Les professionnels de la confidentialité et de la gouvernance des données ont dû relever des défis sans précédent depuis la mise en conformité réglementations telles que le RGPD et le CCPA ont transformé la façon dont les entreprises mènent leurs activités. Cela a contraint les directeurs des produits et des services (CDO) et les directeurs des achats (CPO) à réévaluer leurs objectifs, à reconfigurer leurs processus et à s'aligner de plus en plus pour s'adapter aux nouvelles exigences et concevoir de nouveaux résultats commerciaux.
Le sommet numérique à la demande de BigID, « Examiner l'intersection de la confidentialité et de la gouvernance », aborde ces défis avec un panel d'experts issus des plus grandes entreprises. bureaux de données et bureaux de confidentialitéLes panélistes explorent les leçons qu'ils ont apprises, les étapes qu'ils ont franchies vers une collaboration réussie et la manière dont leurs rôles se croisent pour créer des opportunités de croissance commerciale.
Un signal d'alarme pour la confidentialité, une opportunité pour les données
Au cours des dernières années, le RGPD (Règlement général sur la protection des données) et le CCPA (loi californienne sur la protection de la vie privée des consommateurs) ont transformé la façon dont les entreprises perçoivent les données : leur collecte, leur sécurité et leur gestion.
Ces réglementations ont non seulement marqué un « signal d’alarme majeur » pour les entreprises afin qu’elles se conforment aux règles et évitent les sanctions financières, déclare JoAnn Stonier, CDO chez Mastercard — mais ils ont également créé une opportunité pour les entreprises d'utiliser les données comme un avantage commercial.
C'est une chose pour les équipes de confidentialité de travailler dans une fonction de support pour éviter les problèmes à une entreprise (leur rôle historique), mais c'en est une autre pour elles de s'associer à des équipes de données pour transformer la confidentialité en un moteur commercial.
Les préoccupations réglementaires « rendent la confidentialité un peu plus standardisée — et c'est quelque chose que tous les secteurs approfondissent, et franchement, vous le voyez même dans les tendances d'embauche », déclare Farah Zaman, vice-présidente et directrice des achats chez Meredith.
La confidentialité est de plus en plus présente dans le dialogue que toute l'entreprise doit aborder. Si elle est bien menée, je pense que le bureau de la confidentialité a une occasion unique de contribuer à sensibiliser et à fédérer l'ensemble de l'entreprise sous un même discours et une même visibilité.
Confidentialité des données + Gouvernance des données = Confiance en matière de données
En travaillant main dans la main, les bureaux des données et les bureaux de la confidentialité peuvent créer un cadre solide de confiance en matière de données. « Je ne pense pas qu'un programme de confidentialité ou de gouvernance des données soit efficace s'ils ne dialoguent pas », déclare Zaman.
Pour commencer à « bien protéger la confidentialité », comme le dit Stonier, les directeurs des produits et leurs équipes doivent collaborer étroitement avec les directeurs des données, les gestionnaires de données et les autres professionnels de la gouvernance. Une collaboration fructueuse garantit que les entreprises disposent de protections appropriées pour leurs données et en tirent des informations précieuses.
De nombreuses organisations se concentrer sur la confiance dans les données en faisant de la confidentialité un moteur. « Avec le recul, nous avons fait du RGPD et du CCPA la priorité absolue de nos équipes de gouvernance et de confidentialité dans leur collaboration », déclare Chris Stephens, vice-président des données chez American Eagle Outfitters.
De son point de vue, si les clients sont « suffisamment généreux pour partager des données sur eux-mêmes — et désireux de le faire, tant qu’ils voient de la valeur en retour dans des offres personnalisées — nous voulons nous assurer qu’ils comprennent que nous protégeons cela. »
Bien entendu, toute collaboration s'accompagne de défis. Par exemple, harmoniser la confidentialité et la gouvernance des données au sein de SAP « n'était pas une approche universelle », explique Tina Rosario, directrice du développement de SAP.
Il fallait un équilibre entre expertise et compétences. Lors de l'entrée en vigueur du RGPD, nous avons fait appel à des experts juridiques et réglementaires qui ont travaillé en étroite collaboration avec nos collègues des services de gestion des risques et de conformité à l'échelle mondiale. Nous avions également des responsables de la gouvernance des données dans chacun de nos secteurs d'activité. Je considère cela comme un véritable travail d'équipe, et le résultat est que nous sommes restés très bien coordonnés et connectés.
Un modèle de protection de la vie privée « offensif » dès la conception comme argument de vente
Les programmes de gouvernance des données les plus performants « intègrent déjà la confidentialité et la sécurité dès leur conception », déclare Peggy Tsai, vice-présidente des solutions de données chez BigID.
En termes simples, la protection de la vie privée dès la conception intègre les réglementations en matière de confidentialité dans la conception et le processus du produit dès le départ, depuis les premières étapes de l’idéation jusqu’au déploiement.
Stonier attribue une partie du succès collaboratif qu'elle a constaté chez MasterCard à la protection de la vie privée dès la conception. « Pour tout produit ou solution utilisant des données personnelles ou sensibles, il est plus simple d'impliquer un membre de l'équipe chargée de la protection de la vie privée lors des premières sessions, afin de détecter les problèmes de confidentialité dès le départ et de concevoir une solution respectueuse de la vie privée. »
Cela permet aux équipes de Mastercard de concevoir des solutions «en pensant à l'individu — même s'il n'y a pas données personnelles ou sensibles dans le produit. »
Du côté de la protection de la vie privée, Pedro Pavon, directeur et conseiller juridique principal chez Salesforce, partage cet avis : « Se démarquer en tant que partenaire de confiance grâce à des contrôles rigoureux, robustes et transparents est un atout majeur sur le marché. Intégrer ce type de réflexion à la conception de vos produits et à votre stratégie de commercialisation est, à mon avis, une approche judicieuse pour intégrer l'ADN et la conscience de la protection de la vie privée à tous les niveaux de votre organisation. »
« Chaque fois que je parle de confidentialité à un intervenant de mon entreprise », ajoute Pavon, « j'en parle en termes de valeur ajoutée — comment cela ajoute-t-il, augmente-t-il, améliore-t-il, accélère-t-il ou différencie-t-il votre activité ou votre produit, pour le rendre meilleur ?
Alignement des données et de la confidentialité : les entreprises y prêtent attention
Ensemble, le CCPA et le RGPD « ont permis de clarifier ce qui était auparavant flou », explique Pavon. « Si vous interrogez 10 personnes, 9 sur 10 vous diront que la confidentialité est importante. Nous devons y réfléchir. Nous devons l'intégrer à notre culture d'entreprise et à notre façon de travailler. »
Mais avant l'adoption de réglementations formelles, « il n'existait pas vraiment de formule pour y parvenir ». Le CCPA et le RGPD « illustrent la complexité potentielle de la situation si chaque État adoptait sa propre loi sur la protection de la vie privée. Je pense que cela a incité nos législateurs à Washington à réfléchir à un cadre et à une loi nationaux complets en matière de protection de la vie privée, dans l'espoir de créer une norme américaine. »
« Et je sais que c'est quelque chose qui intéresse beaucoup de nos employeurs — et l'industrie technologique s'y intéresse vraiment — parce qu'il est évidemment beaucoup plus simple de se conformer à quelques normes mondiales que 50 cadres de règles différents, puis 20 ou 30 autres à travers le monde. »
Expliquer l'importance d'intégrer la confidentialité dans la gestion des données « peut s'avérer délicat », explique Pavon. Les coûts concrets liés aux violations réglementaires permettent de concentrer le débat sur les résultats commerciaux. Exigences définies par le CCPA, le RGPD et la LGPD, etc., « Il faut vraiment aider les gens à comprendre : il y a de réelles sanctions en cas de mauvaise conduite. Il faut donc bien faire les choses. Cela capte toujours l'attention : amendes, pénalités, etc. »
Une fois que vous avez dépassé cette étape, il s'agit de savoir comment mettre en œuvre cela et quelles sont les avantages d'être robuste par rapport au strict minimum?"
Un avenir prometteur pour les CDO, les CPO… Les CDPO ?
En ce qui concerne l'avenir des CDO, « il existe une énorme demande d'expertise autour du sujet des données, et je ne vois pas cette demande disparaître, surtout compte tenu des complexités auxquelles nous sommes confrontés », avec le Pandémie de covid-19, dit Rosario.
« Nous devons continuer à nous concentrer sur les données les plus critiques, les plus précieuses, les plus importantes, celles qui correspondent aux objectifs de l'entreprise et celles qui améliorent la qualité des données, tout en étant innovants. »
Alors que de plus en plus les entreprises migrent vers le cloud« De nouveaux scénarios vont engendrer de nouveaux défis en matière de données — et nous avons donc besoin du leadership du [bureau des données] », dit-elle.
En parlant de leadership, Pavon pense qu'à mesure que les équipes chargées de la confidentialité et des données continuent de se regrouper, elles pourraient toutes deux être placées sous la responsabilité d'un bureau entièrement nouveau à l'avenir : « au lieu de simplement cette idée de responsable de la confidentialité ou de responsable de la sécurité de l'information, quelque part au-dessus de ce niveau, je pense que des « responsables de la protection des données » ou des bureaux commenceront à apparaître, et ils relieront la gouvernance des données, la sécurité et la confidentialité - et s'assureront que tous ces efforts s'harmonisent et fonctionnent ensemble. »
Michael McCullough, CPO chez Macy's, associe ce rôle potentiel de « protection des données » ou de « confiance en matière de données » à l'évolution des besoins des entreprises. « Je pense que la question n'est pas de savoir à quoi ressemblera ce rôle, mais plutôt quels seront les besoins des entreprises – et que devront faire les entreprises différemment ou mieux qu'actuellement ? J'apprécie le concept de "Chief Trust Officer", car il regroupe toutes vos activités et, espérons-le, les réunit sous une seule et même autorité. »
À travers toutes ces évolutions possibles et ces prochaines étapes, une chose est sûre, dit McCullough : « Les gens vont devoir devenir plus connaisseur en technologie qu’ils ne le sont.
Zaman partage cet avis et prédit un avenir marqué par une plus grande « éducation du public » et une plus grande fluidité. « Nous devons veiller à communiquer non seulement avec nos équipes de gouvernance des données, mais aussi avec les autres équipes en interne, ainsi qu'avec nos proches et à contribuer à cette éducation du public. »
Que le bureau de la protection de la vie privée et le bureau des données fusionnent complètement ou continuent de collaborer pour aider les entreprises à se conformer et à valoriser leurs données, « j'espère que nous continuerons tous à nous amuser, car c'est un endroit formidable », déclare Stonier. « Les opportunités sont nombreuses et chaque mois, chaque année, apporte son lot de nouveaux défis. C'est ce qui rend cette expérience passionnante. »
En savoir plus sur meilleures pratiques pour une gouvernance des données respectueuse de la confidentialité — et comment une collaboration réussie peut aider votre entreprise à atteindre une conformité totale et à créer de véritables informations à partir de vos données.