Skip to content
Voir tous les articles

L'avènement de la Ingénierie de la protection de la vie privée

Laissez tomber les avocats, analystes, consultants, directeurs de la protection des données et délégués à la protection des données spécialisés en confidentialité. Place aux ingénieurs en confidentialité, capables de faciliter la mise en œuvre technique. vie privée et la protection des données dès la conception et par défaut dans les produits et services. Bienvenue, l'émergence de Ingénierie de la protection de la vie privée.

Le domaine de la confidentialité a généralement été confié à des avocats et des consultants chargés d'élaborer et de mettre en œuvre des politiques, de gérer les risques contractuels liés aux données, de gérer les risques liés à la confidentialité dans les processus opérationnels et de garantir l'efficacité des pratiques de publication des avis et des choix. Cependant, pour gérer et gouverner efficacement la manière dont les données sont traitées, il est essentiel de : utilisé En termes pratiques, nous pouvons désormais nous tourner vers la discipline croissante de l’ingénierie de la confidentialité et des technologies et produits associés.

Après quelques problèmes de confidentialité très médiatisés et une série de violations et de fuites de données, les entreprises réalisent à quel point il est important de gagner et de maintenir la confiance de leurs clients en embauchant des technologues experts en matière de confidentialité qui peuvent traduire les politiques en termes pratiques, souvent regroupés sous le surnom d'« ingénieur en confidentialité ».

Quelles données possédons-nous ? Qui les utilise ? Comment circulent-elles dans notre environnement d'entreprise ? Nos logiciels divulguent-ils des informations personnelles ? Quelles méthodes de protection de la vie privée les data scientists devraient-ils utiliser pour leurs recherches ? Ce ne sont là que quelques-unes des questions auxquelles les ingénieurs en confidentialité peuvent aider les entreprises à répondre. Des postes d'ingénieur en confidentialité apparaissent partout au pays dans des entreprises de technologie de premier plan axées sur les données comme Google, Uber, LinkedIn et Oracle.  

Qu'est-ce que l'ingénierie de la confidentialité ?
pondering privacy engineering

Dans leur ouvrage fondateur de 2014 sur le sujet – Le manifeste de l'ingénieur de la confidentialité : passer de la politique au code, de l'assurance qualité à la valeur – les auteurs Michelle Dennedy Jonathan Fox et Tom Finneran décrivent «une approche d'ingénierie systématique pour développer des politiques de confidentialité basées sur les objectifs de l'entreprise et les réglementations gouvernementales appropriées. » Ce n'est qu'à ce moment-là que « les procédures, normes, lignes directrices, meilleures pratiques, règles de confidentialité et mécanismes de confidentialité… peuvent être conçus et mis en œuvre conformément à un ensemble de méthodologies, de modèles et de modèles d'ingénierie système bien connus et reconnus… »

Alors que la protection de la vie privée dès la conception (PbD) fournit un ensemble de principes que les entreprises doivent suivre pour intégrer la confidentialité et la protection des données dans les produits et services, les ingénieurs en confidentialité sont ceux qui mettent réellement en œuvre les exigences PbD dans le processus de développement.

Rôles d'ingénierie de la confidentialité

Ce domaine étant relativement récent, nombreux sont ceux dont les activités quotidiennes impliquent l'ingénierie de la confidentialité, sans pour autant disposer d'un titre reflétant ces activités et tâches. Pour ajouter à la confusion, le terme « ingénieur de la confidentialité » a été appliqué à plusieurs rôles définis au sein des organisations. Voici une analyse de certains des rôles classés au sein de l'écosystème de l'ingénierie de la confidentialité ; d'autres sont susceptibles d'émerger.

Chefs de produits de confidentialité:Ce sont des experts en confidentialité qui comprennent les réglementations en matière de confidentialité, les politiques de confidentialité de l'entreprise et la manière dont cela s'applique aux objectifs commerciaux de l'organisation, puis documentent les exigences commerciales et produits spécifiques pour la prestation de services et le développement de produits.

Pour comprendre les capacités de base de l'ingénierie de la confidentialité pour le développement de produits, nous pouvons examiner comment les capacités de base que l'Université Carnegie Mellon prépare ses étudiants à appliquer à la fin de son Maîtrise en sciences des technologies de l'information – programme d'ingénierie de la confidentialité:

1) Concevoir des produits et services de pointe qui exploitent le big data tout en préservant la confidentialité ;

2) Proposer et évaluer des solutions pour atténuer les risques liés à la vie privée ;

3) Comprendre comment les technologies améliorant la confidentialité peuvent être utilisées pour réduire les risques pour la vie privée ;

4) Utiliser des techniques pour agréger et dépersonnaliser les données, et comprendre les limites de la dépersonnalisation ;

5) Comprendre les cadres réglementaires et d’autorégulation actuels en matière de confidentialité ;

6) Comprendre les enjeux actuels en matière de confidentialité liés à la technologie ;

7) Effectuer des évaluations des risques liés à la confidentialité et des examens de conformité, répondre aux incidents et intégrer la confidentialité dans les phases du cycle de vie de l'ingénierie logicielle ;

8) Effectuer des évaluations de base de la convivialité pour évaluer l'acceptation par les utilisateurs des fonctionnalités et processus liés à la confidentialité ; et

9) Agir en tant qu’expert efficace en matière de confidentialité, en travaillant avec des équipes interdisciplinaires.

Développeurs:Ce sont les ingénieurs logiciels et matériels possédant les compétences techniques nécessaires pour écrire du code et créer des produits logiciels et des outils de confidentialité internes.

Dans la communauté de la sécurité des applications, les « ingénieurs de sécurité » se tiennent au courant des dernières Top 10 des vulnérabilités de sécurité de l'OWASP et ensuite apprendre et appliquer des techniques de codage sécurisées qui les aident à éviter ces faiblesses afin de prévenir les exploits. De même, les développeurs qui soutiennent les efforts d'ingénierie de la confidentialité devraient étudier Top 10 des risques liés à la confidentialité selon l'OWASP, qui dresse la liste des risques de confidentialité les plus courants dans les applications web et des contre-mesures associées. Il couvre les aspects technologiques et organisationnels axés sur les risques réels, et pas seulement sur les questions juridiques.

Cet effort de l'OWASP fournit des conseils sur la façon de mettre en œuvre la PbD dans les applications Web dans le but d'aider les développeurs et les fournisseurs d'applications Web à mieux comprendre et améliorer la confidentialité.

Responsable et gardien des données: Il s'agit des personnes directement responsables de la protection des données et informations personnelles. Les gestionnaires de données gèrent tous les aspects d'un sous-ensemble de données et sont responsables de l'intégrité, de l'exactitude et des politiques de confidentialité. Les gardiens de données gèrent l'accès aux données conformément aux politiques d'accès, de sécurité et d'utilisation.

Ingénieurs de test et d'intégration de projets: Il s’agit du personnel technique dont le travail consiste à assurer la vérification et la validation de la confidentialité pour l’intégration du système, les tests et l’évaluation du système, ainsi que la transition vers l’exploitation et la maintenance du système.

Scientifiques et analystes de données: Ce sont les mathématiciens et les statisticiens qui contribuent à valoriser les données tout en protégeant la vie privée. Face à l'essor des projets Big Data, nous avons besoin de ces employés pour garantir une utilisation responsable et éthique des données personnelles. Avec l'aide des chercheurs en confidentialité, les data scientists et les data analysts sont chargés d'appliquer les techniques de minimisation, d'agrégation et de dépersonnalisation des données. Ils doivent également être capables de sélectionner les technologies de protection de la vie privée (« PET ») appropriées, comme cryptage homomorphe, confidentialité différentielle, et d’autres – qui protègent les données pendant l’analyse tout en fournissant de la valeur.

Expérience utilisateur et conception:Ce sont les employés qui conçoivent des expériences de confiance dans l’écosystème numérique, s’efforcent de comprendre comment l’utilisateur interagira avec le produit ou le service et s’assurent que la confidentialité est intégrée à cette expérience.

Chercheurs en protection de la vie privéeLes chercheurs en confidentialité comprennent les technologies actuelles qui garantissent la confidentialité et facilitent la protection des données. Ils créent de nouveaux algorithmes d'apprentissage automatique, contribuent au développement de prototypes, participent à l'architecture de confidentialité et sélectionnent et déploient des PET appropriés pour protéger la confidentialité. De nombreuses entreprises recrutent des chercheurs en confidentialité directement issus du monde universitaire.

 

Ingénierie de la confidentialité = Confidentialité + Ingénierie

L'ingénierie de la confidentialité en tant que discipline en est encore à ses balbutiements, mais des réglementations telles que le règlement général sur la protection des données de l'UE (GDPR) imposent aux organisations de mettre en œuvre la protection des données dès la conception. Comment la mettre en œuvre sans le personnel technique, les processus et les technologies de soutien appropriés ? La réponse est non. Il est donc impératif que les organisations recrutent la bonne combinaison d'expérience et de compétences en ingénierie de la confidentialité pour concevoir et intégrer ces exigences. Outre les recrutements judicieux, il est impératif que les entreprises investissent massivement dans : l'infrastructure (architecture et conception d'entreprise), les produits de protection des données et de la confidentialité qui automatisent les tâches chronophages, les PET, les outils de gestion du consentement, les efforts de recrutement et la formation continue des ingénieurs en confidentialité actuels et futurs à mesure que de nouvelles techniques émergent.

Vers la normalisation de la protection de la vie privée dès la conception et de l'ingénierie de la confidentialité

Private
L’ingénierie de la confidentialité est une discipline en évolution qui intègre les 
7 principes fondamentaux du PbD, élaborées par la Dre Ann Cavoukian, ancienne commissaire à l'information et à la protection de la vie privée de l'Ontario. L'an dernier, le National Institute for Standards and Technology (NIST) a présenté une introduction à l'ingénierie de la confidentialité qui approfondit l'ingénierie de la confidentialité liée aux systèmes fédéraux américains et à la réduction des risques pour les informations. Par ailleurs, des efforts sont actuellement en cours pour développer une approche mondiale Norme ISO/PC 317 pour la protection de la vie privée dès la conception des biens et services de consommation.

Le NIST a récemment annoncé son Cadre d'ingénierie de la confidentialité Projet – « un outil volontaire, à l'échelle de l'entreprise, qui pourrait fournir un catalogue de résultats et d'approches en matière de confidentialité pour aider les organisations à prioriser les stratégies qui créent des solutions de protection de la vie privée flexibles et efficaces, et permettre aux individus de profiter des avantages des technologies innovantes avec plus de confiance. » De plus, des efforts sont également en cours pour développer un ISO/ISE PTDR2 7550, une norme mondiale pour l'ingénierie de la confidentialité et les techniques de sécurité qui les accompagnent.

À BigID, nous observons le paysage de très près et nous sommes ravis d'être participants actifs au processus d'élaboration de la norme ISO/PC 317 PbDNous avons récemment lancé régulièrement Rencontres sur la confidentialité en ingénierie dans les villes suivantes pour aider à élargir la communauté de praticiens et partager les connaissances : San FranciscoNew YorkSeattlePortlandAustinDenver/BoulderMinneapolisAtlantaWashington, DCBostonLondres, & Tel AvivSi vous intégrez la confidentialité dans votre rôle professionnel, nous espérons que vous pourrez nous rejoindre lors de l'un de nos futurs événements de rencontre.

Restez à l'écoute des événements de renforcement de la communauté d'ingénierie de la confidentialité à New York et San Francisco.

Contenu