Confidentialité des données et des clients : cinq principes à suivre
Les pratiques de confidentialité des données sont considérées par beaucoup d'entreprises comme un moyen d'atténuer leurs risques. Mais c'est aussi une opportunité de se différencier de ses concurrents.
Au delà de donner aux consommateurs l'occasion de s'informer sur la manière dont les entreprises collectent, utilisent et partagent leurs informations personnelles, la journée Européenne dédiée à la confidentialité des données qui a eu lieu le 28 janvier offre aux entreprises l'occasion de mettre l'accent sur la manière dont elles protègent les données de leurs clients.
Les pratiques de confidentialité des données sont aujourd’hui plutôt considérées par beaucoup d’entreprises comme un moyen d'atténuer leurs risques. À mon sens, porter un soin particulier à protéger la confidentialité des données de ses clients, est aussi une opportunité de mettre en place des bonnes pratiques qui peuvent aider une organisation à se différencier de ses concurrents. Voici les fondamentaux qui peuvent aider à garantir la confidentialité des données collectées.
1. Pour bien protéger ses données, la première étape pour garantir la confidentialité de toutes les données clients est de connaître leur emplacement. Des questions clés se posent : Ces données sont-elles hébergées dans plusieurs systèmes disparates, dans différents services ou même dans des centres de données physiques éloignés ? Les systèmes de données hérités créent des silos de données difficiles à gérer, d'où le risque que les informations sur les clients tombent facilement entre de mauvaises mains sans qu'il y ait de responsabilité. Une infrastructure de données adéquate doit pouvoir regrouper en un seul endroit des données de formats différents provenant de sources multiples, ce qui facilite grandement leur sécurisation. Elle doit pouvoir également contribuer à la minimisation des données, c'est-à-dire à la limitation de la collecte des données des clients à ce qui est nécessaire, ce qui constitue une meilleure pratique en matière de sécurité.
2. La protection des données implique une bonne connaissance des données dont l’entreprise dispose. Il est difficile de savoir exactement ce que contiennent les ensembles de données cloisonnés. Ils peuvent inclure des informations personnelles identifiables, définies comme toutes les données qui pourraient potentiellement identifier un individu spécifique, comme les noms, les numéros de sécurité sociale et les numéros de carte de crédit. Ils peuvent également inclure des informations telles que le sexe, l'âge et le code postal qui, lorsqu'elles sont combinées, permettent d'identifier des individus. Ces informations sensibles sont-elles sécurisées ? Sont-elles gérées correctement de manière à pouvoir être supprimées lorsqu'elles ne sont plus nécessaires ? Les systèmes de données modernes ont aujourd’hui la capacité de stocker les données de manière plus centralisée et comprennent des fonctions qui découvrent, classent et cataloguent les DPI et les données sensibles, ce qui facilite leur gestion et leur sécurisation.
3. Une fois qu’on est certain de l'emplacement des données sensibles et de leur contenu, il faut pouvoir s’assurer qu’on peut avoir un contrôle total de celles-ci à tout moment. Est-il possible de gérer les personnes qui peuvent accéder aux données à tout moment ? Est-on en mesure de masquer des parties sensibles pour des utilisateurs ayant des niveaux d'habilitation de sécurité différents ? Peut-on supprimer les données confidentielles lorsqu'elles ne sont plus nécessaires ? La sécurité des données éparpillées dans des systèmes disparates legacy sont en général difficiles à gérer. Il faut pourtant se donner pour ambition de surveiller les données en temps réel et d'exercer un contrôle en cas de besoin.
4. Les entreprises partagent souvent des données en interne et avec des entités externes à des fins d'analyse ou de recherche. Elles ont besoin de partager ou de collaborer sur celles-ci sans violer la vie privée ou la confidentialité des clients. Ce partage a besoin d’être strictement réglementé. Une infrastructure de données moderne permet aux entreprises de collaborer sur les données sans exposer les informations personnelles et les données sensibles qu’elles ont en leur possession grâce à des fonctionnalités telles que le masquage et l'anonymisation des informations. Ces fonctionnalités permettent aux entreprises de choisir exactement les ensembles de données à partager et de masquer les informations confidentielles qu'ils contiennent. En outre, les infrastructures de données modernes permettent de partager des données sans les déplacer ni les copier, ce qui garantit leur contrôle à tout moment.
5. Finalement, il est essentiel de pouvoir s’assurer que les processus de gestion des données sont conformes aux réglementations en vigueur en matière de confidentialité. Les lois et réglementations telles que le GDPR par exemple, ont poussé les entreprises à réfléchir aux enjeux liés à la protection de la vie privée de manière plus globale. Les entreprises se retrouvent aussi confrontées à des réglementations régionales et sectorielles en matière de confidentialité des données de plus en plus strictes. Le sujet de gouvernance devient essentiel pour se conformer à ces réglementations.