Qu’est-ce que la confidentialité des données ?

Les entreprises collectent régulièrement des données utilisateur telles que des adresses e-mail, des données biométriques et des numéros de carte de crédit. Pour les organisations de cette économie de données, garantir la confidentialité des données signifie prendre des mesures telles que l’obtention du consentement de l’utilisateur avant le traitement des données, la protection des données contre l’utilisation abusive et la possibilité pour les utilisateurs de gérer activement leurs données.

De nombreuses organisations ont l’obligation légale de respecter les droits à la confidentialité des données en vertu de lois telles que le Règlement général sur la protection des données (RGPD). Même en l’absence de législation formelle sur la confidentialité des données, les entreprises peuvent bénéficier de l’adoption de mesures de confidentialité. Les mêmes pratiques et outils qui protègent la confidentialité des utilisateurs peuvent protéger les données et les systèmes sensibles contre les pirates malveillants.

La confidentialité des données et la sécurité des données sont des disciplines distinctes, mais liées. Ces deux éléments sont au cœur de la stratégie globale de gouvernance des données d’une entreprise.

La confidentialité des données met l’accent sur les droits individuels des personnes concernées, c’est-à-dire des utilisateurs propriétaires des données. Pour les organisations, la pratique de la confidentialité des données consiste à mettre en œuvre des politiques et des processus qui permettent aux utilisateurs de contrôler leurs données conformément aux réglementations pertinentes en la matière.

La sécurité des données se concentre sur la protection des données contre tout accès non autorisé et toute utilisation abusive. Pour les organisations, la pratique de la sécurité des données consiste en grande partie à déployer des contrôles pour empêcher les pirates et les menaces internes de falsifier les données.

La sécurité des données renforce la confidentialité des données en veillant à ce que seules les bonnes personnes puissent accéder aux données personnelles pour des motifs légitimes. La confidentialité des données renforce la sécurité des données en définissant les termes « bonnes personnes » et « motifs légitimes » pour tout ensemble de données.

Dans de nombreuses organisations, la confidentialité des données est supervisée par une équipe interdisciplinaire composée de représentants des services juridiques, de conformité,informatiques et de cybersécurité. Ces équipes élaborent des politiques de gestion des données qui régissent la façon dont leurs organisations collectent, utilisent et protègent les données personnelles à la lumière des droits des utilisateurs à la confidentialité. Ils conçoivent également des processus permettant aux utilisateurs d’exercer leurs droits et d’implémenter des contrôles techniques pour sécuriser les données.

Les organisations peuvent utiliser divers cadres de confidentialité des données pour orienter leurs politiques en matière de données, notamment le cadre de confidentialité du NIST¹ et les principes de pratiques équitables en matière d’information.² En outre, les spécificités de la stratégie de gouvernance des données de toute organisation dépendent largement des lois sur la confidentialité auxquelles l’entreprise doit se conformer, le cas échéant.

Cela dit, il existe quelques principes généraux de confidentialité des données qui figurent dans la plupart des cadres d’exigences et de réglementations. Ces principes guident de nombreuses politiques, processus et contrôles de confidentialité des données des organisations.

Les entreprises d’aujourd’hui recueillent d’immenses quantités de données sur les consommateurs. Elles ont la responsabilité de garantir la confidentialité de ces données, non pas par pure bonté d’âme, mais pour assurer leur conformité réglementaire, leur posture de sécurité et un avantage concurrentiel.

Des institutions comme les Nations Unies³ reconnaissent le respect de la vie privée comme un droit humain fondamental et de nombreux pays ont adopté des réglementations en matière de confidentialité qui régissent ce droit en vigueur. La plupart de ces réglementations s’accompagnent de sanctions strictes en cas de non-conformité.

Le Règlement général sur la protection des données (RGPD) de l’Union européenne est considéré comme l’une des lois les plus complètes au monde en matière de confidentialité des données. Il fixe des règles strictes que toute entreprise, basée en Europe ou hors d’Europe, doit respecter lors du traitement des données des résidents de l’UE. Les contrevenants peuvent être condamnés à une amende pouvant s’élever à 20 millions d’euros, soit 4 % du chiffre d’affaires mondial de l’entreprise.

Les pays hors de l’UE sont soumis à des exigences réglementaires similaires, notamment le RGPD britannique, la loi canadienne sur la protection des informations personnelles et les documents électroniques (LPRPDE) et la loi indienne sur la protection des données personnelles numériques.

Les États-Unis ne disposent pas de lois fédérales sur la protection des données aussi ambitieuses que le RGPD, mais ils disposent de quelques lois plus ciblées. La loi COPPA sur la protection de la vie privée des enfants en ligne (COPPA) établit des règles pour la collecte et le traitement des données personnelles des enfants de moins de 13 ans. Le Health Insurance Portability and Accountability Act (HIPAA) couvre la façon dont les organismes de santé et les entités connexes gèrent les informations personnelles sur la santé.

Les sanctions prévues par ces lois peuvent être importantes. En 2022, par exemple, Epic Games a été condamné à une amende record de 275 millions de dollars pour violation de la COPPA.⁴

Certains États aux États-Unis ont également adopté des réglementations en matière de confidentialité, comme le California Consumer Privacy Act (CCPA), qui donne aux consommateurs californiens un meilleur contrôle sur la manière et le moment où leurs données sont traitées. Bien que la CCPA soit peut-être la loi nationale sur la protection de la vie privée la plus connue, elle en a inspiré d’autres, comme la Virginia Consumer Data Protection Act (VCDPA) et la Colorado Privacy Act (CPA).

Aujourd’hui, les organisations collectent de nombreuses données personnelles (PII), comme les numéros de sécurité sociale et les coordonnées bancaires des utilisateurs. Ces données constituent une cible pour les pirates informatiques, qui peuvent les utiliser pour commettre une usurpation d’identité, voler de l’argent ou le vendre sur le dark Web.

En outre, les entreprises possèdent leurs propres données sensibles que les pirates peuvent rechercher, telles que les données de propriété intellectuelle ou financières.

Selon le Rapport 2023 sur le coût d’une violation des données d’IBM, une violation coûte en moyenne 4,44 millions de dollars à une entreprise. De nombreux facteurs expliquent ce coût, notamment la perte d’activité due au temps d’arrêt du système et les coûts de détection et de correction de la violation.

Bon nombre des outils qui garantissent la confidentialité des données peuvent également réduire la menace de violations et renforcer la posture globale de cybersécurité. Par exemple, les solutions IAM qui empêchent les accès non autorisés peuvent contribuer à arrêter les pirates tout en appliquant les politiques de confidentialité. Les outils de sécurité des données peuvent souvent détecter les activités suspectes susceptibles de signaler une cyberattaque en cours, ce qui permet à l’équipe de réponse aux incidents d’agir plus rapidement.

De même, les employés et les consommateurs peuvent se défendre contre certaines des attaques d’ingénierie sociale susceptibles de faire le plus de dégâts en adoptant les bonnes pratiques en matière de confidentialité des données. Les escrocs parcourent souvent les applications de médias sociaux à la recherche de données personnelles qu’ils peuvent utiliser pour élaborer des stratégies convaincantes de compromission des e-mails professionnels (BEC) et d’harponnage. En communiquant moins d’informations et en verrouillant leurs comptes, les utilisateurs peuvent priver les escrocs d’une puissante source de données.

Respecter les droits des utilisateurs en matière de confidentialité peut parfois accorder aux organisations un avantage concurrentiel.

Les consommateurs peuvent perdre confiance dans les entreprises qui ne protègent pas correctement leurs données personnelles. Par exemple, la réputation de Facebook a été sérieusement mise à mal à la suite du scandale Cambridge Analytica.⁵ Les consommateurs sont souvent moins enclins à partager leurs précieuses données avec des entreprises qui n’ont pas respecté la protection de la vie privée dans le passé.

À l’inverse, les entreprises réputées pour protéger la confidentialité des données peuvent avoir plus de facilité à obtenir et à exploiter les données des utilisateurs.

En outre, dans le contexte d’une économie mondiale interconnectée, les données circulent souvent d’une organisation à l’autre. Une entreprise peut envoyer les données personnelles qu’elle collecte à une base de données cloud pour stockage ou à un cabinet de conseil pour traitement. L’adoption de principes et de pratiques de confidentialité des données peut aider les organisations à protéger les données des utilisateurs contre toute utilisation abusive, même lorsque ces données sont partagées avec des tiers. En vertu de certaines réglementations, telles que le RGPD, les organisations sont légalement tenues de s’assurer que leurs fournisseurs et prestataires de services assurent la sécurité des données.

Enfin, les nouvelles technologies génératives d’intelligence artificielle peuvent poser des défis importants en matière de confidentialité des données. Toute donnée sensible transmise à ces IA peut faire partie des données d’entraînement de l’outil et l’organisation peut ne pas être en mesure de contrôler l’utilisation qui en est faite. Par exemple, les ingénieurs de Samsung ont involontairement divulgué du code source propriétaire en saisissant le code dans ChatGPT pour l’optimiser.⁷

En outre, si les organisations n’ont pas l’autorisation des utilisateurs pour exécuter leurs données via l’IA générative, cela pourrait constituer une violation de la confidentialité en vertu de certaines réglementations.

Les politiques et contrôles formels de confidentialité des données peuvent aider les organisations à adopter ces outils d’IA et d’autres nouvelles technologies sans enfreindre la loi, perdre la confiance des utilisateurs ou divulguer accidentellement des informations sensibles.