Qu'est-ce qu'une approche holistique de la protection des données ?
Une étude de Gartner® prévoit que 75 % de la population mondiale verra ses données personnelles couvertes par des réglementations modernes en matière de confidentialité d'ici à 2024¹. Votre tâche, en tant que responsable des données, consiste à naviguer dans des politiques et des technologies de plus en plus complexes afin de garantir que les données sensibles sont à la fois accessibles et protégées. La protection des données est le terme générique qui englobe la confidentialité, la conformité, la sécurité et l'éthique des données. L'adoption d'une approche holistique de la protection des données et de la cybersécurité constitue une protection contre les cyberattaques, notamment les rançongiciels, et permet de maintenir la conformité réglementaire afin d'éviter les amendes coûteuses, de fournir une IA digne de confiance et de créer des expériences client exceptionnelles.
En 2022, le coût des violations de données a atteint un niveau record, avec une moyenne de 4,35 millions de dollars². Et ce montant ne tient pas compte des coûts cachés pour la réputation de la marque ou la fidélité des clients. Les consommateurs veulent que leurs données personnelles soient protégées, et les décideurs politiques ont réagi en adoptant de nouvelles réglementations sur la confidentialité des données. Les organisations qui ne sont pas préparées à cette nouvelle ère de conformité des données pourraient bien payer le prix fort. Avec l'apparition de nouvelles réglementations telles que le RGPD, les lois CCPA ou LGPD, les organisations s'attendent de plus en plus à ce que la protection holistique des données soit intégrée à leur stratégie globale en la matière.
Cette approche ne consiste pas uniquement à examiner comment les données sont collectées puis à les garder conformes et privées ; il s'agit également de comprendre comment les données sensibles sont utilisées dans le monde d'aujourd'hui. Cela oblige les organisations à se poser des questions comme : La collecte de ces données est-elle éthique ? Que faisons-nous de ces informations ? Avons-nous fait part de nos intentions aux personnes auprès desquelles nous avons recueilli ces données ? Combien de temps et où ces données seront-elles conservées ? Sommes-nous au fait de la gestion des risques et des avancées en matière de logiciels malveillants ? Toute personne chargée de collecter des données, en particulier les dirigeants d'une organisation, doit être extrêmement bien informée sur ces questions.
« Cela commence vraiment au sommet », déclare Neera Mathur, Distinguished Engineer, CTO Trusted Data and Privacy Engineering Strategy and Solutions, IBM. « Le PDG d'IBM, Arvind Krishna, a fait cette célèbre déclaration : "La confiance est notre licence d'exploitation." Je pense qu'il n'y a rien à ajouter. Lorsqu'un individu fournit ses données à IBM et que nous les gérons correctement, c'est-à-dire que nous les protégeons de manière appropriée et éthique, nous renforçons la confiance de l'individu qui travaille avec nous. Pour moi, la responsabilité commence au sommet et se répercute dans toutes nos activités. »
Une étude de Gartner® prévoit que 75 % de la population mondiale verra ses données personnelles couvertes par des réglementations modernes en matière de confidentialité d'ici à 2024¹.
En 2022, le coût des violations de données a atteint un niveau record, avec une moyenne de 4,35 millions de dollars².
Le PDG d'IBM, Arvind Krishna, a fait cette célèbre déclaration : "La confiance est notre licence d'exploitation." Je pense que tout est dit. Lorsqu'un individu fournit ses données à IBM et que nous les gérons correctement, c'est-à-dire que nous les protégeons de manière appropriée et éthique, nous renforçons la confiance de l'individu qui travaille avec nous. Pour moi, la responsabilité commence au sommet et se répercute dans toutes nos activités.
Neera Mathur
Distinguished Engineer, CTO Trusted Data and Privacy Engineering Strategy and Solutions
IBM
Les piliers de la protection des données
Trois piliers clés – l'éthique des données, la confidentialité des données et la sécurité des données – fonctionnent ensemble sous l'égide de la protection des données pour soutenir un cadre flexible conçu pour des réglementations et des attentes commerciales en constante évolution, et pour maintenir la confiance de l'utilisateur.
Pilier n° 1
Introduction
L'éthique des données
Les opinions culturelles de votre organisation sur la protection des données influencent la manière dont les politiques de confidentialité et de sécurité des données sont promulguées et mises en œuvre. La Harvard Business School définit « l'éthique des données » comme les obligations morales liées à la collecte, à la protection et à l'utilisation d'informations personnellement identifiables, ainsi que l'impact de ces actions³. Pour prendre des décisions responsables concernant les données et promouvoir une IA digne de confiance, il convient de prendre en compte les principes suivants de l'éthique des données.
Propriété
Propriété
Pour respecter l'éthique des données, il faut d'abord savoir à qui appartiennent les données que l'on utilise. Ce n'est pas parce qu'un utilisateur vous fournit des données que vous en êtes propriétaire. Le consentement est indispensable, tout comme la protection et le respect des données. Le respect de l'intégrité des données signifie qu'il ne faut jamais abuser des données et qu'il faut les éliminer dès que l'on n'en a plus besoin.
Transparence
Transparence
En termes de protection des données, la transparence consiste à expliquer clairement aux clients comment leurs données sont utilisées. Selon le Pew Research Center, 81 % des personnes estiment que les risques potentiels de la collecte de données l'emportent sur les avantages⁴. Pour surmonter cette méfiance historique, donnez aux utilisateurs les moyens de comprendre les objectifs et le cycle de vie des données client afin qu'ils soient convaincus que votre organisation les utilisera correctement et avec les meilleures intentions du monde.
Confidentialité
Confidentialité
Lorsqu'une entreprise collecte des informations, les stocke et les analyse, ces informations ne doivent pas être utilisées, stockées, partagées, entretenues, conservées ou éliminées en dehors des objectifs convenus pour lesquels elles ont été obtenues à l'origine. C'est ici que les stratégies de confidentialité des données entrent en jeu pour aider à renforcer les politiques en matière d'éthique et de sécurité des données.
Intention
Intention
Que votre organisation soit un fournisseur de solutions ou un fournisseur numérique, soyez toujours clair sur votre objectif lorsque vous utilisez des données et l'intelligence artificielle. L'IA digne de confiance garantit que les utilisateurs comprennent comment les données et la technologie fonctionnent ensemble et pourquoi l'IA prend les décisions qu'elle prend. Les outils destinés à accroître notre confiance dans l'IA – tels que les boîtes à outils explicatives, les taxonomies des techniques d'IA et les solutions de gouvernance de l'IA – aident les utilisateurs à connaître vos intentions afin qu'ils puissent avoir confiance dans votre technologie, vos processus et les résultats de l'utilisation de leurs données.
Prévention
Prévention
Les violations de données, les attaques par rançongiciel et les dérapages sont préjudiciables aux clients et mettent à l'épreuve leur patience, leur loyauté et leur confiance en votre organisation. Parce que ces problèmes peuvent survenir et surviendront, il est essentiel de mettre en place des mesures de protection en matière de gestion des risques. Une étude IBM a révélé que les entreprises qui ont pleinement déployé l'IA et l'automatisation dans le cadre de leur stratégie de sécurité économisent en moyenne 3,05 millions de dollars en coûts de violation de données par rapport à celles qui ne l'ont pas encore fait.
Pilier n° 2
Introduction
Confidentialité des données
L'éthique des données consiste à instaurer une culture d'entreprise établie sur des comportements et des pratiques de gestion des données fondés sur des principes. Idéalement, cette culture de l'éthique et de la maîtrise des données est adoptée par l'ensemble de votre organisation et se reflète dans vos produits et vos opérations. La protection des données, quant à elle, consiste à définir les politiques et les pratiques qui activent ces comportements de principe par le biais des personnes, des processus d'entreprise et de la technologie, et à les rendre opérationnels tout au long du cycle de vie des données, de la collecte au stockage. Cette méthode est l'essence même de la création – et de l'automatisation – d'un cadre solide de gouvernance des données dans le cadre d'une approche de fabrique de données.
La gouvernance des données permet de trouver un équilibre entre la limitation de l'accès aux données pour garantir la confidentialité et l'élargissement de l'accès aux données pour améliorer l'analyse. Pour que votre organisation puisse utiliser les données de manière plus transparente tout en se protégeant contre les accès non autorisés, vous devez mettre en œuvre les bons outils de protection des données, tels que des contrôles d'accès aux données. Combinez-les avec l'IA, par exemple en rendant anonymes les données sensibles afin qu'elles puissent être utilisées de manière non identifiable ou en étiquetant les données pour permettre l'application des politiques.
La mise en place d'une architecture de données appropriée, telle qu'une fabrique de données — combinée à une gestion rigoureuse des données — contribue grandement à garantir que les données privées restent confidentielles et sécurisées, tout en permettant aux utilisateurs de données d'en tirer des enseignements.
« Votre cadre de protection des données doit être extrêmement élastique et très réactif pour faire face aux inconnues des changements réglementaires, aux données de tiers, aux réglementations sur l'IA et aux 25 prochains développements, quels qu'ils soient », déclare Lee Cox, Vice President, Services, Compliance & Research, Chief Privacy Office chez IBM. « Il y a beaucoup plus de synergie entre la confidentialité, l'éthique et la gouvernance des données que nous ne l'avions jamais anticipé. Mais la technologie dont nous disposons aujourd'hui nous permet de nous appuyer en toute confiance sur des données à grande échelle, avec beaucoup plus d'efficacité qu'auparavant. »
Avantages de la protection de la confidentialité des données
Avantages de la protection de la confidentialité des données
La confidentialité des données consiste avant tout à protéger les données des clients et à maintenir la confiance dans un contexte de réglementation changeante. Mais sur le marché actuel, il s'agit également d'un facteur de différenciation commerciale. « La confidentialité fait partie d'un avantage concurrentiel qui concerne les pratiques de l'ensemble de notre entreprise et qui contribue directement aux revenus, car nous développons la technologie qui soutient notre programme de confidentialité à l'échelle mondiale », déclare Christina Montgomery, IBM Chief Privacy Officer.
L'introduction du RGPD en 2018 a poussé de nombreuses organisations, dont IBM, à accélérer le développement de leurs programmes de confidentialité. Pour une entreprise internationale, la première étape logique consiste à harmoniser et à consolider les exigences juridiques locales dans un cadre mondial de conformité en matière de confidentialité. Par exemple, en classant et en consolidant les métadonnées de milliers de référentiels de données existants dans une fabrique de données centrale, IBM peut désormais déterminer rapidement quels types d'informations personnelles sont traités dans l'entreprise, par qui et où ces données sont stockées. La mise en place d'une infrastructure unifiée de confidentialité (PDF, 4,7 Mo) offre une approche fondée sur les métadonnées et une source de vérité unique et fiable qui a joué un rôle fondamental dans la réduction de l'exposition d'IBM aux risques liés à la réglementation. Apprenez à garder une longueur d'avance sur les réglementations en matière de confidentialité des données, en constante évolution.
Éléments de confidentialité des données
Éléments de confidentialité des données
Les organisations qui ne se limitent pas à une simple conformité réglementaire peuvent instaurer un climat de confiance avec leurs clients et se démarquer de leurs concurrents. Cette approche holistique et adaptative de la confidentialité des données porte également d'autres fruits :
Comprendre les risques liés aux données
Évaluer l'utilisation des données et les risques à l'égard des responsabilités des clients et des règlements.
Sécuriser le partage de données
Protéger les données personnelles via des contrôles de cybersécurité afin d'offrir des expériences de confiance.
Automatiser la réponse aux incidents
Réagir efficacement pour éliminer les risques et résoudre les problèmes de conformité, et mettre à l'échelle plus facilement.
Pilier n° 3
Introduction
Sécurité des données
« La technologie évolue, mais les menaces augmentent aussi de manière exponentielle », déclare Mehdi Charafeddine, Distinguished Engineer and Global CTO for Data Platform Services chez IBM. « Heureusement, il existe des moyens de plus en plus sophistiqués d'appliquer la protection des données et de prendre en charge la confidentialité des données. »
Selon Gartner, la sécurité des données comprend les processus et les méthodologies associées qui protègent les informations sensibles, qu'elles soient en transit ou au repos. C'est pourquoi la sécurité des données concerne en réalité les outils et logiciels utilisés pour protéger la confidentialité des données, qu'il s'agisse de chiffrement, d'authentification multifacteur, de masquage, d'effacement ou de résilience des données. Mais l'efficacité des contrôles et des politiques de sécurité dépend autant de la culture organisationnelle que du déploiement des applications et algorithmes adéquats.
D'un point de vue technologique, vous pouvez protéger les données grâce à l'architecture Data Fabric, qui protège les données à la « porte d'entrée », où les utilisateurs interagissent avec les données au niveau de l'application, et à la source ou « porte de derrière », où les données sont générées et stockées, sans parler de tout ce qui se trouve entre les deux. Cette approche est essentielle pour garantir la mise en place de politiques et de contrôles appropriés en matière de sécurité des données.
« Nombre de nos clients opèrent dans plusieurs zones géographiques », explique Priya Krishnan, Director of Product Management for Data Governance, Data Privacy and Data Science chez IBM, « et leurs experts en science des données ont donc voulu effectuer des analyses dans plusieurs zones géographiques. Mais souvent, ils ne peuvent pas partager les données en raison de silos ou de l'absence d'une gouvernance centrale. Leur ancienne solution consistait à imaginer et simuler les données puis élaborer leurs modèles. Mais avec la mise en œuvre de la fabrique de données, une organisation peut donner les données aux experts en science des données avec les bonnes règles de gouvernance et de confidentialité en place, afin qu'ils se sentent vraiment comme s'ils dirigeaient une initiative inter-organisationnelle. »
Il est important d'intégrer des mesures de sécurité des données dans la gestion des données de bout en bout, afin de garantir à la fois la sécurité et la confidentialité, en particulier pour les données sensibles. Prenons l'exemple de la recherche médicale dans un hôpital. L'hôpital peut collaborer avec des experts tiers ou des spécialistes des données qui ont besoin de travailler sur des données ou des applications spécifiques sans être en mesure de voir des informations réglementées ou personnellement identifiables. Les politiques de données automatisées basées sur les rôles peuvent permettre la collaboration avec différentes parties tout en protégeant les données du point de vue de la confidentialité et de la conformité au niveau de l'application. En même temps, pour une IA fiable, ces données doivent être protégées à la source où elles sont stockées, par exemple, la base de données dans les locaux où elles ont été collectées pour la première fois. Dans le cas contraire, les informations relatives aux patients restent vulnérables si un cybercriminel venait à s'infiltrer dans ces systèmes.
Lorsque la sécurité des données est assurée correctement, elle intègre personnes, processus et technologies, et renforce la confiance dans l'IA. Découvrez les meilleures pratiques pour faire de la sécurité de l'information une priorité dans tous les domaines de l'entreprise.
Savoir où se trouvent les données et qui y a accès
Savoir où se trouvent les données et qui y a accès
Les principales étapes de la protection des données sensibles incluent une automatisation de la visibilité, la contextualisation, le contrôle des politiques d'accès et la mise en œuvre d'une surveillance continue pour identifier les vulnérabilités et les risques avant qu'ils ne deviennent des violations.
Sécuriser les données pour éviter le pire
Sécuriser les données pour éviter le pire
Adoptez une approche de la gestion des données de type Zero Trust grâce à une suite intégrée de fonctionnalités, notamment des copies de données créées automatiquement et isolées de manière sécurisée qui permettent de combler les lacunes en matière de cybersécurité, aussi bien sur site que dans un cloud hybride.
Simplifier la conformité
Simplifier la conformité
Il est déjà difficile de faire face au nombre croissant de mandats en matière de confidentialité. Le suivi des rapports peut constituer une autre difficulté pour votre équipe. Simplifiez le processus grâce à l'automatisation, l'analyse et la surveillance des activités.
Où commence la protection des données ?
Commencez votre stratégie de protection des données en suivant les 6 étapes suivantes :
1
Mobiliser les dirigeants
La mise en place d'une bonne stratégie de protection des données nécessite l'adhésion de l'ensemble de l'organisation, et cette adhésion commence par le soutien et la gestion de la direction de l'organisation.
2
Réunir vos équipes dirigeantes
Établir des conseils stratégiques axés sur la protection des données. Cette étape témoigne de l'engagement de vos cadres supérieurs. Par exemple, chez IBM, au niveau du SVP, le comité consultatif sur la confidentialité et le comité d'éthique conduisent la politique et créent un sens de la mission autour de la protection des données. « Cela nous permet de valider notre stratégie et constitue également un accélérateur très puissant pour la prise de décision et l'influence dans l'ensemble de l'entreprise », explique Lee Cox.
3
Stimuler la collaboration
Les conseils stratégiques devraient se réunir régulièrement pour élaborer et valider leur stratégie de protection des données. Ce processus maintient les initiatives de maîtrise des données au cœur de la protection des données et des objectifs commerciaux. Christopher Giardina, architecte de la structure Data Fabric d'IBM spécialisé dans la confidentialité et la gouvernance des données, explique que l'un des meilleurs modèles de collaboration se situe entre les bureaux centraux de données, le bureau du PDG et les centres d'opérations de confidentialité des données.
4
Renforcer les lignes de services
Encouragez les dirigeants de votre organisation à devenir une extension du modèle opérationnel de protection des données. Avec les conseils stratégiques appropriés, une politique centralisée de protection des données et les services éducatifs et technologiques nécessaires, les lignes de services et les unités opérationnelles peuvent travailler en phase pour atteindre les objectifs de la stratégie de protection des données.
5
Unifier la stratégie
Un cadre de protection des données mature aligne l'organisation par le biais d'un changement de culture et rassemble des divisions et des unités disparates avec une stratégie de données unifiée. Si non seulement le CDO, mais aussi le CPO et le CIO peuvent parler des avantages concurrentiels de la protection des données, vous construirez une analyse de rentabilité sur la façon dont la confiance et la transparence vont augmenter la croissance des revenus. « Au niveau de l'entreprise, cela signifie qu'il faut briser les silos traditionnels au sein de l'organisation », explique Lee Cox.
6
Automatiser la gouvernance
Pour assurer la protection et la confidentialité des données à grande échelle, les organisations doivent mettre en place un cadre de gouvernance afin que les données soient à la fois accessibles et protégées. Une architecture Data Fabric fournit les méthodes dont votre organisation a besoin pour automatiser la gouvernance et la confidentialité des données et pour maintenir la résilience, peu importe de quoi demain sera fait.
Étude de cas
Une question de confiance
Lorsque les gens comprennent le fonctionnement de la technologie et qu'ils ont le sentiment qu'elle est sûre et fiable, ils sont beaucoup plus enclins à lui faire confiance. Prenons l'exemple du flux de travaux mis au point par IBM, qui permet de prédire avec précision la réaction – positive ou négative – des patients à un médicament contre le syndrome du côlon irritable dans 95 % des cas. En combinant les données de patients atteints de maladies inflammatoires chroniques de l'intestin (MICI) et les techniques d'IA explicables pour étudier les réponses aux médicaments, l'ensemble d'algorithmes obtenu a montré qu'il était possible de déverrouiller la boîte noire des données sur les MICI et de comprendre, prévoir et expliquer comment les personnes souffrant de MICI peuvent répondre aux différents médicaments disponibles sur le marché, ainsi qu'aux médicaments en cours de développement.
Il s'agit d'un voyage continu et itératif
Une approche holistique de la protection des données n'est pas une solution unique. Il s'agit d'un parcours continu et itératif qui évolue en fonction des lois et des réglementations, des besoins des entreprises et des attentes des clients. Sachez que vos efforts continus en valent la peine. Vous faites de votre stratégie de données un facteur de différenciation concurrentielle qui se trouve au cœur d'une organisation axée sur les données. En fin de compte, la protection des données consiste à favoriser la confiance. En mettant en place une stratégie de données éthique, durable et adaptable qui garantit la conformité et la sécurité dans un paysage de données en constante évolution, vous faites de votre organisation un leader du marché.
Étapes suivantes
Comment commencer ?
La création d'une architecture de données appropriée est un processus itératif qui s'adapte et se développe au fil du temps avec votre entreprise. Nous sommes là pour vous aider.
Notes de bas de page
¹ Gartner Identifies Top Five Trends in Privacy Through 2024 (lien externe à ibm.com), communiqué de presse, Gartner, 31 mai 2022.²Cost of a Data Breach Report 2022 (PDF, 2,4 Mo), Ponemon Institute, subventionné par IBM Security®, juillet 2022.³5 Principles of Data Ethics for Business, blog Business Insights (lien externe à ibm.com), Harvard Business School Online, 16 mars 2021.⁴ Americans and Privacy: Concerned, Confused and Feeling Lack of Control Over Their Personal Information (lien externe à ibm.com), Pew Research Center, 15 novembre 2019.