Qu'est-ce que la confidentialité des données ?
Confidentialité des données Il s'agit d'une fonction de gestion des données axée sur la collecte, le traitement, le stockage et la protection des informations personnelles. La confidentialité des données est essentiellement un équilibre entre le partage de données avec des tiers et le respect des différentes réglementations. lois sur la protection de la vie privée.
Pourquoi la confidentialité des données est-elle importante ?
Plus de 701 pays à travers le monde disposent déjà de lois sur la confidentialité des données ou sont en train d'en élaborer de nouvelles. La multiplication des réglementations à travers le monde montre que les législateurs comprennent l'importance de la confidentialité des données. De nouvelles règles s'accompagnent de nouvelles exigences en matière de droit à la vie privée, et les organisations doivent impérativement s'adapter à un paysage de la confidentialité en constante évolution.
Les réglementations mondiales en matière de confidentialité des données visent à donner aux individus le contrôle de leurs données et à responsabiliser les organisations afin qu'elles garantissent un traitement éthique et légal des données personnelles. Cependant, avec l'évolution de l'économie des données, les entreprises ont trouvé un intérêt considérable dans la compilation, le partage et l'utilisation des données. Des marques comme Amazon, Google et Facebook dominent l'économie des données, avec des modèles économiques étendus axés principalement sur l'utilisation des données personnelles.
Mais la transparence dans la manière dont les entreprises gèrent le consentement, suivent les directives de la politique de confidentialité et gèrent les données qu'elles ont collectées est essentielle pour établir la confiance et la responsabilité avec les clients, les employés et les partenaires.
Selon Pew Research, 811 % des Américains estiment que le risque potentiel lié à la collecte de données personnelles par les entreprises est supérieur aux avantages. Cela met en évidence le fossé entre les entreprises et leurs clients. De nombreuses organisations comprennent les risques liés aux cyberattaques et aux violations de données, mais peinent encore à saisir l'importance des droits individuels en matière de données en tant que liberté civile.
Risques et défis liés à la confidentialité des données
Aujourd'hui, les données sont au cœur de la plupart des décisions d'entreprise, mais ces dernières reposent souvent sur des données invisibles ou incompréhensibles. Les entreprises s'appuient sur des décisions fondées sur les données pour atteindre et fidéliser leurs clients, mais ces derniers sont de plus en plus soucieux de leur vie privée. Les entreprises doivent relever des défis tels que la protection des données et des données personnelles. données des employés Tout au long de son cycle de vie, il renforce la confiance des consommateurs et se conforme à l'évolution de la réglementation. Les organisations qui ne respectent pas les réglementations sur la confidentialité des données et ne protègent pas les données personnelles, celles de leurs clients et de leurs employés s'exposent à des sanctions bien plus que financières.
Voici quelques exemples de la manière dont la confidentialité des données peut réellement avoir un impact sur l’entreprise :
Conséquences réglementaires
Les régulateurs de la confidentialité et de la protection des données peuvent imposer des audits obligatoires, demander l’accès à la documentation et aux preuves, ou même exiger qu’une organisation cesse de traiter des données personnelles.
Atteinte à la réputation
Le non-respect de la loi peut nuire à l'image de marque, à la confiance des consommateurs et des employés, à la perte de clientèle et à une baisse de chiffre d'affaires. En octobre 2016, Uber a subi une importante violation de données, mais n'en a pas divulgué les détails. Au lieu de faire preuve de transparence, Uber a payé des pirates informatiques pour supprimer les données et a gardé l'incident secret. La violation de données a finalement été révélée en novembre 2017, ce qui a entraîné des sanctions financières et a également eu un impact négatif sur la confiance des consommateurs.
amendes financières
Des conséquences financières, des amendes pénales et des peines de prison peuvent être appliquées selon le type de violation. Cela peut également inclure une perte de revenus, des frais de litige élevés et des coûts de réparation. Amazon a récemment été condamné à une amende record de 746 millions d'euros (1488 millions de livres sterling), l'autorité européenne de protection de la vie privée lui infligeant une amende pour violation de sa politique de protection des données.
Dette opérationnelle
La plupart des lois sur la confidentialité des données accordent davantage de droits aux personnes sur leurs données, comme le droit d'accès, de modification et de suppression. Cependant, une mauvaise mise en œuvre peut représenter une charge opérationnelle importante, car les organisations doivent identifier et classer les données personnelles lorsqu'elles existent.
Perte de confiance des consommateurs
La confiance des consommateurs est sans doute l'atout le plus précieux de toute organisation. Sans elle, les entreprises peinent à regagner la confiance de leurs clients, comme lors de l'incident où la fuite de données de Capital One a exposé les dossiers de près de 106 millions de personnes.
Confidentialité des données vs. sécurité des données
La confidentialité et la sécurité des données ne sont pas interchangeables, même si certaines organisations peuvent penser le contraire. Certaines peuvent penser que la conservation données sensibles Le terme « sécurisé » est suffisant pour se conformer aux réglementations sur la confidentialité des données, mais cette perspective peut être un peu à courte vue.
- Confidentialité des données réglemente la manière dont les informations personnelles (IP) et les informations personnellement identifiables (IPI) doivent être correctement collectées, consultées, traitées, stockées, protégées et partagées.
- Sécurité des données protège les données sensibles contre toute compromission par des violations de données, des pirates informatiques, des accès non autorisés et des attaques malveillantes.
Il existe même des scénarios où la sécurité des données peut exister sans confidentialité, mais jamais l'inverse. Par exemple, une organisation peut disposer d'une technologie sophistiquée et de méthodes de sécurité des données élaborées pour protéger les informations personnelles identifiables (IPI). Pourtant, si les données étaient collectées sans consentement, cela constituerait une violation de la confidentialité des données.
Lois régissant la confidentialité des données
La réglementation relative à la confidentialité des données évolue et se développe constamment. Il appartient aux entreprises de déterminer quelles lois sur la confidentialité ont un impact sur leurs régions et leurs utilisateurs.
Voici quatre des lois sur la protection de la vie privée les plus efficaces à ce jour :
RGPD : Règlement général sur la protection des données
En mai 2018, l'Union européenne Règlement général sur la protection des données (RGPD) est devenu le premier règlement important en matière de confidentialité et de protection des données à avoir un impact mondial.
Le RGPD a obligé les entreprises à repenser la manière dont elles collectent, gèrent et régissent l'accès aux données personnelles — et contrairement aux générations précédentes de lois sur la confidentialité, elle comprend une incitation convaincante à se conformer, avec des sanctions en cas de violation pouvant atteindre 4% du chiffre d'affaires mondial d'une entreprise.
Le RGPD confère aux consommateurs davantage de droits sur leurs données tout en obligeant les entreprises à prendre les mesures nécessaires pour protéger ces données. Cependant, pour la plupart des entreprises, le plus grand défi pour se conformer au RGPD est de répondre aux demandes d'accès aux données des personnes concernées (DSAR).
Il n'est pas simple pour les organisations de trouver, de fournir ou de supprimer les données d'un individu sur demande. Par conséquent, de nombreuses équipes informatiques et de protection des données doivent automatisation des droits sur les données applications permettant de découvrir et de classer automatiquement les données personnelles pour les protéger et accélérer Demandes DSAR.
CCPA : Loi californienne sur la protection des données
Similaire au RGPD, la loi californienne sur la protection de la vie privée des consommateurs (CCPA) étend la protection de la confidentialité des données aux données personnelles des résidents californiens. La CCPA, qui oblige les entreprises opérant en Californie à identifier et à découvrir les données personnelles, à répondre aux demandes d'accès des personnes concernées et à protéger les données personnelles, est entrée en vigueur le 1er janvier 2020.
Les résidents de Californie peuvent demander aux organisations quelles données personnelles elles ont stockées, leur demander de les supprimer et savoir quelles informations ont été transmises à des tiers. Ces mesures s'appliquent aux données collectées sur le territoire californien. Cela signifie que les entreprises doivent identifier et classer rapidement et précisément les données sensibles relevant du CCPA, et mettre en place un processus pour répondre aux demandes d'accès à l'information (DSAR).
HIPAA : Loi sur la portabilité et la responsabilité en matière d'assurance maladie
L’une des lois américaines les plus établies en matière de confidentialité des données au niveau fédéral est la Loi sur la portabilité et la responsabilité en matière d'assurance maladie (HIPAA) — un règlement visant à protéger la santé des patients et leurs données médicales.
Le Congrès a adopté la loi HIPAA en 1996, mais le secteur de la santé étant la principale cible des violations de données, les demandes de protection renforcée de la confidentialité des données se sont intensifiées après sa promulgation. En conséquence, le ministère américain de la Santé et des Services sociaux (HHS) a publié la règle de confidentialité en 2000 afin de mettre en œuvre le mandat de la loi HIPAA visant à protéger les informations de santé. Malgré cela, le secteur de la santé a continué de subir le coût moyen le plus élevé en cas de violation, soit 147,13 millions de livres sterling, selon IBM.
GLBA : loi Gramm-Leach Billey
Une autre loi importante sur la protection de la vie privée est la La loi Gramm-Leach-Bliley (GLBA), une loi fédérale américaine qui contrôle la manière dont les institutions financières gèrent les informations sensibles des personnes.
Il y a trois domaines dans ce law : La règle de confidentialité financière réglemente la manière dont les données financières personnelles sont divulguées et collectéesLa règle de sauvegarde exige des institutions financières qu'elles protègent les données en mettant en œuvre un programme de sécurité ; les dispositions relatives au faux-semblant interdisent l'utilisation de faux prétextes pour accéder aux données privées. En vertu de cette loi, les institutions financières sont également tenues de fournir à leurs clients un avis écrit expliquant leur processus et leurs pratiques de partage de données.
Comment BigID aide les organisations à automatiser la confidentialité des données
La confidentialité des données est un élément essentiel de toute organisation : elle est nécessaire, mais représente souvent un défi pénible et chronophage. Les organisations ont besoin d'un solution La solution la mieux adaptée à leurs besoins. BigID propose des solutions sur mesure pour aider les entreprises à :
Protégez les données de votre entreprise
La première étape de l’alignement sur la confidentialité des données consiste à inventorier toutes les données personnelles sur l'ensemble de l'infrastructure informatique. BigID prend en charge toutes les méthodes de découverte, de la découverte des ressources de données à la découverte de PI et PII grâce à des analyses complètes. BigID's fondation de découverte de données Permet aux organisations d'inventorier, de cartographier, de classer et d'aligner leurs données sur les politiques réglementaires. BigID peut identifier des sources de données structurées, non structurées et semi-structurées, ainsi que des applications métier, qu'elles soient déployées sur site ou dans le cloud, grâce à des centaines de connecteurs.
Prévenir les violations de données
BigID permet aux organisations de générer une documentation et des rapports sur les activités de traitement des données. Ainsi, elles peuvent maintenir un ensemble précis de flux de traitement des données, avec la capacité de montrer comment les données sont traitées et partagées au sein de l'entreprise et avec des tiers.
Réduire les risques
La gestion de l’accès aux données est l’un des moyens les plus simples de réduire les risques, car elle réduit l’exposition d’une entreprise aux violations, au vol ou à l’utilisation abusive des données. L'application BigID Access Intelligence peut signaler et analyser les utilisateurs, groupes et données à haut risque au sein de l'organisation. Cela permet aux entreprises d'examiner les groupes et catégories de fichiers contenant des données sensibles en libre accès et de produire un rapport d'audit des cibles à haut risque pour l'examen des autorisations et la réduction des risques.
Aider à atteindre la conformité
Lois spécifiques sur la protection de la vie privée GDPR, CCPA, et GLBA, Aidez les consommateurs à exercer leurs droits en matière de données en obtenant leur consentement avant qu'une organisation puisse traiter leurs données personnelles et sensibles. Les fonctionnalités de consentement de BigID s'étendent au consentement multicanal : consentement des mineurs, des employés et des autorités réglementaires, sur l'ensemble des bases de données d'une organisation, garantissant ainsi la conformité de votre organisation.
Obtenez un Démonstration 1:1 pour voir comment BigID permet aux entreprises de automatiser et opérationnaliser leurs programmes de confidentialité.
Auteur
