Le nouveau paysage de données : toujours plus, plus vite, plus loin
La croissance exponentielle des données est une épée à double tranchant. D'une part, elle permet aux entreprises les plus innovantes de créer des avantages concurrentiels et de développer de nouveaux produits et services. D'autre part, elle engendre une exposition et une utilisation des données sensibles plus importantes que jamais.
Mais cette croissance est également synonyme de nouveaux risques pour les entreprises : les données proviennent des réseaux sociaux, des objets connectés ou encore du cloud. Elles sont alors plus complexes à sécuriser d’autant plus qu’à force de les analyser, de les utiliser et de les copier, les entreprises s’exposent au risque d’enfreindre les réglementations relatives à la confidentialité. En plus de répondre aux normes RGPD de l’Union Européenne, les entreprises doivent faire face à une sophistication générale des activités malveillantes.
En bref, les anciens systèmes de protection des données ne répondent plus à ces nouveaux enjeux. Une nouvelle approche holistique de la confidentialité en 6 étapes est donc nécessaire.
Un enjeu de taille pour la confidentialité des données
Désormais, le problème de la confidentialité des données revêt un caractère urgent pour les entreprises. Une grande quantité de données est encore mal gérée et utilisée de manière abusive. En 2017, le nombre de données divulguées publiquement lors d'atteintes à la sécurité a dépassé 2,5 milliards, soit une hausse de 88 % par rapport à 2016. Et si en 2020, le volume de données divulguées publiquement lors d'atteintes à la sécurité (3 932 au total) a chuté de 48 % par rapport à 2019, le volume des enregistrements compromis a augmenté de 141 %, pour atteindre 37 milliards1.
Les consommateurs commencent à saisir l’importance de la protection de leurs données et changent leurs habitudes de consommation par rapport à ce critère. Les consommateurs veulent acheter auprès d'entreprises qui adoptent une approche sérieuse de la confidentialité des données. Selon Capgemini, 77 % d'entre eux prennent en compte la cybersécurité et la protection des données lorsqu'ils choisissent un distributeur, et 27 % déclarent vouloir payer plus pour bénéficier de fonctionnalités de sécurité et de confidentialité améliorées. Les entreprises ont alors intérêt à miser sur le crédo de la protection des données, il y a là un véritable avantage concurrentiel à en tirer.
Au contraire, les entreprises qui ne respectent pas suffisamment la confidentialité des données de leurs clients risquent gros. 69 % des consommateurs internationaux sont prêts à boycotter toute entreprise qui selon eux ne respecte pas les lois en matière de protection des données. Les entreprises ont une véritable part de responsabilité : 62 % des clients blâment l'entreprise plutôt que le pirate informatique en cas d'atteinte à la sécurité des données.
6 étapes pour mettre en œuvre la gouvernance de la confidentialité des données
Face aux enjeux de transparence et de confidentialité des données, voici un programme en 6 étapes pour mettre en œuvre la gouvernance de la confidentialité des données dans une entreprise.
- Définir des politiques et des règles de gouvernance de la confidentialité en alignant les gestionnaires de données. Il est nécessaire de comprendre l'objectif, l'utilisation, les systèmes et les personnes liés au traitement des données personnelles et sensibles. Cela permet d’élaborer des politiques de confidentialité, d’attribuer des responsabilités et d’assurer la transparence des activités de gestion du consentement
- Découvrir et classer les données personnelles. Il faut localiser les données personnelles au sein de l'entreprise et les classer selon leur sensibilité et leur importance en fonction des politiques internes et des réglementations externes. Il faut également prendre en compte les exigences règlementaires des régions avec lesquelles l’entreprise effectue des transferts de données.
- Mapper les identités. Le suivi des identités est essentiel pour respecter les droits de confidentialité. Les données personnelles et sensibles doivent être associées de manière précise et globale aux individus qu'elles représentent, même à travers différents systèmes. Cela permet d'automatiser les demandes d'accès des personnes concernées (DSAR - Data Subject Access Rights) et les exigences de notification de violation des données pour faire évoluer la confidentialité.
- Analyser les risques. Il faut modéliser et évaluer les risques en matière de confidentialité en fonction du type de data store, de l'emplacement et de l'exposition de l'utilisation des données afin de permettre une prise de décision intelligente et guidée qui hiérarchise les plans de mesures correctives. Cela permet d'automatiser et d'appliquer la protection et la transparence des données à l'échelle des fonctions globales, des zones géographiques et des domaines d'activité.
- Protéger et répondre. Pour protéger, il faut mettre en œuvre des contrôles d'accès et d'utilisation des données, tels que le chiffrement et le masking des données pour l'anonymisation et la pseudonymisation. Cela permettra de suivre et surveiller l'utilisation et les mouvements des données. L’automatisation de la gestion des consentements et des demandes de droits des personnes concernées, ainsi que d'autres contrôles de disposition des données réduiront les risques.
- Mesurer et créer des rapports. La stratégie de confidentialité doit être adaptable en fonction des indicateurs de conformité. Il peut alors être intéressant d’activer des tableaux de bord qui améliorent la transparence et favorisent la collaboration inter fonctionnelle et la gestion des responsabilités. La collecte et la compilation des informations pour la création de rapports d'audit et pour la correction des lacunes des contrôles de confidentialité en place peuvent également être automatisées.
La confidentialité des données est un impératif métier de création de valeur
La protection des données est donc plus que jamais un enjeu majeur pour les entreprises qui doivent faire preuve d’agilité face à l’évolution constante du cadre juridique et des données. Grâce à une approche holistique et à une stratégie technologique unifiée, les entreprises peuvent apprivoiser ce paysage en constante évolution et ainsi obtenir un véritable avantage concurrentiel.
Par Denis Herriau, VP South region chez Informatica