Créer une approche holistique de la protection des données
Qu’est-ce qu’une approche holistique de la protection des données ?
D’après les recherches de Gartner, il est estimé que les données personnelles de 75 % de la population mondiale seront couvertes par des réglementations de confidentialité d’ici 2024¹. En tant que responsable des données, votre tâche consiste à gérer des politiques et des technologies de plus en plus complexes, ceci afin de garantir que les données sensibles sont à la fois accessibles et protégées. La protection des données est le terme générique qui englobe la confidentialité, la conformité, la sécurité et l’éthique des données. L’adoption d’une approche holistique de la protection des données et de la cybersécurité permet de se prémunir contre les cyberattaques (par exemple les ransomwares) et de maintenir la conformité réglementaire, le but étant d’éviter des amendes coûteuses, d’avoir une IA responsable et de créer une expérience utilisateur exceptionnelle.
En 2022, le coût moyen d’une violation de données a atteint 4,35 millions de dollars, un chiffre record². Sans compter les coûts cachés pour maintenir la réputation de la marque et la fidélité des clients. Les consommateurs veulent que leurs données personnelles soient protégées, et les décideurs ont réagi en adoptant de nouvelles réglementations sur la confidentialité des données. Les organisations qui ne sont pas préparées à répondre à ces nouveaux besoins de conformité des données pourraient en payer le prix fort. Avec l’apparition de nouvelles réglementations comme le RGPD, la CCPA et la LGPD, il est de plus en plus attendu des organisations qu’elles intègrent la protection holistique des données dans leur stratégie globale de gestion des données.
Cette approche ne consiste pas seulement à examiner la manière dont les données sont collectées et à en assurer la conformité et la confidentialité, il s’agit également de comprendre comment les données sensibles sont utilisées dans le monde d’aujourd’hui. Cela pousse les organisations à se poser certaines questions : est-il éthique de collecter ces données ? Que faisons-nous de ces informations ? Avons-nous fait part de nos intentions aux personnes auprès desquelles nous avons recueilli ces données ? Combien de temps et à quel endroit ces données seront-elles conservées ? Sommes-nous au fait de la gestion des risques et des progrès des logiciels malveillants ? Toute personne chargée de collecter des données, en particulier les dirigeants d’une organisation, ont tout intérêt à maîtriser le sujet.
D’après les recherches de Gartner, il est estimé que les données personnelles de 75 % de la population mondiale seront couvertes par des réglementations de confidentialité d’ici 2024¹.
En 2022, le coût moyen d’une violation de données a atteint 4,35 millions de dollars, un chiffre record².
Trois piliers clés, à savoir l’éthique, la confidentialité et la sécurité, fonctionnent de concert sous l’égide du concept de protection des données. Le but est de maintenir un cadre qui a été conçu pour s’adapter à l’évolution des réglementations et des attentes métier tout en développant l’IA de manière responsable et en préservant la confiance des utilisateurs.
Pilier n° 1
Les orientations culturelles de votre organisation sur la protection des données influencent la manière dont les politiques de confidentialité et de sécurité des données sont promulguées et mises en œuvre. La Harvard Business School définit « l’éthique des données » comme les obligations morales liées à la collecte, à la protection et à l’utilisation de données personnelles, ainsi que l’impact de ces actions³. Pour que vos décisions concernant les données soient judicieuses et qu’elles promeuvent une IA responsable, prenez en compte les principes d’éthique des données suivants.
Pour respecter l’éthique des données, il faut d’abord savoir à qui appartiennent les données que vous utilisez. Ce n’est pas parce qu’un utilisateur vous fournit des données que vous en êtes le propriétaire. Le consentement est indispensable, tout comme la protection et le respect des données. Le respect de l’intégrité des données signifie qu’il ne faut jamais abuser des données et qu’il faut les éliminer aussitôt que l’on n’en a plus besoin.
En matière de protection des données, la transparence consiste à expliquer clairement aux clients comment leurs données sont utilisées. Selon le Pew Research Center, 81 % des personnes interrogées estiment que les risques potentiels associés à la collecte de données l’emportent sur les avantages⁴. Pour surmonter cette méfiance plutôt enracinée, vous devez donner aux utilisateurs les moyens de comprendre les objectifs et le cycle de vie des données client. Ils doivent notamment savoir que votre organisation les utilisera correctement et avec des intentions honorables.
Lorsqu’une entreprise recueille des informations, les stocke et les analyse, ces dernières ne doivent pas être utilisées, stockées, partagées, gérées, conservées ou éliminées en dehors des objectifs convenus lors de leur obtention initiale. C’est dans cette situation que les stratégies de confidentialité des données entrent à nouveau en jeu, avec pour but de renforcer l’éthique et les politiques de sécurité des données.
Que votre organisation soit un fournisseur de solutions ou un fournisseur de services numériques, définissez toujours un objectif clair lorsque vous utilisez des données et l’intelligence artificielle. Avec une IA responsable, les utilisateurs comprennent comment fonctionne la combinaison des données et de la technologie et pourquoi l’IA prend telle ou telle décision. Parce qu’ils renforcent la confiance dans l’IA, certains outils (comme les outils explicatifs, les taxonomies des techniques d’IA et les solutions de gouvernance de l’IA) permettent aux utilisateurs de connaître vos intentions et de faire confiance à votre technologie, à vos processus et aux résultats de l’utilisation de leurs données.
eBook : Découvrir comment élaborer et mettre en œuvre un cadre de gouvernance de l’IA →
Les violations de données, les attaques par ransomware et les manipulations accidentelles sont préjudiciables aux clients et mettent à l’épreuve leur patience, leur fidélité et leur confiance dans votre organisation. Parce que ces problèmes peuvent survenir et qu’ils surviendront selon toute vraisemblance, il est essentiel de mettre en place des dispositifs de protection au sein de la gestion des risques. Une étude d’IBM a révélé que les entreprises qui ont déployé en totalité l’IA et l’automatisation dans le cadre de leur stratégie de sécurité économisent en moyenne 3,05 millions de dollars en coûts liés aux violations de données par rapport à celles qui ne l’ont pas encore fait.
Pilier n° 2
L’éthique des données consiste à instaurer une culture d’entreprise fondée sur des comportements et des pratiques qui respectent les principes définis dans le cadre de la gestion des données. Idéalement, cette culture de l’éthique et de la compétence en matière de données est adoptée par l’ensemble de votre organisation et se reflète dans vos produits et vos opérations. La confidentialité des données consiste à définir des politiques et des pratiques qui incarnent ces principes par le biais de personnes, de processus métier et de la technologie, et à les rendre opérationnelles tout au long du cycle de vie des données, de la collecte au stockage. Cette méthode est à la base de la création et de l’automatisation d’un cadre solide de gouvernance des données, avec une approche de type data fabric.
La gouvernance des données permet de trouver un équilibre entre la restriction de l’accès aux données (pour en garantir la confidentialité) et l’élargissement de l’accès aux données (pour en améliorer l’analyse). Pour faciliter l’utilisation des données par votre organisation tout en les protégeant contre les accès non autorisés, vous devez mettre en œuvre des outils appropriés de confidentialité des données, par exemple le contrôle de l’accès. Vous pouvez ensuite combiner ces outils à l’IA, par exemple en rendant les données sensibles anonymes (pour qu’elles puissent être utilisées sans possibilité d’identification), ou en étiquetant les données pour permettre l’application des politiques.
La mise en place de l’architecture des données adéquate (comme une data fabric) combinée à une gestion rigoureuse des données contribue à maintenir la confidentialité et la sécurité des données privées tout en permettant aux utilisateurs d’en obtenir les informations exploitables dont ils ont besoin.
« Votre cadre de protection des données doit être extrêmement élastique et très réactif afin de faire face à tout ce que les changements réglementaires, les données de tiers, les réglementations d’IA et les 25 nouveaux développements dans ce domaine quels qu’ils soient peuvent apporter de nouveau », déclare Lee Cox, vice-président des services, de la conformité et de la recherche et responsable du bureau de la confidentialité chez IBM. « Il y a beaucoup plus de synergie entre la confidentialité, l’éthique et la gouvernance des données que nous ne l’avions anticipé. Mais la technologie dont nous disposons aujourd’hui nous permet d’exploiter en toute confiance des données à grande échelle, avec beaucoup plus d’efficacité qu’auparavant. »
La confidentialité des données consiste avant tout à protéger les données des clients et à maintenir leur confiance dans un contexte où les réglementations évoluent sans cesse. Mais il faut préciser que sur le marché actuel, c’est aussi un facteur de différenciation. « Si la confidentialité est au cœur des pratiques de notre entreprise qui procurent cet avantage concurrentiel, elle génère également des revenus dans le cadre du développement de la technologie sur laquelle s’appuie notre programme mondial de confidentialité », déclare Christina Montgomery, directrice de la confidentialité chez IBM.
L’introduction du Règlement général sur la protection des données (RGPD) par l’Union européenne en 2018 a poussé de nombreuses organisations, dont IBM, à accélérer le développement de leurs programmes de protection de la vie privée. Pour une entreprise de stature internationale, la première étape consiste en toute logique à harmoniser et à combiner les exigences juridiques locales dans un cadre mondial de mise en conformité de la confidentialité. Par exemple, en classant et en combinant les métadonnées de milliers de référentiels de données existants dans une data fabric centralisée, IBM peut désormais déterminer rapidement quels types d’informations personnelles sont traités dans l’entreprise, par qui, et où ces données sont stockées. L’existence d’un cadre de confidentialité unifié permet d’adopter une approche fondée sur les métadonnées et de s’appuyer sur une source de vérité unique, qui joue un rôle fondamental dans la réduction de l’exposition d’IBM aux risques réglementaires.
Découvrez comment garder une longueur d’avance sur l’évolution des réglementations de confidentialité des données
Les organisations qui vont au-delà de la simple conformité réglementaire peuvent gagner la confiance de leurs clients et se démarquer de la concurrence. Cette approche holistique et adaptative de la confidentialité des données présente d’autres avantages :
La compréhension du risque lié aux données
Évaluez l’utilisation des données et le risque en fonction de vos responsabilités envers les clients et la réglementation.
La sécurisation du partage des données
Utilisez des contrôles de cybersécurité pour protéger les données personnelles et offrir des expériences qui suscitent la confiance.
L’automatisation de la réponse aux incidents
Agissez efficacement pour atténuer les risques et les problèmes de conformité et gérez les pics de volume.
Pilier n° 3
« La technologie évolue, mais les menaces aussi : elles se multiplient de manière exponentielle », explique Mehdi Charafeddine, ingénieur émérite et directeur technique mondial des services de plateforme de données chez IBM. « Heureusement, il existe des moyens de plus en plus sophistiqués d’appliquer la protection des données et d’en soutenir la confidentialité. »
Selon Gartner, la sécurité des données comprend les processus et les méthodologies associées qui protègent les actifs d’information sensibles, en transit ou au repos. C’est pourquoi elle doit surtout s’articuler autour des outils et des logiciels utilisés pour protéger la confidentialité des données : chiffrement, authentification multi-facteur, masquage, effacement ou résilience des données. Mais la mise en place de politiques et de contrôles appropriés est autant une question de culture organisationnelle que de déploiement d’applications et d’algorithmes adéquats.
D’un point de vue technologique, vous pouvez sécuriser les données grâce à une architecture de type data fabric, qui protège les données à la fois au niveau de la « porte d’entrée » (c’est-à-dire là où les utilisateurs interagissent avec les données), au niveau de l’application, au niveau la source ou « porte arrière » (où les données sont générées et stockées) et peut-être entre chacune de ces entités. Cette approche est essentielle dans la mise en place de politiques et de contrôles capables d’assurer la sécurité des données.
Un autre élément à prendre en compte est la localisation des opérations dans plusieurs zones géographiques. En raison des silos de données et de l’absence de gouvernance centralisée, il est peu probable que les data scientists puissent effectuer des analyses dans toutes les zones. Avec une data fabric, il n’est pas nécessaire d’imaginer des scénarios, de faire des simulations et de créer des modèles ». Avec ce type d’architecture, les données peuvent être fournies aux data scientists dans le respect des règles de gouvernance et de confidentialité, ce qui donne le sentiment de prendre part à une initiative inter-organisationnelle.
Afin de garantir la confidentialité et la sécurité des données (en particulier pour les données sensibles), il est essentiel d’intégrer des mesures de sécurité dans la gestion des données de bout en bout. Prenons l’exemple de la recherche médicale dans un hôpital. Il existe des cas où l’hôpital collabore avec des experts ou des data scientists tiers. Ces derniers peuvent avoir besoin de travailler sur certaines données ou applications, mais ils ne doivent pas pouvoir consulter de données réglementées ou de données personnelles. Les politiques de données automatisées basées sur les rôles peuvent permettre à différentes parties de collaborer tout en protégeant la confidentialité et la conformité des données au niveau des applications. Parallèlement, dans le cadre d’une IA responsable, ces données doivent être protégées à la source, là où elles sont stockées, par exemple dans la base de données sur site où elles ont été collectées à l’origine. En l’absence de cette configuration, les informations des patients sont vulnérables à tout cybercriminel qui parviendrait à s’infiltrer dans ces systèmes.
Lorsque la sécurité des données est assurée correctement, elle englobe les personnes, les processus et la technologie et renforce la confiance dans l’IA. Découvrez les bonnes pratiques suivantes pour faire de la sécurité de l’information une priorité dans tous les domaines de votre entreprise.
Les principales étapes de la protection des données sensibles incluent l’automatisation de la visibilité, la contextualisation, le contrôle des politiques d’accès et la mise en place d’une surveillance continue pour identifier les vulnérabilités et les risques avant qu’ils n’entraînent des violations.
Adoptez une approche de la gestion des données de type Zero Trust grâce à une suite intégrée de capacités, notamment des copies de données créées automatiquement et isolées de manière sécurisée qui permettent de combler les lacunes en matière de cybersécurité, aussi bien dans les déploiements sur site qu’en cloud hybride.
Il est déjà assez difficile de gérer le nombre croissant d’obligations en matière de confidentialité. Produire des rapports peut devenir une difficulté supplémentaire pour votre équipe. Simplifiez les processus grâce à l’automatisation, l’analytique et la surveillance des activités.
Une question de confiance
Lorsque les utilisateurs comprennent le fonctionnement de la technologie et ont le sentiment qu’elle est sûre et fiable, ils sont beaucoup plus susceptibles de lui faire confiance. Prenons l’exemple du workflow mis au point par IBM qui permet de prédire avec précision la réaction (positive ou négative) des patients à un médicament contre le syndrome du côlon irritable dans 95 % des cas. En combinant les données des patients atteints de ce syndrome et des techniques d’IA explicables pour étudier les réactions aux médicaments, l’ensemble d’algorithmes ainsi créé a montré qu’il était possible d’exploiter concrètement les données sur le syndrome et de comprendre, prédire et expliquer comment les personnes qui en souffrent peuvent réagir aux différents médicaments disponibles sur le marché, ainsi qu’aux médicaments en cours de développement.
Un parcours continu pour la protection des données et des initiatives d’IA
Une approche holistique de la protection des données ne peut pas être mise en place puis immédiatement oubliée. Il s’agit d’un parcours continu et itératif qui évolue en fonction des lois et des réglementations, des besoins des entreprises et des attentes des clients. Sachez que vos efforts en valent la peine. Vous faites de votre stratégie de données un facteur de différenciation concurrentielle inscrit au cœur d’une organisation axée sur les données.
En fin de compte, la protection des données est une composante essentielle de la confiance que vous devez susciter. En mettant en place une stratégie de données éthique, durable et adaptative, qui garantit la conformité et la sécurité dans un environnement de données qui évolue sans cesse, votre organisation est en bonne voie pour devenir un leader du marché.
Apprenez à construire une base de données solide pour mettre à l’échelle et gouverner l’IA d’entreprise.
Notes de bas de page
¹ Gartner Identifies Top Five Trends in Privacy Through 2024 (lien externe à ibm.com), communiqué de presse, Gartner, 31 mai 2022.
² Cost of a Data Breach Report 2022 un rapport Ponemon Institute sponsorisé par IBM Security, juillet 2022.
³ 5 Principles of Data Ethics for Business, blog Business Insights (lien externe à ibm.com), Harvard Business School Online, 16 mars 2021.
⁴ Americans and Privacy: Concerned, Confused and Feeling Lack of Control Over Their Personal Information (lien externe à ibm.com), Pew Research Center, 15 novembre 2019.