Pourquoi l'approche « Privacy by Design » est-elle efficace pour les catalogues de données ?

Depuis le début du XXIe siècle, nous vivons une véritable révolution numérique. Le monde est en constante numérisation et l'activité humaine s'articule de plus en plus autour des données et des services en réseau. Les secteurs de l'industrie manufacturière, des loisirs, de l'administration, des services, de la santé et bien d'autres encore s'organisent désormais autour de systèmes d'information complexes et interconnectés. En conséquence, de plus en plus de données sont collectées en continu par les appareils et les technologies présents dans notre quotidien (Internet, smartphones, IoT) et transitent d'un système à l'autre. Il est devenu essentiel pour toute entreprise fournissant des produits ou des services de tout mettre en œuvre pour protéger les données de ses clients. La meilleure approche pour y parvenir est celle de la « Privacy by Design » (respect de la vie privée dès la conception).

Dans cet article, nous expliquons ce qu'est la « protection de la vie privée dès la conception » et comment nous avons appliqué cette approche lors de la conception de notre catalogue de données, ainsi que la manière dont un catalogue de données peut aider les entreprises à mettre en œuvre le « Privacy by Design ».

La protection des données : un enjeu majeur pour les entreprises

Parmi toutes les données mentionnées ci-dessus, certaines permettent d'identifier directement ou indirectement des personnes physiques. Celles-ci sont appelées « données à caractère personnel », selon la définition de la CNIL. Elles revêtent une importance capitale dans le monde moderne en raison de leur valeur intrinsèque.

Chaque jour, d'énormes volumes de données personnelles circulent entre les particuliers, les entreprises et les gouvernements. Le risque d'utilisation abusive est bien réel, comme l'a montré , par exemple, le scandale Cambridge Analytica en 2015 . Les cybercriminels peuvent également en tirer des profits considérables, par le piratage de comptes, la revente de données à d'autres cybercriminels, l'usurpation d'identité ou encore en attaquant des entreprises par le biais d'hameçonnage ou d'escroqueries de type « président ». Par exemple, un promoteur immobilier s'est récemment fait dérober plusieurs dizaines de millions d'euros en France.

La nécessité de protéger les données n'a jamais été aussi importante.

Les États ont rapidement pris conscience de cette question afin de protéger les individus contre les abus liés à l'exploitation de leurs données. En Europe, par exemple, le RGPD (Règlement général sur la protection des données) est en vigueur depuis 2016 et fait déjà partie intégrante des activités quotidiennes des entreprises. Dans le reste du monde,les réglementations évoluent constamment et constituent une préoccupation pour presque tous les pays. Récemment, la Californie a adopté une loi sur la protection des données des consommateurs, l'équivalent américain du RGPD. Même la Chine vient de légiférer sur ce sujet.

La protection de la vie privée dès la conception : définir un concept clé pour la protection des données

Si de nombreuses législations s'appuient largement sur le concept de « Privacy by Design », celui-ci a été conceptualisé par Ann Cavoukian à la fin des années 1990, alors qu'elle occupait le poste de commissaire à l'information et à la protection de la vie privée de la province de l'Ontario, au Canada. L'idée centrale de ce concept est d'intégrer la question de la protection des données à caractère personnel dès la conception d'un système informatique.

Dans cette optique, le concept de « Privacy by Design » énonce sept principes fondamentaux :

Proactivité : Toute entreprise doit mettre en place en amont les dispositions nécessaires à la protection des données et ne doit pas se contenter d'une politique réactive ;

La protection des données à caractère personnel comme paramètre par défaut : Tout système doit adopter par défaut le niveau de protection le plus élevé possible pour les données sensibles de ses utilisateurs ;

La protection de la vie privée dès la conception : la protection de la vie privée doit être un aspect systématiquement étudié et pris en compte lors de la conception et de la mise en œuvre de nouvelles fonctionnalités ;

Fonctionnalité complète : aucun compromis ne doit être fait en matière de protocoles de sécurité ou utilisateur ;

Sécurité de bout en bout : Le système doit garantir la sécurité des données tout au long de leur cycle de vie, de la collecte à la destruction (y compris si les données sont externalisé) ;

Visibilité et transparence : Le système et l'entreprise doivent documenter et communiquer les procédures de protection des données à caractère personnel ainsi que les mesures prises de manière claire, cohérente et transparente ;

Respect de utilisateur : Chaque décision en matière de conception et de mise en œuvre doit être prise en plaçant l'intérêt utilisateurau centre des préoccupations.

L'application du principe de « Privacy by Design »

Nous avons conçu notre produit en nous appuyant sur le principe de la « protection de la vie privée dès la conception ».

Le traitement des données à caractère personnel des utilisateurs

Tout d'abord, nous avons placé la protection des données au cœur de notre architecture. Les données de chacun de nos clients sont réparties dans différents environnements, chacun étant chiffré à l'aide de sa propre clé. utilisateur est gérée par un système tiers spécialisé. Nous encourageons la fédération d'identités entre nos clients, ce qui leur permet de garder le contrôle sur les données nécessaires à utilisateur et à l'authentification utilisateur .

Nous avons également intégré le principe de « Privacy by Design » (respect de la vie privée dès la conception) dans la conception de notre application. Par exemple, nous ne collectons que le strict minimum d'informations, et toutes les données générées par le système sont anonymisées (journaux, erreurs d'application, API).

Traitement des données commerciales des clients

Notre mission principale consistant à documenter les données, notre solution repose par essence sur métadonnées. De par sa conception, la plateforme Actian Data Intelligence n'extrait aucune donnée des systèmes de nos clients. En effet, le risque est intrinsèquement moindre pour les métadonnées pour les données.

Nous proposons néanmoins, au sein de la plateforme, plusieurs fonctionnalités permettant de fournir des informations sur les données présentes dans les systèmes des clients (statistiques, échantillonnage, etc.). Grâce à notre architecture, les calculs sont toujours effectués sur l'infrastructure du client, au plus près des données et de leur sécurité. Et conformément au principe n° 2 de la « Privacy by Design », nous avons défini la protection des données à caractère personnel comme paramètre par défaut. Ainsi, toutes ces fonctionnalités sont désactivées par défaut et ne peuvent être activées que par le client.

Comment notre catalogue de données les entreprises à mettre en œuvre le principe de « Privacy by Design »

Notre catalogue de données aider votre entreprise à mettre en œuvre le « Privacy by Design », notamment en ce qui concerne les aspects liés au contrôle et à la vérification. En s'appuyant sur les sept principes décrits précédemment, le catalogue de données contribuer efficacement à la mise en œuvre de deux d'entre eux : le principe de visibilité et de transparence, et le principe de sécurité de bout en bout. Le catalogue de données permet catalogue de données d'automatiser l'identification des données sensibles.

Visibilité et transparence grâce au catalogue de données

L'objectif d'un catalogue de données de centraliser les ressources de données d'une entreprise, de les documenter et de les partager avec le plus grand nombre de personnes possible. Cette centralisation permet à chaque employé de savoir quelles données sont collectées par le CRM, et aux équipes marketing et de réussite client d'exploiter ces informations dans les rapports sur l'acquisition et le suivi de la perte de clientèle.

Une fois cet inventaire établi, le catalogue peut servir à consigner certaines informations supplémentaires indispensables au bon fonctionnement de l'entreprise. C'est notamment le cas pour le caractère sensible ou non sensible des informations consignées, les règles de gouvernance, les traitements ou les procédures d'accès à appliquer.

Dans le cadre d'une approche « Privacy by Design », le catalogue de données être utilisé pour ajouter un terme métier correspondant à des données sensibles (un numéro de sécurité sociale, un numéro de téléphone, etc.). Ce terme métier peut ensuite être facilement associé aux tables ou aux champs physiques contenant ces données, ce qui permet de les identifier facilement. Cette initiative contribue au principe de visibilité et de transparence de l'approche « Privacy by Design ».

Sécurité de bout en bout grâce au catalogue de données

Le catalogue de données offre catalogue de données Fonctionnalités de traçabilité des données. La traçabilité automatique des données garantit que les processus appliqués aux données identifiées comme sensibles respectent les principes définis par la gouvernance des données de l'entreprise. Il est alors facile, grâce au catalogue de données définir les gouvernance à appliquer aux données sensibles.

De plus, la traçabilité nous permet de suivre l'ensemble du cycle de vie des données, depuis leur création jusqu'à leur utilisation finale, en passant par leurs transformations. Il est ainsi facile de vérifier que toutes les étapes de ce cycle de vie respectent les règles et de corriger les éventuelles erreurs.

Le catalogue de données, grâce à la traçabilité des données, contribue ainsi au principe de sécurité de bout en bout inhérent à la « Privacy by Design ».

Cela dit, nous restons convaincus qu’un catalogue de données pas une solution de mise en conformité, mais plutôt un outil permettant de sensibiliser les équipes aux données sensibles et à leurs spécificités d’utilisation.

Identificationdes données sensibles via le catalogue de données

Dans un environnement de données en constante évolution, le catalogue de données refléter au mieux la réalité afin de conserver la confiance de ses utilisateurs. Sans cela, c'est toute la mise en œuvre du catalogue de données qui est remise en question.

Nous sommes fermement convaincus que le catalogue de données être automatisé autant que possible pour être évolutif efficace. Cela commence par l'inventaire des données disponibles. À cet égard, notre inventaire est automatisé et se charge de répercuter toutes les modifications apportées au système d'origine (source) des données directement dans le catalogue. Ainsi, à tout moment, le client dispose d'une liste exhaustive des données présentes dans ses systèmes.

Et pour aider nos clients à identifier les données répertoriées qui méritent un traitement particulier en raison de leur caractère sensible, l'automatisation ne s'arrête pas à l'inventaire. Nous proposons désormais un système qui suggère d'associer un profil de données sensibles aux nouvelles données répertoriées. Cela permet de mettre plus facilement ces données en avant et de diffuser l'information plus rapidement et plus facilement dans toute l'entreprise.

Conclusion

Au cours des dernières années, les données personnelles sont devenues une véritable préoccupation pour la plupart des consommateurs. De plus en plus de pays mettent en place des réglementations visant à garantir à leurs citoyens une protection maximale. L'un des grands principes qui sous-tendent toutes ces réglementations est celui de la « protection de la vie privée dès la conception ».

Dès le départ, nous avons placé la réflexion sur les données personnelles au cœur de notre produit. Que ce soit dans le cadre de notre développement technique, du traitement des données de nos utilisateurs ou encore de notre réflexion sur les données que nos clients traitent via notre catalogue. 

Nous estimons qu’un catalogue de données constituer un atout majeur pour la mise en œuvre et le suivi des politiques de « Privacy by Design ». Nous misons également fortement sur l’automatisation et l’intelligence artificielle pour apporter de nombreuses autres améliorations dans les mois à venir : création automatique de la traçabilité technique des données, détection améliorée des données sensibles dans les objets du catalogue afin de mieux les documenter, contrôle qualité des processus appliqués aux données sensibles, etc. Les possibilités sont nombreuses.

Pour en savoir plus sur les avantages du catalogue dans la gestion de vos données sensibles et personnelles, n'hésitez pas à prendre rendez-vous avec l'un de nos experts.

À propos de l'auteur

À propos de Actian Corporation

Actian permet aux entreprises de gérer et de gouverner leurs données en toute confiance, quelle que soit leur ampleur. Les organisations font confiance aux solutions gestion des données d'intelligence des données d'Actian pour rationaliser leurs environnements de données complexes et accélérer la mise à disposition de données prêtes pour l'IA. Conçues pour être flexibles, les solutions Actian s'intègrent de manière transparente et fonctionnent de manière fiable dans les environnements sur site, dans le cloud et hybrides. Pour en savoir plus sur Actian, la division données et IA de HCL Software, rendez-vous sur actian.com.