Journée de la confidentialité des données : ce que cela signifie les organisations

L'objectif du Data Privacy Day est de sensibiliser à la confidentialité et aux meilleures pratiques en matière de protection des données. Il rappelle que toute organisation qui touche des données personnelles doit évaluer son infrastructure de sécurité informatique.

La Journée de la protection des données (Data Privacy Day) a lieu chaque année le 28 janvier et est observée dans de nombreux pays, de l'Amérique du Nord à l'Europe en passant par l'Afrique. L'objectif est de sensibiliser à la confidentialité des données et aux meilleures pratiques en matière de protection des données.

Cette journée fait suite à la Journée de la protection des données en Europe, qui commémore la signature, le 28 janvier 1981, du traité du Conseil de l'Europe connu sous le nom de Convention 108. Ce traité a été le premier accord juridiquement contraignant conçu pour protéger le droit d'un individu à la vie privée numérique, anticipant le traitement et la distribution de plus en plus automatisés des données personnelles.

Comprendre l'importance de la Journée de la protection des données

Bien que remarquablement prévoyants, les auteurs et signataires initiaux de la Convention 108 ne pouvaient pas prévoir comment les données seraient créées, partagées, traitées et stockées aujourd'hui, ni le volume de données personnelles existant pour pratiquement chaque être humain sur terre.

Ce traité initial a été renforcé par une législation juridiquement contraignante au fil des ans dans presque tous les pays du monde. Malgré tous ces changements survenus au cours des dernières décennies, il y a encore de l'éducation et du travail à faire dans le domaine de la protection des données. C'est pourquoi la Journée de la protection des données, qui vise à sensibiliser à la sécurité des informations privées, est plus importante que jamais.

Étapes clés pour protéger et sécuriser ses données

Il a été dit qu'il ne peut y avoir de confidentialité des données sans une bonne sécurité des données. Ci-dessous, une liste de contrôle rapide des mesures que les organisations devraient prendre pour protéger et sécuriser leurs données :

1. Mettre en œuvre une stratégie de sécurité axée sur une approche plateforme

La première étape de la protection des données consiste à s'assurer que toutes les données personnelles d'identification (DPI ou PII en anglais) sont sécurisées depuis leur entrée sur le réseau d’une organisation jusqu'à leur sortie. Il s'agit notamment d'appliquer des mesures et des politiques de sécurité capables d'identifier, de suivre et de sécuriser de manière transparente les données lorsqu'elles se déplacent entre les domaines et les appareils du réseau, y compris dans les environnements multi-cloud ou SD-WAN, ainsi que sur le réseau étendu. En outre, l'accès Zero Trust est vital. Alors que les utilisateurs continuent de travailler depuis n'importe où et que les appareils IoT inondent les réseaux et les environnements opérationnels (OT), une vérification continue de tous les utilisateurs et appareils est nécessaire lorsqu'ils accèdent aux ressources du réseau de l'entreprise, notamment aux données.

La sécurité joue un rôle essentiel dans la sécurisation de chaque bit de données ainsi que dans la gestion de qui et quoi y a accès. Une plateforme maillée de cybersécurité permet à tous les composants de sécurité de voir les autres dispositifs, de partager et de corréler les informations entre eux, et de participer à une réponse coordonnée aux menaces. Elle doit être intégrée à chaque aspect du réseau en évolution pour permettre la création de politiques unifiées, l'orchestration centralisée et l'application cohérente. Cette approche permet aux organisations d'étendre la visibilité au cœur de l'infrastructure pour voir chaque appareil, suivre chaque application et flux de travail et, surtout, voir et sécuriser toutes les données. Elle permet également aux organisations de démontrer leur conformité en ce qui concerne les exigences de protection de la vie privée et la vérification du stockage, de l'utilisation et de la suppression sécurisés des données.

2. Comment changer ce qui est collecté comme données DPI 

Les lois sur la protection de la vie privée telles que le RGPD définissent les individus comme les seuls propriétaires de leurs données, et non les entreprises ou les institutions. Par conséquent, ces personnes doivent pouvoir retirer leur consentement à la collecte de leurs données aussi rapidement et facilement qu'il a été donné. Cela exige des organisations qu'elles ne collectent que le minimum de données nécessaires à un objectif spécifique, et qu'elles soient ensuite en mesure de les supprimer complètement lorsqu'elles ne sont plus nécessaires.

3. S'assurer que les DPI peuvent être facilement identifiées, signalées et supprimées

Les organisations doivent être prêtes à démontrer comment empêcher le partage ou la vente de données spécifiques à des tiers, et comment supprimer toutes les instanciations des DPI d'une personne, quel que soit l'endroit où elles sont stockées ou utilisées. Par exemple, le "droit à l'oubli" (RTBF) du RGPD signifie que les données doivent être trouvées et supprimées rapidement et facilement, plutôt que de compter sur des humains pour rechercher chaque instance d'informations personnelles dispersées dans un réseau distribué.

4. Crypter les DPI pour réduire les risques

Il faut envisager de chiffrer les données en transit et au repos sur le réseau, car le chiffrement annule la valeur des données si elles sont compromises. Cela dit, le chiffrement de gros volumes de données n'est pas une tâche facile. Pour cette raison, les organisations devraient considérer ce qui est prioritaire en fonction de la capacité de performance du chiffrement et de toute dégradation de performance associée.

5. La formation et l'éducation sont importantes

Encourager la formation à la cybersécurité de tous les employés et s’assurer du suivi par des exercices pratiques sont des mesures indispensables. Une bonne hygiène des mots de passe ainsi que l'authentification multifactorielle (MFA) devraient être des exigences pour aider à renforcer la protection.

Conclusion

La législation sur la confidentialité des données reflète les préoccupations relatives à la protection et à la propriété personnelle des DPI. La Journée de la protection des données nous rappelle que toute organisation qui touche des données personnelles doit évaluer son infrastructure de sécurité informatique et doivent se poser ces questions :

  • Les solutions de sécurité informatique sont-elles capables de communiquer efficacement, quel que soit l'endroit où elles ont été déployées, afin de protéger les données de manière optimale et de fournir une visibilité à l'échelle du réseau ?
  • Le réseau comprend-il des mesures sophistiquées de protection des données telles que la prévention et la détection des menaces, la pseudonymisation des DPI et la segmentation interne pour isoler et suivre les données des clients et des employés ?
  • Existe-t-il un plan de réponse aux violations de données documenté et testé ?

Les organisations d'aujourd'hui doivent être en mesure de répondre "oui" à ces trois principales questions pour se préparer aux réglementations existantes en matière de confidentialité des données ou à d'autres qui se profilent à l'horizon.