L’UE prend au sérieux la protection de la vie privée, mais trop d’entreprises ignorent le risque

Si vous demandez à la plupart des techniciens la différence entre la sécurité et la confidentialité, ils ne seront probablement pas en mesure de vous dire la différence, à moins que leur travail principal ne consiste à travailler dans l’une de ces équipes. Étant donné qu’une grande partie de notre vie est désormais en ligne, il s’agit d’un problème qui peut entraîner la responsabilité des entreprises et des amendes de plusieurs millions de dollars, en particulier de la part des régulateurs européens. Avec cette attention accrue, quelle est la différence entre la sécurité et la confidentialité, et comment les employés doivent-ils penser à ces questions ?

Pour commencer, regardons Twitter annonce cet été qu’un pirate était dans son système depuis plus de six mois et proposait de vendre les données des utilisateurs de 5,4 millions de comptes. (En 2020, un adolescent de Floride a également été accusé de reprendre des comptes). Les pirates qui pénètrent dans le système de Twitter posent un problème de sécurité. Mais comme ces pirates ont peut-être eu accès à des millions ou des milliards d’enregistrements, c’est aussi un problème de confidentialité.

Cet été, Meta a été condamné à une amende de 403 millions de dollars par l’autorité irlandaise GDPR (General Data Protection Regulation). L’année dernière, les régulateurs européens ont infligé une amende de 888 millions de dollars à Amazon. C’est un gros problème pour les grandes plateformes, mais cela peut toucher presque toutes les entreprises aujourd’hui : la Californie a récemment infligé une amende de 1,2 million de dollars à Sepora pour avoir enfreint le CCPA (California Consumer Privacy Act).

Si nous voulons réduire l’impact des amendes et des infractions, nous avons besoin que les éditeurs de logiciels se concentrent autant sur la confidentialité que sur la sécurité, et s’assurent que leurs employés connaissent la différence. Si vous allez chez le médecin, votre médecin sait exactement ce que la réglementation HIPAA lui permet de divulguer. Tout camionneur sur la route sait exactement combien d’heures il peut conduire sur la base des réglementations DoT sur les heures de service. Mais si vous demandez aux techniciens ce qu’ils peuvent et ne peuvent pas faire en vertu du CCPA, la plupart ne reconnaîtront peut-être même pas l’acronyme.

La confidentialité consiste à créer la confiance dans votre organisation. Il s’agit de la façon dont vous gérez les informations personnelles et de vous assurer que vous traitez ces données de manière responsable et conformément à ce que les consommateurs attendent de vous.

TL ; DR sur le RGPD

RGPD les directives exigent que les données soient stockées de manière à garantir que les utilisateurs peuvent demander que leurs informations soient corrigées, supprimées dans le cadre du «droit à l’oubli» ou consultées afin que l’utilisateur sache quelles données l’entreprise a collectées sur l’utilisateur, ainsi que avec diverses autres demandes de droits à la vie privée. Mais lorsque les données sont stockées dans plusieurs bases de données déconnectées, il est beaucoup plus difficile de rester conforme, car les demandes nécessitent plusieurs étapes et une coordination entre les bases de données.

Les règles se concentrent également sur l’endroit où les données sont stockées, visant à réguler le flux de données entre les États-Unis et les pays européens. Facebook combat cette politique, mais jure «Méta est unAbsolument pas menacer de quitter l’Europe.” Pour se préparer à ces nouvelles réglementations, les entreprises doivent s’assurer qu’elles disposent d’un enregistrement complet des activités de traitement des données et d’un inventaire des données pour démontrer leur conformité aux réglementations.

Dix piliers pour la sensibilisation à la vie privée

La formation continue dans votre entreprise est très importante pour tous les employés qui accèdent aux informations personnelles identifiables (IPI). Compte tenu du rythme des annonces concernant les nouvelles amendes et les politiques mises à jour, vous devrez peut-être informer fréquemment votre personnel.

Chez Fivetran, je dispense des formations dans toute l’entreprise, au moins tous les 12 mois, mais un renforcement supplémentaire pour les exigences légales est un travail tout au long de l’année. La sensibilisation comprend l’enseignement des aspects fondamentaux de la confidentialité, plutôt qu’une longue liste d’exigences légales, et l’explication de la manière dont ces principes s’appliquent à chaque équipe et membre de l’équipe. J’ai une liste de contrôle des domaines d’intervention. Voici ce que les gens doivent savoir.

• Responsabilité : la haute direction doit identifier une seule personne responsable en dernier ressort de la conformité de l’organisation en matière de confidentialité. De nombreuses entreprises désigneront un responsable de la confidentialité des données, mais quoi qu’il en soit, l’objectif est d’avoir une personne ciblée et responsable de la conformité au RGPD (et à d’autres réglementations).

• Identification des finalités : les entreprises doivent identifier dans leur déclaration de confidentialité comment elles utiliseront les données des clients, mais elles doivent également tenir compte des attentes des consommateurs. La plupart des gens s’attendraient à ce que les séquences vidéo de la caméra de sécurité d’un magasin ne soient accessibles qu’en cas d’effraction. Mais si la caméra diffuse un flux en direct sur la page d’accueil de l’entreprise, cela pourrait surprendre les clients et entraîner des problèmes de confidentialité.

• Consentement : Le consentement approprié est une exigence essentielle. Mais n’oubliez pas que les personnes concernées ont également le droit de retirer leur consentement, et vos systèmes de données doivent prendre en charge cette capacité.

• Limitation de la collecte : Aussi tentant soit-il de collecter autant de données que possible, plus vous en collectez, plus votre risque est grand. Concentrez-vous sur le suivi et la collecte de données que vous pouvez réellement utiliser dans votre entreprise, en fonction des objectifs que vous avez identifiés.

• Limitation de l’utilisation, de la divulgation et de la conservation : les lois sur la protection de la vie privée exigent des entreprises qu’elles limitent l’accès aux données à des fins identifiées et empêchent la divulgation à du personnel non autorisé. Mais trop d’entreprises autorisent encore les employés généraux à accéder aux données personnelles. Lorsqu’un pirate informatique pénètre dans un système à l’aide d’un compte compromis, vous pouvez minimiser l’étendue des dommages qu’il peut causer en limitant l’accès interne à ceux qui en ont besoin. De plus, ne conservez pas les données plus longtemps que nécessaire, en tenant compte des lois de conservation locales et des objectifs commerciaux justifiés, et réfléchissez à la manière dont vous réagiriez si jamais vous receviez un avis juridique.

• Exactitude : S’assurer que les données des clients sont exactes est une exigence légale et une priorité commerciale pour le succès. La précision est également une priorité lors de l’intégration de données provenant de plusieurs sources, alors assurez-vous de pouvoir vérifier la fiabilité de vos processus et des données.

• Protections : assurez-vous d’avoir une gouvernance et des protections appropriées pour l’accès aux données, tant du point de vue de la confidentialité que de la sécurité. Pensez-y en utilisant la « triade CIA », des programmes de sécurité informatique qui maintiendront la confidentialité, l’intégrité et la disponibilité des données des consommateurs que vous avez collectées.

• Transparence : si votre entreprise a une manière unique d’utiliser les données des clients, n’enterrez pas ces politiques dans l’accord sur les conditions d’utilisation ; quelqu’un finira par remarquer. Meta a accepté de payer 37,5 millions de dollars aux utilisateurs parce que la société géolocalisait les utilisateurs par leurs adresses IP après que les consommateurs avaient désactivé le suivi de la localisation sur leur téléphone. Soyez transparent sur vos pratiques en matière de données et mettez les informations à disposition dans des politiques qui utilisent une formulation claire, concise et en anglais simple.

• Accès individuel : sur demande, les personnes concernées doivent être informées de l’existence, de l’utilisation et de la divulgation de leurs informations personnelles, et être en mesure d’accéder à ces informations et de contester leur exactitude. Les organisations doivent être prêtes à traiter ces types de demandes de droits à la vie privée.

• Contester la conformité : En fin de compte, toute personne couverte par le RGPD et le CCPA a le droit de contester la conformité d’une entreprise à ces réglementations. Si une entreprise est contestée, elle peut être tenue de démontrer sa conformité aux exigences de confidentialité applicables, y compris les politiques et procédures pertinentes. Travailler avec votre équipe de confidentialité pour jouer un rôle sur la façon dont vous répondriez à une telle demande aidera à exposer toute lacune dans votre programme de confidentialité des données avant que les régulateurs ne commencent à chercher.

Compte tenu de l’importance des données pour les entreprises modernes, s’assurer que les employés sont familiarisés avec la loi sur la protection de la vie privée placera votre entreprise dans une bien meilleure position en cas d’incident. Réfléchir à la façon dont les données sont capturées et stockées aidera à minimiser les risques. La confidentialité est la promesse de votre entreprise aux consommateurs que vous êtes un partenaire de confiance et que vous avez leurs intérêts à l’esprit. Pour sensibiliser à la confidentialité, utilisez la liste de contrôle ci-dessus pour vous assurer que les équipes de traitement des données connaissent leurs responsabilités en matière de confidentialité des données aussi bien qu’un médecin connaît les exigences HIPAA.

Seth Batey est conseiller principal en protection de la vie privée chez Fivetran.