Un détaillant en ligne obtient toujours le consentement explicite de ses utilisateurs avant de partager leurs données avec des partenaires. Une application de navigation anonymise les données d'activité avant de les analyser pour établir des tendances de voyage. Une école demande aux parents de vérifier leur identité avant de communiquer toute information sur les élèves.
Ces exemples illustrent comment les organisations soutiennent la confidentialité des données, un principe selon lequel les individus devraient avoir le contrôle sur leurs données personnelles : qui peut les voir, les collecter et comment elles peuvent être utilisées.
On ne saurait trop insister sur l'importance de la confidentialité des données pour les entreprises d'aujourd'hui. Des réglementations strictes, telles que le RGPD en Europe, imposent de lourdes amendes aux organisations qui échouent à protéger les informations sensibles. Les atteintes à la vie privée, qu'elles soient dues à des pirates informatiques ou à la négligence d'employés, peuvent nuire gravement à la réputation et aux revenus d'une entreprise. À l'inverse, les entreprises qui placent la protection des données personnelles au centre de leurs priorités peuvent gagner la confiance des consommateurs et prendre un avantage concurrentiel sur celles qui en font moins.
Cependant, malgré leurs bonnes intentions, de nombreuses organisations ont encore du mal à assurer une protection efficace de la confidentialité des données. La gestion de la confidentialité des données s'apparente plus à un art qu'à une science, un équilibre délicat entre obligations légales, droits des utilisateurs et exigences de cybersécurité, tout en permettant à l'entreprise de continuer à tirer de la valeur des données collectées.
Prenons l'exemple d'une application de gestion budgétaire, utilisée pour suivre les dépenses et d'autres informations financières sensibles. Lorsque l'utilisateur s'inscrit, l'application affiche une notice de confidentialité expliquant clairement quelles données sont collectées et comment elles seront utilisées. L'utilisateur peut accepter ou refuser chaque utilisation de ses données de manière individualisée.
Par exemple, il peut refuser que ses données soient partagées avec des tiers tout en autorisant l'application à générer des offres personnalisées.
L’application chiffre fortement toutes les données financières des utilisateurs. Seuls les administrateurs peuvent accéder aux données des clients dans le backend. Même dans ce cas, les administrateurs ne peuvent utiliser ces données que pour aider les clients à résoudre des problèmes de compte, et uniquement avec l'autorisation explicite de l'utilisateur.
Cet exemple illustre trois composantes essentielles des cadres courants de protection de la confidentialité des données :
La conformité aux réglementations applicables est la pierre angulaire de nombreux efforts en matière de protection des données personnelles. Bien que les lois sur la protection des données varient d'un pays à l'autre, elles définissent généralement les responsabilités des organisations qui collectent des données personnelles et les droits des individus concernés.
Le RGPD est une réglementation de l’Union européenne sur la protection des données, qui régit la manière dont les organisations, qu'elles soient situées en Europe ou ailleurs, traitent les données personnelles des résidents de l'UE. Il s'agit non seulement de l'une des lois les plus complètes en matière de protection de la vie privée, mais aussi de l'une des plus strictes. Les sanctions pour non-conformité peuvent atteindre jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial de l’organisation l’année précédente, le montant le plus élevé étant retenu.
La loi de 2018 sur la protection des données est, en substance, la version britannique du RGPD. Elle remplace une loi antérieure et reprend la plupart des droits, exigences et sanctions de son homologue européen.
La LPRPDE au Canada régit la manière dont les entreprises du secteur privé collectent et utilisent les données des consommateurs. Cette loi accorde aux personnes concernées un contrôle important sur leurs données, mais ne s'applique qu'aux données utilisées à des fins commerciales. Les données collectées à d'autres fins, comme le journalisme ou la recherche, sont exemptées.
De nombreux États américains disposent de leurs propres lois sur la protection de la confidentialité des données. La plus importante de ces lois est le California Consumer Privacy Act (CCPA), qui s'applique à pratiquement toute organisation ayant un site web, en raison de la manière dont il définit l'acte de « faire des affaires en Californie ».
Le CCPA permet aux Californiens d'empêcher la vente de leurs données et de demander leur suppression, parmi d'autres droits. Les organisations s'exposent à des amendes pouvant atteindre 7 500 USD par violation. Le coût peut vite s'accumuler. Si une entreprise vend des données d'utilisateurs sans leur consentement, chaque enregistrement vendu est considéré comme une infraction distincte.
Les États-Unis ne disposent pas de réglementation générale en matière de protection des données au niveau national, mais il existe des lois plus spécifiques.
En vertu du Children's Online Privacy Protection Act (COPPA), les organisations doivent obtenir l'autorisation parentale avant de collecter et traiter les données d'un enfant de moins de 13 ans. Les règles concernant les données des enfants pourraient devenir encore plus strictes si le Kids Online Safety Act (KOSA), actuellement en cours d'examen au Sénat américain, est adopté. Le KOSA exigerait que les services en ligne utilisent par défaut les paramètres de confidentialité les plus stricts pour les utilisateurs de moins de 18 ans.
La loi HIPAA (Health Insurance Portability and Accountability Act) est une loi fédérale qui traite de la manière dont les prestataires de soins de santé, les compagnies d'assurance et les autres entreprises protègent les informations de santé personnelles.
La norme de sécurité des données de l’industrie des cartes de paiement (PCI-DSS) n'est pas une loi, mais un ensemble de normes élaborées par un consortium de sociétés de cartes de crédit, dont Visa et American Express. Ces normes définissent comment les entreprises doivent protéger les données des cartes de paiement de leurs clients.
Bien que le PCI DSS ne soit pas une obligation légale, les sociétés de cartes de crédit et les institutions financières peuvent infliger des amendes aux entreprises qui ne s'y conforment pas, ou même leur interdire de traiter des paiements par carte.
Le respect des réglementations en matière de confidentialité n'est qu'un point de départ. Bien que le respect de la loi permette d'éviter des sanctions, cela peut ne pas suffire à protéger pleinement les informations personnelles identifiables (PII) et autres données sensibles contre les pirates informatiques, les abus et autres menaces.
Voici quelques principes et pratiques couramment utilisés par les organisations pour renforcer la confidentialité des données :
Pour une gouvernance des données efficace, une organisation doit savoir quels types de données elle détient, où ces données se trouvent et comment elles sont utilisées.
Certains types de données, comme les informations biométriques et les numéros de sécurité sociale, nécessitent des protections plus rigoureuses que d'autres. Comprendre comment les données circulent à travers le réseau permet de suivre leur utilisation, de détecter toute activité suspecte et de mettre en place les mesures de sécurité appropriées.
Enfin, une visibilité complète des données facilite le traitement des demandes des individus concernant l'accès, la mise à jour ou la suppression de leurs informations. Si l'organisation ne dispose pas d'un inventaire complet de ses données, elle risque de laisser involontairement des enregistrements après une demande de suppression.
Par exemple, un détaillant numérique catalogue tous les types de données clients qu'il détient, tels que les noms, adresses électroniques et informations de paiement enregistrées. Il cartographie la manière dont chaque type de données circule entre les systèmes et les appareils, identifie qui y a accès (y compris les employés et les tiers), et décrit comment ces données sont utilisées. Enfin, le détaillant classe les données selon leur niveau de sensibilité et applique des contrôles appropriés à chaque type. L'entreprise effectue des audits réguliers pour maintenir à jour son inventaire de données.
Les organisations peuvent réduire les risques liés à la confidentialité en donnant aux utilisateurs autant de contrôle que possible sur la collecte et le traitement de leurs données. Si une entreprise obtient systématiquement le consentement des utilisateurs avant d'utiliser leurs données, elle minimise les risques de violation de la vie privée.
Cela dit, il peut arriver que les organisations doivent traiter des données sans consentement préalable. Dans ces cas, l'entreprise doit s'assurer qu'elle dispose d'une raison légale valide, comme un journal qui enquête sur des crimes que les auteurs préfèreraient garder secrets.
Un site de réseaux sociaux crée un portail de gestion des données en libre-service. Les utilisateurs peuvent télécharger, mettre à jour ou supprimer les données qu'ils partagent avec le site, et décider comment le site peut traiter ces informations.
Il peut être tentant de collecter un maximum de données personnelles, mais plus une entreprise en collecte, plus elle est exposée à des risques en matière de protection de la vie privée. Les organisations peuvent adopter le principe de limitation : identifier un objectif précis pour la collecte de données et ne recueillir que le minimum nécessaire pour atteindre cet objectif.
Les politiques de conservation des données devraient également être limitées. L'organisation doit supprimer les données dès que l'objectif pour lequel elles ont été collectées est atteint.
Par exemple, une agence de santé publique enquête sur la propagation d'une maladie dans un quartier spécifique. Elle ne collecte aucune information personnelle identifiable des ménages sondés, se contentant d'enregistrer les cas de maladie. Une fois l'enquête terminée et les taux d'infection déterminés, l'agence supprime les données.
Les organisations doivent tenir les utilisateurs informés de toutes les actions entreprises avec leurs données, y compris celles de leurs partenaires tiers.
Une banque, par exemple, envoie chaque année des avis de confidentialité à tous ses clients. Ces avis détaillent les données collectées auprès des titulaires de comptes, comment ces données sont utilisées (pour le respect de la réglementation ou la prise de décisions de crédit, par exemple) et la durée de leur conservation. La banque informe également ses clients de toute modification de sa politique de confidentialité dès qu'elle est mise en place.
Des mesures strictes de contrôle d'accès peuvent empêcher l'accès et l'utilisation non autorisés des données. Seules les personnes ayant un besoin légitime devraient avoir accès à ces informations. Les organisations doivent utiliser des solutions d'authentification multifacteur (AMF) ou d'autres mesures de sécurité rigoureuses pour vérifier l'identité des utilisateurs avant de leur accorder l'accès aux données. Les solutions de gestion des identités et des accès (IAM) permettent d'appliquer des politiques de contrôle d'accès granulaires dans toute l'organisation.
Une entreprise technologique utilise des politiques de contrôle d'accès basées sur les rôles pour attribuer des privilèges d'accès en fonction des responsabilités des employés. Les employés ne peuvent accéder qu'aux données dont ils ont besoin pour exercer leurs responsabilités professionnelles essentielles, et ils ne peuvent les utiliser que de manière approuvée. Par exemple, le responsable des ressources humaines peut consulter les dossiers des employés, mais pas les dossiers des clients. Les représentants du service client peuvent voir les comptes clients, mais pas les données de paiement enregistrées.
Les organisations doivent utiliser une combinaison d'outils et de stratégies pour protéger les données lorsqu'elles sont au repos, en transit ou en cours d'utilisation.
Un prestataire de soins de santé chiffre le stockage des données des patients et utilise un système de détection d'intrusion pour surveiller tout le trafic vers la base de données. Il utilise également un outil de prévention des pertes de données (DLP) pour suivre les mouvements et l'utilisation des données. Si une activité illicite est détectée, par exemple un compte d'employé transférant des données de patients vers un appareil inconnu, le DLP déclenche une alarme et coupe la connexion.
Les évaluations d'impact sur la confidentialité (PIA) permettent de déterminer le risque qu'une activité pose pour la confidentialité des utilisateurs. Elles identifient comment le traitement des données pourrait porter atteinte à la vie privée et comment atténuer ou prévenir ces risques.
Une société de marketing réalise toujours une PIA avant chaque nouveau projet d'étude de marché. Cela permet de définir précisément les activités de traitement des données et de combler toute lacune en matière de sécurité. De cette manière, les données sont uniquement utilisées à des fins spécifiques et sont protégées à chaque étape. Si l'entreprise détecte des risques graves qu'elle ne peut pas raisonnablement atténuer, elle réorganise ou annule le projet.
La confidentialité des données dès la conception et par défaut repose sur l'idée que la confidentialité doit être intégrée à chaque activité de l'organisation, dans chaque produit et chaque processus. Le paramètre par défaut de tout système doit être celui qui respecte le plus la vie privée.
Par exemple, lorsqu'un utilisateur s'inscrit à une application de fitness, les paramètres de confidentialité sont par défaut réglés sur « ne pas partager mes données avec des tiers ». Les utilisateurs doivent modifier manuellement ces paramètres s'ils souhaitent permettre la vente de leurs données.
Le respect des lois sur la protection des données et l'adoption de bonnes pratiques en matière de confidentialité peuvent aider les organisations à éviter de nombreux risques majeurs. Néanmoins, il est important de comprendre les causes courantes des violations de la vie privée pour savoir à quoi les entreprises doivent être vigilantes.
Lorsque les organisations n'ont pas une visibilité complète de leur réseau, les violations de la vie privée peuvent proliférer dans les zones non surveillées. Les employés peuvent transférer des données sensibles vers des systèmes informatiques non protégés (shadow IT). Ils peuvent aussi utiliser régulièrement des données personnelles sans l'autorisation des personnes concernées, faute de surveillance adéquate de la part des superviseurs pour repérer et corriger ce comportement. Les cybercriminels peuvent également exploiter ces failles pour se déplacer dans le réseau sans être détectés.
Au fur et à mesure que les réseaux d'entreprise deviennent plus complexe, mélangeant des actifs sur site, des travailleurs à distance et des services cloud, il devient de plus en plus difficile de suivre les données dans tout l'écosystème informatique. Les organisations peuvent utiliser des outils tels que les solutions de gestion de la surface d'attaque et des plateformes de protection des données pour simplifier le processus et sécuriser les données où qu'elles se trouvent.
Certaines réglementations fixent des règles spécifiques pour le traitement automatisé. Par exemple, le RGPD donne aux individus le droit de contester les décisions prises par le biais de traitements automatisés de données.
L'essor de l'intelligence artificielle générative pose des problèmes encore plus complexes en matière de protection de la vie privée. Les organisations ne peuvent pas toujours contrôler ce que ces plateformes font des données qu'elles leur fournissent. Par exemple, alimenter une plateforme comme ChatGPT avec des données clients peut aider à mieux comprendre l'audience, mais l'IA peut aussi intégrer ces données dans ses modèles d'entraînement. Si les personnes concernées n'ont pas consenti à l'utilisation de leurs informations personnelles pour entraîner une IA, cela constitue une violation de leur vie privée.
Les organisations doivent expliquer clairement aux utilisateurs comment elles traitent leurs données, y compris leur utilisation par l'IA, et obtenir leur consentement. Cependant, même les organisations peuvent ne pas toujours savoir précisément ce que l'IA fait avec leurs données. C'est pourquoi il est conseillé aux entreprises de travailler avec des applications d'IA qui leur permettent de conserver un maximum de contrôle sur leurs données.
Les comptes volés sont l’un des principaux vecteurs de violations de données, selon le rapport d'IBM sur le coût d’une violation de données. Les organisations s'exposent à des risques en accordant aux utilisateurs plus de privilèges que nécessaire. Plus un utilisateur dispose d'autorisations, plus un pirate informatique peut causer de dégâts s'il prend le contrôle de son compte.
Les organisations devraient suivre le principe du moindre privilège : les utilisateurs ne doivent disposer que du minimum d'autorisations nécessaire pour accomplir leur travail.
Les employés peuvent accidentellement violer la vie privée des utilisateurs s'ils ne sont pas bien informés des politiques de l'organisation et des exigences de conformité. Ils peuvent également exposer l'entreprise à des risques s'ils n'adoptent pas de bonnes pratiques de confidentialité dans leur vie personnelle.
Par exemple, en partageant trop d'informations sur leurs comptes de réseaux sociaux personnels, les employés peuvent fournir aux cybercriminels des éléments pour orchestrer des attaques de harponnage ou de compromission d'emails professionnels (BEC).
Partager des données avec des tiers n'est pas automatiquement une violation de la vie privée, mais cela augmente le risque. Plus il y a de personnes ayant accès aux données, plus il y a de possibilités pour les pirates informatiques, les menaces internes, ou même la négligence d'un employé, de poser problème.
De plus, des tiers peu scrupuleux peuvent utiliser les données de l'entreprise à des fins non autorisées, sans consentement des personnes concernées.
Les organisations doivent s'assurer que tous les accords de partage de données sont encadrés par des contrats juridiquement contraignants, qui rendent chaque partie responsable de la protection et de l'utilisation appropriées des données des clients.
Les informations personnelles identifiables sont une cible majeure pour les cybercriminels, qui peuvent les utiliser pour commettre des vols d'identité, détourner des fonds ou les vendre sur le marché noir. Les mesures de sécurité des données, telles que le chiffrement et les outils DLP, visent autant à protéger la vie privée des utilisateurs qu'à sécuriser le réseau de l'entreprise.
Les réglementations en matière de protection de la vie privée se renforcent à l'échelle mondiale, la surface d'attaque des organisations s'élargit, et les progrès rapides de l'IA transforment la manière dont les données sont consommées et partagées. Dans cet environnement, une stratégie de confidentialité des données bien conçue peut devenir un facteur clé de différenciation, renforçant la posture de sécurité d'une organisation et la distinguant de ses concurrents.
Prenons l'exemple des technologies telles que le chiffrement et les outils de gestion des identités et des accès (IAM). Ces solutions peuvent réduire l'impact financier d'une violation de données, permettant aux organisations d'économiser jusqu'à 572 000 USD, selon le rapport sur le coût d’une violation de données. De plus, des pratiques solides en matière de protection de la vie privée peuvent instaurer la confiance des consommateurs et même renforcer la fidélité à une marque (lien externe à ibm.com).
Alors que la protection des données devient de plus en plus essentielle pour la sécurité et la réussite des entreprises, les principes de confidentialité, les réglementations et la gestion des risques doivent figurer parmi les priorités principales des organisations.
Découvrir