A Évaluation de l'impact sur la vie privée, ou PIA, est une analyse de la manière dont les informations personnelles identifiables sont collectées, utilisées, partagées et conservées par une organisation. Les PIA visent à aider les entreprises à garantir que la collecte et l'utilisation de leurs données personnelles respectent les exigences réglementaires en matière de confidentialité, à valider l'utilisation des technologies de protection des données obligatoires, à mesurer les risques et à vérifier la collecte du consentement.
Certaines entreprises et la plupart des agences gouvernementales rendent publiques leurs analyses d'impact sur la vie privée. Toutes s'efforcent de les actualiser régulièrement, en les mettant à jour à chaque lancement de nouvelles applications ou événement critique (nouvelle réglementation, fusion, etc.). Les analyses d'impact sur la vie privée visent à clarifier les politiques de confidentialité et leur mise en œuvre.
Cependant, les PIA d’aujourd’hui partagent toutes un gros problème : ce sont essentiellement des mots, détachés des données.
L'analyse des données personnelles ne doit pas être subjective
Les personnes concernées sont les clients et les employés dont les données sont évaluées dans le cadre d'une évaluation des incidences sur la vie privée. Aujourd'hui, cette évaluation repose sans exception sur une enquête et une série d'entretiens auprès des responsables de la protection des données. Les dirigeants et le service informatique fournissent des informations sur les données collectées, leur utilisation, les personnes qui y ont accès, les lieux de partage, etc. La compilation de cette vue d'ensemble du patrimoine de données personnelles d'une organisation et de son cycle de vie dans une évaluation des incidences sur la vie privée est le travail d'une petite armée de consultants et d'avocats.
L'analyse qui en résulte est comparable à un tableau : une représentation ponctuelle de la gestion des données personnelles au sein de l'entreprise. Comparée à l'absence totale de photographie, cette analyse présente une certaine valeur. Cependant, avec l'invention des appareils photo et du film, on a cessé de se fier aux tableaux interprétatifs pour représenter fidèlement des scènes. Après tout, aucun tableau n'a jamais été présenté comme preuve devant un tribunal.
Il est donc naturel de se demander, compte tenu des avancées du Big Data et de la science des données (l'équivalent en données de la caméra et du film), s'il est temps de faire évoluer les analyses d'impact sur la vie privée (PIA) d'interprétations descendantes, basées sur les mots, de la manière dont les données personnelles sont utilisées dans une organisation vers des réflexions ascendantes, axées sur les données, de la collecte et de l'utilisation réelles des données.
La preuve ne se limite pas au dessert
Lorsqu'elles se lancent dans leur première évaluation des impacts sur la vie privée, de nombreuses organisations découvrent les difficultés et les inefficacités habituelles liées au remplissage de modèles et à la conduite d'entretiens et d'enquêtes. Mais une fois cet obstacle franchi, beaucoup réalisent que leurs processus actuels de découverte, de cartographie et de classification des données personnelles s'apparentent davantage à une déclaration d'intention bien intentionnée qu'à une preuve de la localisation et de la circulation réelles des données.
L'objectif d'une évaluation d'impact sur la vie privée (PIA) est notamment de fournir la preuve de la conformité aux politiques internes et aux lois externes relatives au stockage et au traitement des données sensibles. Les enquêtes peuvent certes fournir des indicateurs d'activité, mais elles ne peuvent garantir la certitude. Vérifier avec précision la manière dont les données sont collectées et traitées nécessite une comptabilité des données réelle : la capacité à retracer le flux de données depuis leur ingestion initiale jusqu'à leur élimination. Sans cela, les audits ne constitueront jamais plus que des estimations éclairées. Le Big Data et la science des données offrent la solution pour y parvenir.
De l'évaluation des impacts sur la vie privée à l'assurance des impacts sur la vie privée
Alors que toutes les entreprises évoluent vers des éditeurs de logiciels, ce qui distinguera les gagnants des perdants réside dans la capacité d'une organisation à utiliser les données de ses clients pour mieux les servir. Mais le droit d'utiliser les données d'un client a un coût. Les individus consentiront de plus en plus à partager des informations personnelles à condition que les organisations gèrent ces données de manière responsable. Et si les évaluations d'impact sur la vie privée contribuent à instaurer la confiance entre le consommateur et son dépositaire de données, elles manquent aujourd'hui de la « vérification » nécessaire pour préserver cette confiance par des preuves.
De nouvelles réglementations, comme le règlement général sur la protection des données (RGPD) de l’UE, renforceront ce point. GDPR constitue un tournant à certains égards, car il définit clairement les droits des citoyens sur leurs données. Ce règlement bouleverse la mentalité traditionnelle selon laquelle les entreprises s'approprient les données personnelles dès qu'elles en prennent possession. Dans le nouveau monde numérique, possession n'est plus synonyme de propriété, et les consommateurs conserveront des droits légaux sur leurs données longtemps après leur collecte par une entreprise.
Cela imposera aux organisations une plus grande responsabilité quant à la gestion des données personnelles collectées et utilisées. Heureusement pour elles, les avancées du Big Data ont rendu possible la gouvernance des Big Identity Data à grande échelle dans les centres de données et nuagesDe plus, grâce à une meilleure comptabilité et une meilleure gouvernance, les organisations ont la possibilité de démontrer une plus grande valeur ajoutée à leurs clients grâce à la personnalisation des services et à l'anticipation des besoins. Cependant, si elles ne garantissent pas d'abord à leurs clients qu'elles peuvent proposer une personnalisation sans compromettre la confidentialité de leurs données d'identité, elles ne pourront pas offrir cette valeur ajoutée à leurs clients.
En fin de compte, la confidentialité est importante pour tous les consommateurs. Les évaluations d'impact sur la vie privée sont une étape nécessaire et importante pour permettre aux consommateurs – et aux régulateurs qui les protègent – d'avoir une idée de la manière dont les entreprises traitent leurs données. Mais avec la digitalisation croissante de l'économie, le droit à la vie privée est devenu plus fondamental.
Pour garantir aux consommateurs que leurs données sont précieuses et non pas simplement une ressource exploitable, les entreprises devront commencer à traiter les données personnelles comme elles traitent leur argent. Une comptabilité précise, une chaîne de traçabilité claire et une piste d'audit vérifiable seront nécessaires ; le Big Data sera indispensable pour les Big Data d'identité.
Auteur
