Le Règlement général sur la protection des données (RGPD) de l'UE entrera en vigueur dans quelques mois seulement, et de plus en plus d'organisations commencent à réfléchir aux mesures à prendre pour se conformer. Nombre d'entre elles commenceront par des évaluations d'impact sur la vie privée basées sur des enquêtes, car c'est ce que connaissent le plus les professionnels de la protection de la vie privée. Cependant, en tant que « PD » de GDPR Comme nous le confirmerons, le fondement de la nouvelle réglementation est la protection des données : sécurité et responsabilité des données. Ni l’une ni l’autre ne peut être atteinte par de simples enquêtes. Satisfaire à ces deux objectifs nécessite une connaissance approfondie des données et la capacité à surveiller les changements, les activités à risque et les violations potentielles des réglementations applicables. Les analyses d’impact sur la vie privée ont leur place, mais en matière de protection de la vie privée dès la conception et de mise en œuvre opérationnelle de la confidentialité, seule une conformité continue axée sur les données sera efficace.
Aller au-delà des bonnes intentions
Face à des violations de données quasi épidémiques et à des incidents répétés d'utilisation abusive des données personnelles, les législateurs et les régulateurs ont mis en place une multitude de mesures pour mieux protéger les données et redonner le contrôle aux personnes concernées. Nombre de ces règles sont impossibles à mettre en œuvre sans une comptabilité détaillée des données stockées des individus. À bien des égards, cela représente un changement radical dans la manière dont les organisations protègent leurs informations les plus sensibles.
Historiquement, les professionnels de la protection de la vie privée étaient responsables devant l'entreprise de garantir la conformité grâce à de meilleures politiques et processus. Les analyses d'impact sur la vie privée (AIPVP) constituaient en quelque sorte un moyen de mesurer la conformité à une politique et à un processus. Cependant, comme le montrent la fréquence et l'ampleur croissantes des violations signalées et les risques de responsabilité associés, les approches basées sur des enquêtes ne se sont pas avérées efficaces pour garantir le respect des politiques et réglementations en matière de protection des données ou de confidentialité. Atténuer les risques liés aux données est quasiment impossible lorsque leur mesure repose sur des réponses à des enquêtes souvent subjectives et incomplètes. La gestion des risques commence par une mesure précise et objective.
Le risque lié aux données a évolué
Une évolution très similaire vers des mesures objectives du risque s'est produite ces dernières années dans le domaine de l'évaluation des risques liés aux tiers et à la gestion des risques fournisseurs. Historiquement, 3rd Le risque lié aux parties a également été évalué au moyen de formulaires et d'enquêtes. Cependant, cela a limité la répétabilité, l'objectivité et la prévisibilité des évaluations. Par conséquent, au cours des dernières années, 3rd La mesure des risques liés aux parties prenantes est devenue plus programmatique, de sorte que les évaluations qui en résultent fournissent une notation et des orientations cohérentes à quiconque cherche à réduire les risques. Une évolution similaire est actuellement observée dans l'évaluation des risques liés aux données.
Grâce à l'introduction d'outils comme BigID pour rechercher, cartographier et analyser les données personnelles, les organisations peuvent désormais passer d'évaluations qualitatives et subjectives basées sur des enquêtes pour la validation des risques et de la conformité à une conformité continue et précise, basée sur des données. Savoir si la collecte et le traitement des données dépassent les seuils légaux ou de politique commerciale définis devient une fonction de surveillance des données. La conformité des données et la réduction des risques passent d'une simple estimation à une mesure continue.
Remettre les « Ops » dans l'opérationnalisation
Des réglementations comme le RGPD encouragent de plus en plus les entreprises à rendre la confidentialité opérationnelle et à la garantir dès la conception, du développement à la production. Cela nécessite une surveillance et une mesure continues des risques liés aux données, ainsi qu'une conformité de la phase de développement à l'exécution. Les enquêtes peuvent rassurer une organisation quant à sa conformité, mais elles constituent un faux sentiment de sécurité. Pour véritablement rendre la confidentialité opérationnelle, il est essentiel de maîtriser les données et de mesurer la conformité en continu, du développement à la production. BigID fait partie des entreprises pionnières qui visent à transformer la connaissance des données en une conformité continue et permanente en matière de confidentialité et de sécurité.
Auteur
