Les organisations sont en train de libérer leur actif le plus important, sans parler des innovateurs et des gestionnaires de données qui dirigent leurs activités, bien sûr. Ce sont les informations personnelles sensibles sur les clients et d’autres données confidentielles qui alimentent la transformation digitale, fournissent de nouvelles informations analytiques sur le comportement des consommateurs et libèrent de nouvelles sources de revenus.
La démocratisation de l’utilisation des données fait l’objet d’une forte pression et, aujourd’hui, cela signifie souvent la migration des données sensibles vers des environnements hébergés dans le cloud grâce à de nouveaux programmes de modernisation du cloud, où l’échelle et l’élasticité améliorées peuvent permettre de lancer rapidement de nouveaux produits et services.
Mais ces données sont-elles en sécurité lorsqu’elles sont exploitées en dehors des environnements traditionnels sur site ? Ou bien, êtes-vous en train d’augmenter inutilement l’exposition ?
Les risques d’abus de données internes et de violations de la sécurité des données externes font obstacle à l’adoption de l’informatique dématérialisée et des données traditionnelles sur site, ce qui nécessite une approche intelligente de la confidentialité des données pour automatiser et étendre la protection et la transparence des données.
En fait, des lois plus récentes comme le règlement général sur la protection des données (RGPD) et la loi californienne sur la protection des consommateurs (CCPA) n’ont fait que renforcer l’urgence d’agir maintenant ou de subir les conséquences sur la réputation de la marque, sans parler des amendes massives et des maux de tête liés à la remédiation.
Pourquoi les entreprises d’aujourd’hui devraient-elles se soucier de la confidentialité des données personnelles ?
Pour clarifier, la confidentialité des données n’est pas la même chose que la sécurité des données, bien que les deux puissent fonctionner en tandem. En termes simples, pour l’utilisation des données, les contrôles de sécurité régissent l’accès aux données, tandis que la confidentialité des données régit le contexte d’exposition des données qui crée un risque. Et il y a de nombreuses variables à prendre en compte ! (Pour une définition plus détaillée de la sécurité des données par rapport à leur confidentialité, voir mon précédent billet de blog).
La confidentialité des données est plus nuancée que la simple sécurité des droits d’accès aux données. En matière de confidentialité, la tolérance d’une personne à l’exposition de ses données personnelles peut ne pas correspondre à celle d’une autre, par exemple lorsqu’une entreprise souhaite migrer vers le cloud des charges de travail applicatives utilisant des données sensibles.
Si, par exemple, vos programmes de marketing sont désormais basés sur le cloud, êtes-vous sûr que vos clients approuvent l’exposition de leurs données à partir de votre environnement sur site ? Vous devrez peut-être divulguer cette nouvelle utilisation afin de déterminer si les clients souhaitent se retirer en vertu des nouvelles lois sur la confidentialité.
Les entreprises qui collectent des données doivent garantir à leurs clients que leurs données sont traitées de manière responsable. L’augmentation du nombre de violations de la confidentialité des données, qui semble ne faire qu’empirer, a donné lieu à une multiplication des lois sur la confidentialité des données dans le monde entier, afin de renforcer la gouvernance responsable des données.
Alors, qu’est-ce qui est différent aujourd’hui ?
L’augmentation des volumes de données, l’augmentation des violations de la sécurité des données, qui a donné lieu à de nouvelles lois sur la protection de la vie privée, et l’augmentation des applications gourmandes en données sont trop complexes à gérer sans stratégies de protection des données qui automatisent la protection et la transparence des données.
Les organisations n’ont tout simplement pas assez de ressources humaines pour suivre le rythme à long terme sans disposer de la flexibilité nécessaire pour s’adapter aux réglementations actuelles sur la confidentialité des données, qui évoluent de manière dynamique.
Mais il y a une bonne nouvelle. Si vous parvenez à rendre opérationnelle et à faire évoluer votre stratégie de confidentialité des données en mettant en œuvre un cadre de gouvernance des données fiable, vous augmenterez l’intelligence des données et donnerez la priorité aux opportunités de réduction des risques liés aux données, ce qui rendra les données disponibles pour l’analyse, portables vers le cloud et plus sûres pour les opportunités de création de valeur.
Plus important encore, renforcez la confiance de vos clients en tant que marque de valeur pour dépasser la concurrence et mettre les risques dans le rétroviseur.
La confidentialité des données nécessite un cadre de gouvernance de la confidentialité des données pour l’échelle et la flexibilité
L’absence de meilleures pratiques de gouvernance des données reproductibles pour appliquer les stratégies de confidentialité des données a frustré les organisations qui ont les meilleures intentions de préserver la confiance des clients et de maintenir l’équité de la marque, mais qui ne peuvent pas évoluer. Pourtant, bien faire les choses est payant. En voici quelques exemples :
- Les données identifiées par les outils de découverte des données comme étant partagées avec des partenaires peuvent être protégées à l’aide de techniques d’anonymisation des données afin de limiter l’exposition des données personnelles.
- Les nouvelles applications créées dans le cloud peuvent automatiser la sécurité des données du cloud chaque fois que les données sont transportées en dehors des applications et systèmes sur site.
- Les données généralement enfermées entre les mains de quelques spécialistes des données peuvent être démocratisées en toute sécurité lorsque l’accès et l’utilisation sont surveillés et contrôlés afin de respecter les politiques de confidentialité.
- En ce qui concerne la sécurité des données de santé, il ne suffit pas de verrouiller les données des patients par le cryptage des données, il faut aussi limiter leur utilisation par les bonnes personnes à des fins légitimes.
- Lors du développement de nouvelles applications (DevOps), l’application du masquage des données pour les solutions de gestion des données de test qui maintiennent l’utilisabilité des ensembles de données, tout en réduisant l’exposition aux risques.
Ce ne sont que quelques exemples, mais les mandats de confidentialité des données sont clairs : une utilisation responsable des données avec une protection de la confidentialité des données et une transparence en place peut déclencher une transformation numérique sûre.
5 stratégies pour rester en tête de l’évolution des lois sur la confidentialité des données
La confidentialité des données n’est pas une destination, mais un voyage vers la réduction des risques – tout en permettant une utilisation appropriée des données, en augmentant la protection et la transparence des données, et en donnant confiance à l’organisation et à ses clients que les informations personnelles sont utilisées de manière responsable.
Bien que chaque organisation se trouve à un stade différent de maturité, il existe une cohérence entre celles qui ont mis en place les meilleures pratiques permettant d’automatiser et d’adapter leurs programmes de confidentialité des données afin de rester en phase avec le monde des lois sur la confidentialité en constante évolution.
Traduire les lois sur la confidentialité des données en politiques commerciales codifiées
Ce n’est pas une coïncidence si de nombreux responsables de la protection de la vie privée ont une formation juridique ou travaillent en étroite collaboration avec des équipes juridiques pour traduire les réglementations sur la confidentialité des données personnelles en politiques applicables aux données sensibles de l’organisation. L’époque des feuilles de calcul pour les politiques et des manuels statiques pour les employés est révolue : les mandats de protection de la vie privée doivent être numérisés pour correspondre aux contrôles électroniques des systèmes et des applications où les données sont stockées, déplacées, transformées et utilisées.
Les responsables de la protection de la vie privée, qui travaillent aux côtés des équipes juridiques, des responsables des données, des RSSI et autres, doivent aligner les responsables des données sur l’objectif et l’intention de l’utilisation des données avec des politiques codifiées qui font respecter l’utilisation appropriée.
En ce qui concerne les réglementations sur la confidentialité des données, telles que la conformité au GDPR et au CCPA, la conformité réglementaire ne concerne pas seulement les organisations mais aussi les partenaires tiers où les données peuvent être partagées. Vos politiques commerciales doivent s’aligner sur la façon dont les données personnelles sont conservées et partagées, traitées et utilisées, et protégées et rendues transparentes pour maintenir la confiance des clients.
Comprendre et identifier les données personnelles à risque et à qui elles appartiennent
S’il peut être ambitieux et noble de protéger toutes vos données, toutes n’ont pas la même valeur ou ne subissent pas les mêmes risques. Une protection intelligente des données est nécessaire pour déterminer efficacement ce dont vous disposez, première étape de l’évaluation des risques et de l’opérationnalisation de la gouvernance de la confidentialité des données.
La découverte de données pour la classification de la confidentialité et la mise en correspondance avec les identités répond à la question fondamentale : « Qui a accès à quelles données et doivent-elles être régies par des contrôles de confidentialité ? » La façon dont vous traitez les données personnelles de vos clients de manière responsable devrait être en tête de liste des priorités – pas seulement en raison des conséquences juridiques, mais c’est la bonne chose à faire pour préserver la valeur de votre marque.
En créant un catalogue de données et en mettant en correspondance les identités dans un registre de personnes concernées, vous pouvez automatiser l’une des exigences fondamentales en matière de transparence des données en vertu du GDPR, du CCPA et d’autres lois similaires, en accélérant les demandes d’accès des personnes concernées (DSAR) – en automatisant la réponse aux demandes des clients concernant l’accès à leurs données et leur utilisation.
Évaluer les risques liés à la confidentialité des données par niveau de priorité afin de protéger les données pour obtenir le meilleur retour sur investissement.
Il peut sembler inhabituel de considérer les investissements en matière de confidentialité des données comme une stratégie permettant d’obtenir un meilleur retour sur investissement (ROI), mais des études ont démontré que pour chaque dollar dépensé en matière de confidentialité, les organisations peuvent obtenir un retour de 2 fois ou plus.
Comment cela se fait-il ? Réduire les risques, éviter les amendes et la destruction de la réputation des marques, et ouvrir la démocratisation des données en toute sécurité à des initiatives de création de valeur est l’état idéal pour les directeurs des données et les propriétaires de lignes d’affaires.
La confidentialité intelligente des données signifie l’automatisation de l’intelligence basée sur les métadonnées grâce à l’IA appliquée et à l’apprentissage automatique pour déterminer l’exposition aux risques et classer vos principales préoccupations en matière d’atténuation des risques à l’aide de contrôles de confidentialité des données.
Les solutions modernes d’analyse des risques de confidentialité des données d’aujourd’hui peuvent vous aider à prendre des décisions guidées intelligentes par le biais de tableaux de bord et de cartes thermiques pour savoir où dépenser plus efficacement vos dollars de gouvernance de la confidentialité des données, justifier les plans de mise en œuvre de nouvelles mesures de protection et d’augmentation de la visibilité, et aider à rechercher des investissements auprès de vos dirigeants de niveau C et de vos conseils d’administration pour réduire les risques de confidentialité des données à mesure que les stratégies commerciales évoluent.
Orchestrer la protection automatisée des données et la transparence
Avec des politiques de confidentialité numérisées en place, des données personnelles classées et mises en correspondance avec les identités, et des risques évalués et hiérarchisés, les conditions préalables sont maintenant en place pour orchestrer des contrôles de confidentialité des données qui peuvent résoudre la conformité au GDPR, au CCPA et à des mandats de confidentialité similaires.
L’étape suivante consiste à appliquer la protection des données et à accroître la transparence en orchestrant la manière dont les risques sont corrigés ou du moins ramenés à un niveau raisonnable. Un aperçu des risques liés à la vie privée peut vous aider à déterminer si l’anonymisation des données est nécessaire avec des solutions telles que le masquage des données ou si la conservation à long terme des données nécessite une approche de cryptage des données.
Ou, lors d’une demande de renseignements d’un client sur l’utilisation des données, vous pouvez avoir besoin de générer un rapport et d’exécuter des flux de travail pour supprimer les données (« droit à l’oubli ») ou fournir des détails sur l’endroit et la manière dont les données personnelles sont utilisées dans les applications et les écosystèmes partenaires.
Les contrôles de confidentialité peuvent également inclure des alertes pour les anomalies d’utilisation des données qui violent les politiques et exécuter des scripts qui s’intègrent aux systèmes de support. En appliquant l’automatisation avec intelligence, votre approche de la confidentialité des données peut évoluer, tout en restant flexible aux futures réglementations et mises à jour des politiques au fur et à mesure de leur évolution.
Rapport sur les lacunes dans les contrôles et les performances en matière de confidentialité des données afin de les améliorer et de les adapter.
Comme mentionné précédemment, la confidentialité des données est un voyage plutôt qu’une destination, le parfait étant souvent l’ennemi du bien. Les organismes de réglementation de la confidentialité des données sont souvent plus favorables aux organisations qui appliquent les meilleures pratiques de gouvernance des données et agissent de bonne foi qu’à celles qui sont négligentes et subissent une violation de la sécurité des données par apathie.
Il est avantageux pour toutes les organisations de faire de leur mieux : l’attente minimale étant une réduction des amendes et des dépenses de remédiation, mais l’avantage étant une meilleure connaissance des données qui aide à stimuler la prochaine vague d’innovation tout en renforçant la confiance des consommateurs.
Cette dernière stratégie est fondamentale pour l’amélioration continue, afin de mettre à jour les contrôles de la confidentialité des données en fonction de l’évolution des risques liés aux données, de rendre compte aux parties prenantes des données des nouveaux investissements et de démontrer aux régulateurs et aux auditeurs comment les données personnelles sont traitées de manière responsable. Une stratégie que chaque organisation peut soutenir !
Conclusion : Des stratégies de confidentialité des données pour devancer les lois et libérer de la valeur
La confidentialité des données ne se résume pas à la mise en place d’une sécurité des données fiable, même si cela constitue un élément clé. La gouvernance de la confidentialité des données permet une approche évolutive, reproductible et adaptable de la protection de la vie privée afin de réduire l’exposition aux risques et d’accroître la transparence pour rendre compte de l’utilisation des données et obtenir des informations intelligentes.
Avec un risque moindre d’exposition aux données pouvant violer les droits de confidentialité des données personnelles (« droits des sujets »), les organisations peuvent ouvrir la porte à des programmes de création de valeur avec une utilisation des données qui permet la prochaine génération d’innovation, tout en maintenant la confiance.
