27 janvier 2020

5min

La protection des données, un enjeu de confiance

Santé, éducation, activité économique, organisation sociétale, science…, le monde numérique est omniprésent. L’hyper-connectivité associée à l’émergence de nouvelles technologies que sont les objets connectés, le big data et l’intelligence artificielle conduit à une véritable révolution de la donnée et à une explosion du volume de celles-ci. Les données, et en particulier les données personnelles sont plus que jamais un levier de transformation numérique. Leur valorisation devient un réel enjeu stratégique et économique pour les organisations. La capitalisation des données pourrait ainsi atteindre les quelques 1 000 milliards d’euros par an à compter de cette année (selon le Boston Consulting Group).

Avec l’arrivée du RGPD, les organisations se doivent de revoir leur manière de gérer les données personnelles.

Depuis mai 2018 et l’entrée en application du RGPD, le paysage réglementaire mondial (et pas seulement européen) a très fortement évolué. C’est notamment le fait de la mise en application depuis le 1er janvier 2020 du CCPA (« California Consumer Privacy Act ») en Californie, et l’arrivée de la LGPD brésilienne ( «Lei Geral de Proteção de Dados pessoais) au 15 aout 2020.

C’est également le fait du patron d’Apple, Tim Cook, faisant l’apologie du RGPD dans une tribune du Time Magazine en date du 17 janvier 2020 et intitulée « Vous méritez la confidentialité en ligne. Voici comment vous pouvez l’avoir ». Dans cet article, il interpelle le Congrès américain et formule le souhait d’une législation renforcée, « pour protéger les consommateurs et leur rendre le contrôle » sur leurs données privées car « l’innovation, les idées novatrices et les nouveaux usages peuvent et même doivent aller de pair avec la protection de la vie privée de l’utilisateur. La réalisation du potentiel de la technologie en dépend ».

En conséquence, on assiste à une prise de conscience citoyenne sans précédent, comme en attestent les quelques 160 000 plaintes déposées auprès des différentes autorités de contrôle européennes depuis ces deux dernières années.

Nous voilà prévenus, les citoyens, désormais conscients de leurs droits, veulent récupérer le contrôle de leurs données et n’accepteront de les confier qu’à des tiers de confiance.

La révolution de la donnée ne se fera donc pas sans confiance. Il faut passer d’un modèle de « big data » à un modèle de « smart data ». On le comprend alors aisément, le respect de la vie privée, et par conséquent la conformité aux réglementations, quelles qu’elles soient, est un levier économique fort pour les organisations. Elle sera, à terme, un marqueur de différenciation concurrentielle.

Comment, pour une organisation instaurer le degré de confiance nécessaire ?

C’est avant tout une question de bon sens, l’objectif final étant d’être en mesure de contrôler ce qui est fait sur les données tout au long de leur cycle de vie. D’un point de vue de la réglementation, le bon sens est notamment porté par les principes de « Privacy by design » et « Privacy by default ». Ces principes consistent à adapter, dès la conception et par défaut, les mesures organisationnelles et techniques appropriées pour garantir la protection de la vie privée et des libertés fondamentales. Il est aujourd’hui nécessaire de changer les mentalités et d’intégrer la problématique de respect de la vie privée au plus tôt dans les projets structurants ou de transformation des organisations pour atteindre un niveau de contrôle des données suffisant.

Mais qu’on se le dise, le RGPD n’a rien inventé. Dès les années 1990, Ann Cavoukian, alors commissaire à l’information et à la protection de la vie privée de l’état d’Ontario, définissait la démarche de « Privacy by design » selon sept principes fondamentaux :

  1. L’adoption de mesures préventives permettant d’empêcher ou de limiter les potentielles violations de protection des données personnelles.
  2. La mise en place de mesure de protection des données personnelles par défaut, c’est-à-dire une protection automatique et implicite de ces données.
  3. La prise en compte de la protection de la vie privée des personnes concernées dès la conception des systèmes de collecte de données personnelles, et l’adoption des bonnes pratiques entrepreneuriales à cet effet.
  4. La sécurité et la protection de la vie privée des utilisateurs dont les données personnelles ont été collectées doivent être assurées tout au long du projet, mais aussi durant la période de conservation des données personnelles.
  5. La transparence dans ses pratiques vis-à-vis des informations à caractères personnelles.
  6. Le respect de la vie privée des utilisateurs concernés par cette collecte.
  7. La protection des données personnelles doit être holistique et optimale.

Néanmoins, pour que cette démarche soit un succès, il est primordial qu’elle s’intègre dans les processus métiers déjà existants. Le respect de la vie privée ne saurait être considéré comme une contrainte : il s’agit d’une réelle opportunité. La démarche doit être simple pour être accessible et compréhensible par tous, elle doit permettre de distinguer le « must to have » du « nice to have » afin de prioriser les actions à mener, elle doit s’adapter aux capacités et aux ressources présentes dans les organisations. En résumé, il convient de bâtir une « Privacy agile ».

Nos convictions au cœur de notre proposition de valeur

Onepoint, acteur engagé mixant technologie et humain, accompagne les organisations tout au long de leur démarche de prise en compte du respect de la vie privée, depuis la stratégie – par la définition d’un modèle de gouvernance et de management approprié – à la mise en œuvre technologique d’outils numériques pertinents.

Nous avons mis en place la plate-forme onepoint « Privacy Center » autour de 5 piliers :

  1. Gouvernance et accompagnement à la mise en conformité : diagnostic, mise en œuvre des politiques et procédures de protection des données personnelles, réalisation d’analyses d’impact sur la vie privée, formalisation et suivi des plans de remédiation
  2. Gestion de crise et traitement des violations de données :
  3. Assistance DPO/ DPO de transition : mise à disposition d’experts pour épauler votre DPO ou équipe de conformité
  4. Sensibilisation et gamification : Serious game, jeux, outils et méthodes
  5. Mise à disposition des Technologies : gestion des identités numériques, contrôles d’accès, Anonymisation/Pseudonymisation/Chiffrement des données personnelles

Isabelle THOMAS

Leader Cybersécurité