axée sur les données, les processus opérationnels s’en voient simplifiés, et chaque service à tous les niveaux en profite.
Les initiatives de confidentialité des données peuvent également encourager les entreprises à consolider leurs plateformes de données, en regroupant toutes les données pertinentes et tous les outils de gestion des données dans un seul emplacement centralisé. Cela réduit les dangers associés aux silos de données et permet une meilleure analyse des données, une intégrité accrue des données et des décisions d’affaires plus éclairées.
Afin de mieux servir les clients, d’éviter les atteintes à la réputation et de respecter les nouvelles lois établies, de nombreux développeurs de logiciels adoptent maintenant la confidentialité programmée (PbD, privacy by design).
La PbD est une nouvelle approche plus délibérée de la confidentialité des données. La PbD encourage les ingénieurs de système à intégrer des vérifications et des solutions de confidentialité dans tous les produits, services, infrastructures et pratiques d’affaires. Ces considérations doivent être intégrées dès les premières étapes de développement et demeurer une priorité continue tout au long de la production, dans les phases de déploiement et post-déploiement.
La PbD veille à ce que la confidentialité des données demeure une priorité pendant tout le cycle de vie du développement, plutôt que d’être incluse dans un deuxième temps après le lancement.
Malheureusement, la confidentialité efficace des données n’est pas aussi simple que de prendre la décision de traiter les données des clients de manière responsable. Les entreprises modernes sont confrontées à divers obstacles qui doivent être surmontés ou évités pour assurer une gestion réussie de la confidentialité des données :
Les progrès en matière d’intelligence artificielle (IA) permettent aux organisations d’analyser plus facilement et plus précisément de grandes quantités de données d’utilisateurs. Mais avec ces nouvelles capacités, il convient de régler certains enjeux éthiques. Jusqu’où l’analyse des données doit-elle être autorisée? L’IA a le pouvoir d’extraire des renseignements extrêmement personnels, précieux et sensibles basés sur des données qui semblent sans importance. Les entreprises doivent être pleinement au courant des conséquences de la collecte de ce type de données avant d’utiliser de telles tactiques.
Une partie importante de la responsabilité de la confidentialité des données repose sur les employés qui travaillent avec ces données. Les employés mal formés peuvent facilement égarer, exposer ou utiliser de façon abusive des données, mettre les clients en danger et exposer les entreprises à un risque de représailles. De même, les employés peu fiables peuvent tenter activement de voler des données sensibles. Il convient d’évaluer intégralement tous les employés avant de leur confier un accès aux renseignements sur les clients, et tous les employés doivent être formés aux politiques et normes pertinentes en matière de confidentialité des données.
De nombreuses entreprises se concentrent sur la collecte et l’analyse de données, mais ne parviennent pas à continuer à assumer leurs responsabilités à l’égard de ces données une fois la relation d’affaires terminée. Les renseignements personnels doivent être conservés conformément aux normes établies, et seulement tant que le client (ou l’employé) est associé à l’entreprise. Conserver les renseignements personnels plus longtemps que nécessaire peut entraîner des amendes et des pénalités et aggraver les conséquences de violations potentielles de données.
Les logiciels hébergés sur le Web et dans le nuage peuvent créer un point d’accès non sécurisé aux données au sein d’une organisation peu méfiante. La sécurité des données exige que toutes les nouvelles applications soient entièrement inspectées et approuvées comme étant sécuritaires avant qu’elles puissent être déployées pour être utilisées au sein de l’organisation.
La protection des données est essentielle, mais si une menace parvient à contourner les contrôles de sécurité ou si un événement émergent menace l’intégrité des données, les entreprises ont besoin d’un plan de réponse à un incident de sécurité efficace. La création, le partage, l’amélioration et la formation afin que le plan puisse être déployé dès les premiers signes d’une atteinte à la protection des données aident à limiter les dommages potentiels représentés par une telle menace.
Les nouvelles lois stipulent que les clients sont tenus d’accorder aux organisations l’autorisation explicite d’utiliser leurs données, en mettant l’accent sur la liberté de choisir le type de données partagées. Les entreprises qui ne limitent pas leurs pratiques de collecte de données au-delà de ce qui est strictement nécessaire pour la transaction risquent de faire face à des problèmes juridiques.
L’époque où des organisations peu scrupuleuses pouvaient dissimuler leurs véritables intentions derrière des termes juridiques et des accords politiques complexes est révolue. Aujourd’hui, les conditions de confidentialité des données doivent être présentées de manière à ce que chaque client ou autre partie prenante puisse facilement les comprendre. Si l’utilisateur peut prouver que ce qu’il a accepté n’était pas clair, alors l’entreprise est fautive.
Lorsque les clients abandonnent les formulaires en ligne contenant des renseignements personnels, d’autres utilisateurs
peuvent possiblement obtenir un accès à ces données. Les fonctionnalités de sécurité liées à l’expiration de session sont
conçues pour limiter l’accès à des formulaires sensibles et à d’autres renseignements si l’utilisateur n’a pas effectué une
action précise sur le site dans un délai imparti. L’inclusion de ces mesures de protection sur toutes les
applications et tous les systèmes informatiques peut protéger davantage les données contre l’exposition.
Nous pensons souvent à tort que les données numériques se déplacent directement du point A au point B. Mais pendant leur
transit, ces données peuvent faire une halte inattendue, exposant potentiellement des informations sensibles à
des utilisateurs non autorisés. Les canaux non sécurisés sont un problème majeur dans le cadre de la confidentialité des données. Les entreprises
ne doivent utiliser que des canaux sécurisés (comme SFTP ou TLS).
Il est clair que dans le contexte d’affaires actuel, la confidentialité des données est un enjeu majeur. Mais comment
les organisations peuvent-elles surmonter les défis et créer une culture de confidentialité des données? Ici, nous présentons
plusieurs pratiques exemplaires pour aider les entreprises à se lancer :
La confidentialité des données est une préoccupation et une responsabilité qui touche l’ensemble de l’entreprise. Elle ne doit pas se cantonner au service informatique. Adoptez une approche holistique et impliquez tous les aspects de l’organisation à la mise en place et au respect des politiques de confidentialité des données.
Une gestion efficace de la confidentialité des données dépend de la capacité des organisations à savoir clairement où se trouvent les données, ce qu’elles contiennent, qui y a accès et dans quelle mesure elles sont à jour. Le mappage des données crée une image détaillée de la situation actuelle des données d’une entreprise.
Mettre en place des politiques, des conditions générales et des modalités viables ne constitue que la moitié du travail. Une entreprise qui ne respecte pas ces politiques, qui ne tient pas ses promesses et qui ne remplit pas ses obligations expose l’organisation à des risques juridiques et à la désillusion des clients.
La collecte de données n’est pas un processus statique. Le type de données que les organisations trouvent pertinentes et utiles peut changer d’un trimestre à l’autre, ou encore plus souvent. Cela dit, si ces organisations décident de mettre à jour leurs pratiques de collecte et d’utilisation des données, elles doivent également mettre à jour leurs politiques pour tenir compte de ces changements.
Aucune entreprise n’est complètement isolée : les fournisseurs et les entrepreneurs de tierce partie peuvent avoir besoin d’accéder à des données sensibles sur les clients. Il est donc essentiel que les organisations évaluent en profondeur ces partenaires pour s’assurer qu’ils ont des pratiques de sécurité fiables en place. Sinon, les entités de tierce partie deviennent des maillons faibles par lesquels des fuites de données peuvent se produire.
Chaque année, les gouvernements renforcent leur position contre les violations de la confidentialité des données. Voici une liste de plusieurs lois récentes visant à renforcer la confidentialité des données dans différents secteurs aux quatre coins du monde :
Union européenne : garantit aux citoyens de l’UE un contrôle accru sur leurs données personnelles, simplifie et établit les réglementations en matière de données pour les entreprises, et traite de la collecte et du transfert de données personnelles en dehors des zones de l’UE et de l’EEE.
Californie : améliore les droits à la confidentialité des données et la protection des consommateurs pour les citoyens californiens, en réglementant la façon dont les entreprises peuvent gérer et utiliser les données personnelles.
Californie : s’ajoute à la CCPA, renforçant les droits des résidents de la Californie en matière de données, établissant des règlements commerciaux plus stricts et élargissant l’exigence de consentement pour couvrir davantage de scénarios.
Virginie : permet aux citoyens de la Virginie de mieux contrôler la confidentialité de leurs données personnelles, ce qui leur permet d’accéder aux renseignements personnels recueillis par les organisations, de les modifier et de les supprimer. Établit également des normes et des règlements de collecte de données pour les entreprises de toutes tailles.
Brésil : comprend des dispositions et des règlements similaires au RGPD de l’UE. Établit également que les entreprises brésiliennes doivent nommer des agents de protection des données pour s’assurer que les politiques sont bien respectées.
ServiceNow offre une gestion de la confidentialité dans sa solution Gouvernance, risque et conformité. Soutenez la confidentialité programmée. Restez à l’affût des risques et de la conformité en temps réel et établissez la confiance avec la solution Gestion de la confidentialité.