La confidentialité des données est une forme de sécurité des données qui consiste à s’assurer que ces dernières sont utilisées uniquement par des personnes autorisées et dans le but pour lequel elles ont été conçues.
Notre capacité à créer, collecter, partager et analyser des données augmente de manière exponentielle. D’ailleurs, on estime que l’humanité produit jusqu’à 2,5 quintillions d’octets de données chaque jour. Chaque minute de chaque jour, d’énormes quantités de ces données sont collectées par les entreprises, qui les exploitent pour obtenir des informations sur les tendances, les opportunités et la façon de penser de leurs clients.
Malheureusement, la collecte de données est souvent une approche « qui ratisse large » et qui, en capturant des données plus publiques, s’empare illégalement des informations privées et sensibles sur les utilisateurs, ce qui crée des problèmes pour les consommateurs comme pour les entreprises. En outre, même les données personnelles partagées volontairement par les clients peuvent être source de problèmes majeurs si elles ne sont pas protégées contre les accès non autorisés. La question de la confidentialité des données est donc une préoccupation importante sur tous les marchés et dans tous les secteurs.
Grâce aux améliorations apportées à l’étendue et l’efficacité de la numérisation des données, il est très simple pour toutes les entreprises de créer des profils personnels basés sur les données collectées sur les individus. Cela va au-delà des informations de base telles que le nom, l’âge et l’adresse ; aujourd’hui, presque toutes les formes d’informations personnelles existent digitalement. Ces informations vont des plus anodines en apparence (comme les centres d’intérêt et les loisirs, les préférences d’achat, les relations, etc.) à des données extrêmement privées (comme les numéros de sécurité sociale, les informations de crédit, les données de santé, le lieu et les déplacements, etc.).
Dans de nombreux cas, les informations que nous partageons en ligne, sciemment ou pas, sont utilisées par les machines pour les rendre plus intelligentes : la photo du chiot que nous publions sur les réseaux sociaux permet d’enseigner aux algorithmes semi-intelligents de reconnaître un chiot lorsqu’ils en voient un. Les recherches que nous effectuons en ligne enseignent aux machines comment mieux comprendre et reproduire le langage humain.
Cependant, quelle que soit la façon dont les données sont utilisées, elles existent et sont accessibles à des utilisateurs inconnus, ce qui constitue une source de préoccupation majeure. Les clients (et les législateurs) du monde entier commencent à exiger que les entreprises donnent aux propriétaires de données le contrôle sur la façon dont leurs données sont collectées et utilisées.
Les entreprises qui établissent et suivent des politiques saines de confidentialité des données sont plus à même d’établir une relation de confiance avec leurs clients. Parallèlement, elles éliminent les risques juridiques associés à la violation des lois, normes et réglementations nouvelles et à venir en matière de confidentialité des données. L’amende récente de 5 milliards de dollars infligée à Facebook par la FTC est un bon exemple de l’impact des sanctions en cas de violation de ces lois.
Cette amende de 5 milliards de dollars à l’encontre de Facebook est la pénalité la plus importante jamais imposée à une entreprise pour violation de la vie privée des consommateurs, mais elle ne sera certainement pas la dernière du genre. Les observateurs gouvernementaux aux États-Unis, dans l’Union européenne, en Amérique du Sud et dans le reste du monde se sont fermement positionnés contre la collecte et l’utilisation non autorisées de données. Les entreprises qui ne mettent pas à jour leurs politiques de confidentialité des données courent le risque de perdre bien plus que la confiance de leurs clients.
D’un autre côté, les entreprises qui modernisent activement leurs playbooks de protection des données peuvent bénéficier de plusieurs avantages, en intégrant des technologies en temps réel, intégrées et automatisées pour garantir que les données sont utilisées de manière éthique, légale et sans violer les droits des propriétaires de données.
Ces avantages sont les suivants :
Comme nous l’avons déjà mentionné, l’un des principaux avantages à respecter la confidentialité des données est d’éviter les pénalités et les amendes. Les sanctions en cas de non-respect des lois sur la protection de la vie privée sont de plus en plus lourdes, sans compter les dédommagements qui doivent être versés aux clients concernés lorsque leurs données sensibles sont rendues illégalement publiques.
En outre, les organismes gouvernementaux prennent la protection des données des utilisateurs très au sérieux, en adoptant de nouvelles lois et en renforçant les contrôles pour s’assurer que les entreprises protègent bien les données de leurs clients. Les entreprises qui créent et suivent des politiques adéquates de confidentialité des données n’ont pas à s’inquiéter de possibles poursuites pénales.
La relation client-entreprise va bien au-delà des transactions d’achat. Lorsqu’un client choisit de faire des affaires avec une entreprise, il lui fait confiance pour respecter et sécuriser toutes les données personnelles qui peuvent être échangées au cours du processus. Et lorsque cette confiance est trahie, il est difficile de la récupérer.
Les violations de la confidentialité nuisent gravement à la réputation et à l’image de marque des entreprises. Aujourd’hui, les clients ont l’embarras du choix et, dans de nombreux cas, une seule erreur liée à la sécurité des données suffit à les envoyer dans les bras de la concurrence. À l’inverse, les entreprises qui démontrent clairement leur engagement en matière de confidentialité des données, qui offrent à leurs clients un contrôle illimité sur la façon dont leurs données sont collectées et utilisées, et qui agissent de manière transparente dans leurs pratiques, renforcent la fidélité de ces derniers. Cela se traduit par une amélioration de la valeur de la marque et une augmentation de la valeur à vie du client.
La gestion de la confidentialité des données oblige les entreprises à examiner plus en détail leurs données et la façon dont elles sont connectées dans l’ensemble de l’entreprise. Pour commencer, avec un audit détaillé (suivi par des audits réguliers) pour déterminer la manière dont les données sont collectées et utilisées, les entreprises peuvent facilement identifier et résoudre les problèmes d’inefficacité de la gestion des données. Cela crée une culture plus axée sur les données et contribue à rationaliser les processus business, ce qui profite à chaque département, à tous les niveaux.
Les initiatives de confidentialité peuvent également encourager les entreprises à consolider leurs plateformes de données, en regroupant toutes les données pertinentes et tous les outils de gestion des données dans un emplacement unique et centralisé. Cela réduit les dangers associés au cloisonnement des données, améliore l’analyse et l’intégrité des données et permet de prendre des décisions business plus judicieuses.
Afin de mieux servir les clients, d’éviter d’entacher leur réputation et de rester en conformité avec les lois nouvelles et établies, de nombreux développeurs de logiciels adoptent désormais la protection de la vie privée dès la conception (PbD).
La PbD est une nouvelle approche, plus délibérée, de la confidentialité des données. Elle encourage les ingénieurs système à intégrer des contrôles de confidentialité et des solutions dans tous les produits, services, infrastructures et pratiques de l’entreprise. Ces considérations doivent être intégrées dès les premières étapes du développement et rester au cœur de la production, du déploiement et de l’assistance post-déploiement.
La PbD veille à ce que la confidentialité des données reste au premier plan tout au long du cycle de développement, et ne soit pas reléguée au rang de considération secondaire juste avant le lancement.
Malheureusement, il ne suffit pas de prendre la décision de traiter les données des clients de manière responsable pour gérer efficacement la confidentialité des données. Les entreprises modernes sont confrontées à un certain nombre d’obstacles à surmonter ou à éviter pour gérer efficacement la confidentialité des données :
Les avancées en matière d’intelligence artificielle (IA) permettent aux entreprises d’analyser plus facilement et avec une plus grande précision d’importantes quantités de données utilisateur. Mais avec ces nouvelles options, certains problèmes éthiques doivent être résolus. Jusqu’où l’analyse des données doit-elle être autorisée ? L’IA a le pouvoir d’extraire des informations extrêmement personnelles, précieuses et sensibles basées sur des données anodines dans d’autres contextes. Les entreprises doivent être pleinement conscientes des ramifications de la collecte de ce type de données avant d’employer de telles tactiques.
Une part importante des tâches liées à confidentialité des données incombe aux employés qui travaillent avec ces données. Les employés qui n’ont pas reçu de formation adéquate peuvent facilement égarer, exposer ou utiliser de manière abusive les données, ce qui entraîne des risques pour les clients et expose les entreprises à de possibles représailles. De même, les employés qui ne sont pas dignes de confiance peuvent volontairement chercher à voler des données sensibles. Avant d’avoir accès aux informations sur les clients, tous les employés doivent obtenir les approbations idoines et recevoir une formation sur les politiques et les normes pertinentes en matière de confidentialité des données.
De nombreuses entreprises se concentrent sur la collecte et l’analyse des données, mais ne parviennent pas à assumer leurs responsabilités vis-à-vis de ces données une fois la relation commerciale terminée. Les données personnelles doivent être conservées selon les normes établies, et seulement pendant la durée de la relation du client (ou de l’employé) avec l’entreprise. Conserver les données personnelles plus longtemps que nécessaire peut entraîner des amendes et des sanctions et aggraver les conséquences de potentielles violations de données.
Si les entreprises ne se méfient pas, les logiciels hébergés sur le Web et dans le cloud peuvent créer un point d’accès non sécurisé aux données. La sécurité des données exige d’inspecter et d’approuver chaque nouvelle application avant de la déployer dans l’entreprise.
La protection des données est fondamentale. Cependant, les entreprises doivent avoir un plan efficace de réponse aux incidents au cas où une menace contourne les contrôles de sécurité ou si un nouvel événement constitue un risque pour l’intégrité des données. La création, le partage et l’amélioration de ce plan ainsi que la formation des employés dans le but de déployer le plan dès le premier signe d’une violation de données permettront de limiter les dommages potentiels que cette menace représente.
Les nouvelles lois imposent aux entreprises de recueillir l’autorisation explicite des clients pour utiliser leurs données, en mettant l’accent sur la possibilité pour ces clients de choisir librement le type de données qui seront partagées. Les entreprises qui ne parviennent pas à limiter la collecte des données au strict nécessaire pour leurs transactions s’exposent à des poursuites judiciaires.
L’époque où des entreprises peu scrupuleuses pouvaient dissimuler leur véritable intention derrière des accords juridiques complexes est révolue. Désormais, les termes et conditions relatifs à la confidentialité des données doivent être présentés de manière à ce que chaque client ou autre personne concernée puisse facilement les comprendre. Si l’utilisateur peut démontrer que les conditions qu’il a acceptées n’étaient pas claires, c’est l’entreprise qui est tenue pour responsable.
Lorsque les clients abandonnent des formulaires en ligne contenant des informations personnelles,
d’autres utilisateurs peuvent accéder à ces données. Les fonctions de sécurité relatives à l’expiration des sessions sont
conçues pour réduire l’accès aux formulaires sensibles et à d’autres informations si l’utilisateur n’a pas effectué
d’action particulière sur le site dans un délai imparti. L’intégration de ces mesures de protection dans toutes
les applications et tous les systèmes informatiques permet de renforcer la protection des données.
Nous avons tendance à imaginer que les données digitales se déplacent directement d’un point A à un point B. Mais pendant
le transit, ces données peuvent faire des haltes inattendues, ce qui expose potentiellement des informations sensibles
à des utilisateurs non autorisés. Les canaux non sécurisés constituent un problème majeur en matière de confidentialité des données ; les entreprises
doivent donc utiliser uniquement des canaux sécurisés (tels que SFTP ou TLS).
Il est clair que dans le contexte professionnel actuel, la confidentialité des données est un problème majeur. Mais comment
les entreprises peuvent-elles relever ces défis et créer une culture de la confidentialité des données ? Voici
plusieurs bonnes pratiques pour aider les entreprises à se lancer :
La confidentialité des données concerne l’ensemble de l’entreprise ; elle ne doit pas être l’apanage du département IT. Adoptez une approche globale et impliquez toutes les parties de l’entreprise dans l’établissement et le respect des politiques de confidentialité des données.
Pour gérer efficacement la confidentialité des données, les entreprises doivent savoir où se trouvent ces données, ce qu’elles incluent, les personnes qui y ont accès et si elles sont à jour. Le mappage des données crée une image détaillée de la situation actuelle des données d’une entreprise.
La mise en place de politiques et de termes et conditions viables ne représente que la moitié de l’équation. Une entreprise qui ne respecte pas ces politiques, ne tient pas ses promesses et ne remplit pas ses obligations engage sa responsabilité juridique et prend le risque de décevoir ses clients.
La collecte de données n’est pas un processus statique. Le type de données que les entreprises trouvent pertinentes et utiles peut varier d’un trimestre à l’autre, voire plus régulièrement. Cela dit, si ces entreprises décident d’actualiser leurs pratiques de collecte et d’utilisation des données, elles doivent également mettre à jour leurs politiques pour refléter ces modifications.
Une entreprise ne peut pas s’isoler du reste du monde. Les fournisseurs et sous-traitants tiers peuvent avoir besoin d’accéder aux données sensibles des clients. Il est donc essentiel que les entreprises choisissent attentivement leurs partenaires pour garantir qu’ils ont mis en place des pratiques de sécurité fiables. À défaut, les entités tierces deviennent des points faibles par lesquels des fuites de données peuvent se produire.
Chaque année, les gouvernements renforcent leurs positions contre les violations de la confidentialité des données. Voici une liste de plusieurs législations récentes visant à renforcer la confidentialité des données dans différentes régions du monde :
Union européenne : règlement visant à accroître le contrôle des données personnelles des citoyens de l’UE, à simplifier et établir les réglementations relatives aux données pour les entreprises et traiter la collecte et le transfert des données personnelles en dehors des zones de l’UE et de l’EEE.
Californie : loi visant à améliorer les droits en matière de confidentialité des données et la protection des consommateurs californiens, en réglementant la façon dont les entreprises peuvent traiter et utiliser les données personnelles.
Californie : loi qui prolonge le CCPA en renforçant les droits des résidents californiens en matière de données, en établissant des réglementations commerciales plus strictes et en étendant l’exigence de consentement pour couvrir davantage de scénarios.
Virginie : loi permettant aux résidents de Virginie de mieux contrôler la confidentialité de leurs données personnelles, en leur permettant d’accéder, de modifier et de supprimer les informations personnelles recueillies par les entreprises. Cette loi établit également des normes et des réglementations en matière de collecte de données pour les entreprises de toutes tailles.
Brésil : loi comprenant des dispositions et réglementations similaires au RGPD de l’UE. Elle oblige également les entreprises brésiliennes à nommer des responsables de la protection des données pour garantir le respect des politiques.
Avec la solution Gouvernance, risque et conformité, ServiceNow permet de gérer la confidentialité. Protégez la vie privée dès la conception. Surveillez les risques et la conformité en temps réel et instaurez une relation de confiance avec Privacy Management.