Publication : 19 décembre 2023
Contributeurs : Matthew Kosinski, Amber Forrest
La confidentialité des données, également appelée « confidentialité des renseignements », est le principe selon lequel une personne doit avoir le contrôle de ses données personnelles, y compris la capacité de décider comment les organisations collectent, stockent et utilisent ses données.
Les entreprises collectent régulièrement des données utilisateur telles que des adresses e-mail, des données biométriques et des numéros de carte de crédit. Pour les organisations de cette économie de données, garantir la confidentialité des données signifie prendre des mesures telles que l’obtention du consentement de l’utilisateur avant le traitement des données, la protection des données contre l’utilisation abusive et la possibilité pour les utilisateurs de gérer activement leurs données.
De nombreuses organisations ont l’obligation légale de respecter les droits à la confidentialité des données en vertu de lois telles que le Règlement général sur la protection des données (RGPD). Même en l’absence de législation formelle sur la confidentialité des données, les entreprises peuvent bénéficier de l’adoption de mesures de confidentialité. Les mêmes pratiques et outils qui protègent la confidentialité des utilisateurs peuvent protéger les données et les systèmes sensibles contre les pirates malveillants.
La confidentialité des données et la sécurité des données sont des disciplines distinctes, mais liées. Ces deux éléments sont au cœur de la stratégie globale de gouvernance des données d’une entreprise.
La confidentialité des données met l’accent sur les droits individuels des personnes concernées, c’est-à-dire des utilisateurs propriétaires des données. Pour les organisations, la pratique de la confidentialité des données consiste à mettre en œuvre des politiques et des processus qui permettent aux utilisateurs de contrôler leurs données conformément aux réglementations pertinentes en la matière.
La sécurité des données se concentre sur la protection des données contre tout accès non autorisé et toute utilisation abusive. Pour les organisations, la pratique de la sécurité des données consiste en grande partie à déployer des contrôles pour empêcher les pirates et les menaces internes de falsifier les données.
La sécurité des données renforce la confidentialité des données en veillant à ce que seules les bonnes personnes puissent accéder aux données personnelles pour les bonnes raisons. La confidentialité des données renforce la sécurité des données en définissant les termes « bonnes personnes » et les « bonnes raisons » pour tout ensemble de données.
Abonnez-vous à la newsletter d’IBM
Dans de nombreuses organisations, la confidentialité des données est supervisée par une équipe interdisciplinaire composée de représentants des services juridiques, de conformité, informatiques et de cybersécurité. Ces équipes élaborent des politiques de gestion des données qui régissent la façon dont leurs organisations collectent, utilisent et protègent les données personnelles à la lumière des droits des utilisateurs à la confidentialité. Ils conçoivent également des processus permettant aux utilisateurs d’exercer leurs droits et d’implémenter des contrôles techniques pour sécuriser les données.
Les organisations peuvent utiliser divers cadres de confidentialité des données pour orienter leurs politiques en matière de données, notamment le cadre de confidentialité du NIST1 et les principes de pratiques équitables en matière d’information.2 En outre, les spécificités de la stratégie de gouvernance des données de toute organisation dépendent largement des lois sur la confidentialité auxquelles l’entreprise doit se conformer, le cas échéant.
Cela dit, il existe quelques principes généraux de confidentialité des données qui figurent dans la plupart des cadres d’exigences et de réglementations. Ces principes guident de nombreuses politiques, processus et contrôles de confidentialité des données des organisations.
Les utilisateurs ont le droit de savoir quelles sont les données détenues par une entreprise. Les utilisateurs doivent pouvoir accéder à leurs données personnelles sur demande. Ils doivent être en mesure de mettre à jour ou de modifier ces données si nécessaire.
Les utilisateurs ont le droit de savoir qui détient leurs données et comment elles sont utilisées. Au moment de la collecte des données, les organisations doivent clairement communiquer ce qu’elles collectent et comment elles ont l’intention de les utiliser. Après avoir collecté des données, les organisations doivent tenir les utilisateurs informés des principaux détails du traitement des données, y compris de tout changement dans la manière dont les données sont utilisées et de toute tierce partie avec laquelle les données sont partagées.
En interne, les organisations doivent tenir à jour des stocks de toutes les données qu’elles possèdent. Les données doivent être classées en fonction du type, du niveau de sensibilité, des exigences de conformité et d’autres facteurs pertinents. Les politiques de contrôle d’accès et d’utilisation doivent être appliquées sur la base de ces classifications.
Dans la mesure du possible, les organisations doivent obtenir le consentement des utilisateurs avant de stocker, de collecter, de partager ou de traiter des données. Si une organisation conserve ou utilise des données personnelles sans le consentement de la personne concernée, elle doit avoir une raison impérieuse de le faire, telle qu’une utilisation dans l’intérêt public ou une obligation légale.
Les personnes concernées doivent avoir la possibilité de faire part de leurs préoccupations ou de s’opposer au traitement de leurs données. Ils doivent pouvoir retirer leur consentement à tout moment.
Les organisations doivent s’efforcer de garantir l’exactitude des données qu’elles collectent et conservent. Toute inexactitude peut entraîner des violations de la confidentialité. Par exemple, si une entreprise possède une ancienne adresse dans ses dossiers, elle pourrait envoyer accidentellement des documents sensibles à la mauvaise personne.
Une organisation doit collecter les données pour un objectif précis. Elle doit communiquer cet objectif aux utilisateurs et n’utiliser les données qu’à cette fin. L’organisation doit uniquement collecter les données nécessaires à l’objectif déclaré et ne les conserver que jusqu’à ce que cet objectif soit atteint.
La confidentialité doit être la priorité par défaut de chaque système et processus de l’organisation. Tous les produits que l’organisation conçoit ou met en œuvre doivent traiter la protection de la vie privée des utilisateurs comme une caractéristique essentielle et une préoccupation majeure. La collecte et le traitement des données doivent être optionnels plutôt que désactivés. Les utilisateurs doivent garder le contrôle de leurs données à chaque étape.
Les organisations doivent mettre en place des processus et des contrôles pour protéger la confidentialité et l’intégrité des données utilisateur.
Au niveau des processus, les organisations peuvent prendre des mesures telles que former leurs employés aux exigences de conformité et travailler uniquement avec des fournisseurs et des prestataires de services qui respectent la confidentialité des utilisateurs.
Au niveau des contrôles techniques, les organisations peuvent utiliser un certain nombre d’outils pour protéger les données. Les solutions de gestion des identités et des accès (IAM) peuvent appliquer des politiques de contrôle d’accès basées sur les rôles afin que seuls les utilisateurs autorisés puissent accéder aux données sensibles. Des mesures d’authentification strictes telles que le Single Sign On (SSO) et l’authentification multifacteur (MFA) peuvent empêcher les pirates de détourner des comptes d’utilisateurs légitimes.
Les outils de prévention des pertes de données (DLP) peuvent trouver et classer les données, surveiller leur utilisation et empêcher les utilisateurs de modifier, partager ou supprimer des données de manière inappropriée. Les solutions de sauvegarde et d’archivage des données peuvent aider les organisations à récupérer les données perdues ou endommagées.
Les organisations peuvent également utiliser des outils de sécurité des données conçus spécifiquement pour la conformité réglementaire. Ces outils incluent souvent des fonctionnalités comme le chiffrement, l’application automatisée des politiques et les pistes d’audit qui suivent toutes les activités relatives aux données pertinentes.
En moyenne, une organisation collecte aujourd’hui une grande quantité de données sur les consommateurs. Cette tendance devrait continuer à s’intensifier dans les années à venir. Selon l’enquête IDC sur la confidentialité et la protection des données réalisée en 20233, près de 70 % des organisations s’attendent à ce que la quantité de données qu’elles traitent augmente au cours des trois prochaines années.
Les organisations ont la responsabilité de garantir la confidentialité de ces données, non pas par charité, mais pour des raisons de conformité réglementaire, de posture de sécurité et d’avantage concurrentiel.
Des institutions comme les Nations Unies4 reconnaissent le respect de la vie privée comme un droit humain fondamental et de nombreux pays ont adopté des réglementations en matière de confidentialité qui régissent ce droit en vigueur. La plupart de ces réglementations s’accompagnent de sanctions strictes en cas de non-conformité.
Le Règlement général sur la protection des données (RGPD) de l’Union européenne est considéré comme l’une des lois les plus complètes au monde en matière de confidentialité des données. Il fixe des règles strictes que toute entreprise, basée en Europe ou hors d’Europe, doit respecter lors du traitement des données des résidents de l’UE. Les contrevenants peuvent être condamnés à une amende pouvant s’élever à 20 millions d’euros, soit 4 % du chiffre d’affaires mondial de l’entreprise.
Les pays hors de l’UE sont soumis à des exigences réglementaires similaires, notamment le RGPD britannique, la loi canadienne sur la protection des informations personnelles et les documents électroniques (PIPEDA) et la loi indienne sur la protection des données personnelles numériques.
Les États-Unis ne disposent pas de lois fédérales sur la protection des données aussi ambitieuses que le RGPD, mais ils disposent de quelques lois plus ciblées. La loi COPPA sur la protection de la vie privée des enfants en ligne (COPPA) établit des règles pour la collecte et le traitement des données personnelles des enfants de moins de 13 ans. Le Health Insurance Portability and Accountability Act (HIPAA) couvre la façon dont les organismes de santé et les entités connexes gèrent les informations personnelles sur la santé.
Les sanctions prévues par ces lois peuvent être importantes. En 2022, par exemple, Epic Games a été condamné à une amende record de 275 millions de dollars pour violation de la COPPA.5
Certains États aux États-Unis ont également adopté des réglementations en matière de confidentialité, comme le California Consumer Privacy Act (CCPA), qui donne aux consommateurs californiens un meilleur contrôle sur la manière et le moment où leurs données sont traitées. Bien que la CCPA soit peut-être la loi nationale sur la protection de la vie privée la plus connue, elle en a inspiré d’autres, comme la Virginia Consumer Data Protection Act (VCDPA) et la Colorado Privacy Act (CPA).
Aujourd’hui, les organisations collectent de nombreuses données personnelles (PII), comme les numéros de sécurité sociale et les coordonnées bancaires des utilisateurs. Ces données constituent une cible pour les pirates informatiques, qui peuvent les utiliser pour commettre une usurpation d’identité, voler de l’argent ou le vendre sur le dark web.
En outre, les entreprises possèdent leurs propres données sensibles que les pirates peuvent rechercher, telles que les données de propriété intellectuelle ou financières.
Selon le rapport 2023 sur le coût d’une violation des données d’IBM, une violation coûte en moyenne 4,45 millions de dollars à une entreprise. De nombreux facteurs expliquent ce coût, notamment la perte d’activité due au temps d’arrêt du système et les coûts de détection et de correction de la violation.
Bon nombre des outils qui garantissent la confidentialité des données peuvent également réduire la menace de violations et renforcer la posture globale de cybersécurité. Par exemple, les solutions IAM qui empêchent les accès non autorisés peuvent contribuer à arrêter les pirates tout en appliquant les politiques de confidentialité. Les outils de sécurité des données peuvent souvent détecter les activités suspectes susceptibles de signaler une cyberattaque en cours, ce qui permet à l’équipe de réponse aux incidents d’agir plus rapidement.
De même, les employés et les consommateurs peuvent se défendre contre certaines des attaques d’ingénierie sociale susceptibles de faire le plus de dégâts en adoptant les bonnes pratiques en matière de confidentialité des données. Les escrocs parcourent souvent les applications de médias sociaux à la recherche de données personnelles qu’ils peuvent utiliser pour élaborer des stratégies convaincantes de compromission des e-mails professionnels (BEC) et d’harponnage . En communiquant moins d’informations et en verrouillant leurs comptes, les utilisateurs peuvent priver les escrocs d’une puissante source de données.
Respecter les droits des utilisateurs en matière de confidentialité peut parfois accorder aux organisations un avantage concurrentiel.
Les consommateurs peuvent perdre confiance dans les entreprises qui ne protègent pas correctement leurs données personnelles. Par exemple, la réputation de Facebook a été sérieusement mise à mal à la suite du scandale Cambridge Analytica.6 Les consommateurs sont souvent moins enclins à partager leurs précieuses données avec des entreprises qui n’ont pas respecté la protection de la vie privée dans le passé.
À l’inverse, les entreprises réputées pour protéger la confidentialité des données peuvent avoir plus de facilité à obtenir et à exploiter les données des utilisateurs.
En outre, dans le contexte d’une économie mondiale interconnectée, les données circulent souvent d’une organisation à l’autre. Une entreprise peut envoyer les données personnelles qu’elle collecte à une base de données cloud pour stockage ou à un cabinet de conseil pour traitement. L’adoption de principes et de pratiques de confidentialité des données peut aider les organisations à protéger les données des utilisateurs contre toute utilisation abusive, même lorsque ces données sont partagées avec des tiers. En vertu de certaines réglementations, telles que le RGPD, les organisations sont légalement tenues de s’assurer que leurs fournisseurs et prestataires de services assurent la sécurité des données.
Enfin, les nouvelles technologies génératives d’intelligence artificielle peuvent poser des défis importants en matière de confidentialité des données. Toute donnée sensible transmise à ces IA peut faire partie des données d’entraînement de l’outil et l’organisation peut ne pas être en mesure de contrôler l’utilisation qui en est faite. Par exemple, les ingénieurs de Samsung ont involontairement divulgué du code source propriétaire en saisissant le code dans ChatGPT pour l’optimiser.7
En outre, si les organisations n’ont pas l’autorisation des utilisateurs pour exécuter leurs données via l’IA générative, cela pourrait constituer une violation de la confidentialité en vertu de certaines réglementations.
Les politiques et contrôles formels de confidentialité des données peuvent aider les organisations à adopter ces outils d’IA et d’autres nouvelles technologies sans enfreindre la loi, perdre la confiance des utilisateurs ou divulguer accidentellement des informations sensibles.
IBM Security Guardium est une famille de logiciels de sécurité des données du portefeuille IBM Security qui identifie les vulnérabilités et protège les données sensibles sur site et dans le cloud.
Les solutions IBM Security vous aident à fournir des expériences sécurisées à vos clients et à développer votre activité grâce à une approche holistique et adaptative de la confidentialité des données. Cette approche se base sur les principes du Zero Trust (confiance zéro) et sur une protection éprouvée de la confidentialité des données.
Moteur de décision centralisé, IBM Security Verify contribue à l’automatisation des règles de détermination du consentement dans le cadre de l’utilisation des données.
La sécurité des données vise à protéger les informations numériques contre tout accès, corruption ou vol non autorisé tout au long de leur cycle de vie.
La gouvernance des données associe normes et politiques pour garantir la disponibilité, la qualité et la sécurité des données.
La prévention des pertes de données (DLP) fait référence aux stratégies, processus et technologies que les équipes de cybersécurité utilisent pour protéger les données sensibles contre le vol, la perte et l’utilisation abusive.
Notes de bas de page
Tous les liens sont externes au site ibm.com
1 NIST Privacy Framework, NIST
2 Fair Information Practice Principles, Federal Privacy Council
3 2023 Data Privacy and Data Protection Survey, IDC, février 2023
4 Déclaration universelle des droits de l’homme, Nations Unies
5 Fortnite Video Game Maker Epic Games to Pay More Than Half a Billion Dollars over FTC Allegations of Privacy Violations and Unwanted Charges, Federal Trade Commission, 19 décembre 2022
6 The Cambridge Analytica Files, The Guardian
7 Whoops, Samsung workers accidentally leaked trade secrets via ChatGPT, Mashable, 6 avril 2023