Les nouvelles lois sur la protection des données ont créé une opportunité d’établir la confidentialité comme un élément essentiel dans la manière dont les organisations renforcent la confiance dans la marque et atteignent leurs objectifs commerciaux clés en extrayant davantage de valeur de leurs données.
Les responsables de la protection de la vie privée (CPO) et leurs équipes doivent :
- s'attaquer à la mise à jour des avis de confidentialité publics et des politiques internes
- démontrer la conformité avec droits de la personne concernée
- définir des procédures de partage de données avec des tiers
- suivre les obligations de déclaration à mesure que les exigences réglementaires et les mandats de confidentialité évoluent
Les CPO peuvent profiter de cette fenêtre d’opportunité pour rehausser le profil de la confidentialité non seulement comme un autre exercice de conformité, mais comme un élément essentiel de l’objectif plus large de l’entreprise visant à établir la confiance des consommateurs et à extraire des informations réelles sur les données.
La manière dont les équipes chargées de la confidentialité abordent la conformité est essentielle
Les directeurs des achats peuvent se retrouver confrontés à une tâche ardue sans une stratégie adéquate. Malheureusement, ils ne sont souvent pas la voix la plus forte ni l'acteur le plus précieux dans les discussions plus larges sur la stratégie, la gouvernance et la protection des données de l'entreprise.
La préparation et l'adaptation aux nouvelles exigences réglementaires mobilisent une énergie et une concentration considérables, et les équipes chargées de la confidentialité n'ont pas de structure hiérarchique homogène au sein des grandes entreprises. Elles peuvent dépendre des fonctions risques, conformité, juridique ou opérationnelle, tandis que les directeurs des données, les RSSI ou les DSI ont généralement des lignes hiérarchiques plus claires.
David Ray, directeur de la cybersécurité et de la confidentialité chez PWC, et Heather Federman, vice-présidente de la confidentialité et de la stratégie chez BigID, explorent ce sujet lors d'un récent webinaire de l'IAPP, Pourquoi la protection de la vie privée va au-delà de la conformité. L’un des principaux points à retenir de la discussion est que la manière dont les équipes chargées de la confidentialité abordent la conformité est pivot.
Si les CPO parviennent à mobiliser efficacement les budgets et l’attention de l’entreprise sur de nouvelles sources de risque, ils peuvent établir un cadre commun et un langage partagé pour une collaboration efficace avec les parties prenantes.
Pour ce faire, ils doivent donner la priorité à la compréhension des données et à la création de renseignements sur la confidentialité des données plutôt qu’aux processus, aux rapports manuels et aux flux de travail seuls.
Améliorer la capacité des entreprises à instaurer la confiance dans les données
Un exemple de collaboration efficace est l’intersection de exigences en matière de rapports sur la diffusion de données et le partage de données par des tiers.
L'approche de BigID en matière de découverte et de classification des technologies de streaming de données (de plus en plus utilisé par les équipes de développement et d'analyse pour les transferts entrants et sortants d'informations personnelles) relie deux objectifs :
- Pour les professionnels de la confidentialité, la classification et la surveillance des données en mouvement permettent d'automatiser les rapports de partage de données avec des tiers (comme l'exige le CCPA, par exemple)
- Pour les équipes d’analyse de données, comprendre quelles informations personnelles – et à qui – circulent dans les flux de données permet d’appliquer des politiques de conformité à la confidentialité et de mettre en œuvre des normes pour l’utilisation éthique des informations personnelles.
De même, le CPO et le CDO peuvent s’associer sur un gouvernance des données respectueuse de la vie privée programme. Les CPO peuvent aider à définir ce qui constitue des « informations personnelles » telles que représentées dans un glossaire d'entreprise (comme Alation ou Collibra) et exploiter ensuite l'inventaire des données de BigID pour :
- Alignez les termes commerciaux sur les résultats de découverte et de classification des données ML, permettant aux CDO de déterminer facilement quelles données peuvent être utilisées et lesquelles nécessitent une protection
- Automatiser l'application des catégories de données aux attributs des informations personnelles au fur et à mesure qu'elles sont découvertes dans les infrastructures de l'entreprise
Dans les deux cas, le résultat est une meilleure capacité des entreprises à instaurer la confiance dans les données.
Prendre des mesures pour garantir la confiance dans les données
Quelles mesures concrètes les responsables de la protection des données peuvent-ils prendre pour améliorer la protection de la vie privée et jouer un rôle plus important dans la transformation de leurs entreprises en leaders en matière de confiance dans les données ? Federman présente les étapes suivantes :
- Définir des processus de conformité qui établissent une base de référence et soulignent les principaux risques pour l'organisation
- Aligner les obligations de conformité avec la gestion des risques de l'entreprise en rehaussant le profil de la confidentialité grâce à l'engagement des parties prenantes
- Renforcez la collaboration avec les acteurs de l'informatique, des données et de la sécurité en tirant parti des initiatives de cartographie, de classification et d'analyse des données financées par les budgets de conformité.
- Collaborez avec le CDO pour automatiser la conformité en matière de confidentialité grâce à un inventaire continu des données, en ajoutant une dimension de confidentialité et une perspective de risque de données à la gouvernance des données
- Étendez et renforcez les investissements dans les politiques de gouvernance des données, les glossaires d'entreprise et la qualité des données grâce aux informations sur les données issues de programmes de conformité automatisés
- Démontrer la pertinence du risque de confidentialité grâce à la découverte automatisée de données qui maintient les cartes de données « permanentes »
- Traduire le risque de confidentialité en un langage qui informe les stratégies d'analyse de données et de développement d'applications
- Exploitez les informations sur les données sensibles, y compris les informations personnelles, pour aider les équipes de sécurité à mieux identifier les points chauds de risque de sécurité des données
Comme le souligne David Ray de PwC, « les CPO eux-mêmes doivent trouver des moyens de mieux communiquer avec leurs homologues informatiques et techniques et articuler la valeur que l'équipe chargée de la confidentialité peut apporter en garantissant en fin de compte la confiance dans les données. »
Compréhension des données à grande échelle
Les équipes de confidentialité axées sur l'intégration du contexte commercial et de la conformité à la confidentialité axée sur les données peuvent créer une nouvelle base pour la collecte et l'utilisation des données personnelles de leur organisation, une base qui prend en charge et fonctionne dans toute l'entreprise.
BigID aide à développer la compréhension des données à grande échelleet permet aux organisations de générer des programmes de confidentialité durables qui s'adapter et répondre aux changements réglementaires en constante évolutionLes CPO sur cette voie peuvent aller au-delà des politiques et processus manuels vers une collaboration significative avec des domaines fonctionnels stratégiques tels que la sécurité de l'information, l'analyse des données et la gouvernance des données.
Regardez le webinaire complet, Pourquoi la protection de la vie privée va au-delà de la conformité, avec David Ray, directeur de la cybersécurité et de la confidentialité chez PwC et Heather Federman, vice-présidente de la confidentialité et de la politique chez BigID.
Auteur
