Laissez tomber les avocats, analystes, consultants, directeurs de la protection des données et délégués à la protection des données spécialisés en confidentialité. Place aux ingénieurs en confidentialité, capables de faciliter la mise en œuvre technique. vie privée et la protection des données dès la conception et par défaut dans les produits et services. Bienvenue, l'émergence de Ingénierie de la protection de la vie privée.
Le domaine de la confidentialité a généralement été confié à des avocats et des consultants chargés d'élaborer et de mettre en œuvre des politiques, de gérer les risques contractuels liés aux données, de gérer les risques liés à la confidentialité dans les processus opérationnels et de garantir l'efficacité des pratiques de publication des avis et des choix. Cependant, pour gérer et gouverner efficacement la manière dont les données sont traitées, il est essentiel de : utilisé En termes pratiques, nous pouvons désormais nous tourner vers la discipline croissante de l’ingénierie de la confidentialité et des technologies et produits associés.
Après quelques problèmes de confidentialité très médiatisés et une série de violations et de fuites de données, les entreprises réalisent à quel point il est important de gagner et de maintenir la confiance de leurs clients en embauchant des technologues experts en matière de confidentialité qui peuvent traduire les politiques en termes pratiques, souvent regroupés sous le surnom d'« ingénieur en confidentialité ».
Quelles données possédons-nous ? Qui les utilise ? Comment circulent-elles dans notre environnement d'entreprise ? Nos logiciels divulguent-ils des informations personnelles ? Quelles méthodes de protection de la vie privée les data scientists devraient-ils utiliser pour leurs recherches ? Ce ne sont là que quelques-unes des questions auxquelles les ingénieurs en confidentialité peuvent aider les entreprises à répondre. Des postes d'ingénieur en confidentialité apparaissent partout au pays dans des entreprises de technologie de premier plan axées sur les données comme Google, Uber, LinkedIn et Oracle.
Qu'est-ce que l'ingénierie de la confidentialité ?
Dans leur ouvrage fondateur de 2014 sur le sujet – Le manifeste de l'ingénieur de la confidentialité : passer de la politique au code, de l'assurance qualité à la valeur – les auteurs Michelle Dennedy Jonathan Fox et Tom Finneran décrivent «une approche d'ingénierie systématique pour développer des politiques de confidentialité basées sur les objectifs de l'entreprise et les réglementations gouvernementales appropriées. » Ce n'est qu'à ce moment-là que « les procédures, normes, lignes directrices, meilleures pratiques, règles de confidentialité et mécanismes de confidentialité… peuvent être conçus et mis en œuvre conformément à un ensemble de méthodologies, de modèles et de modèles d'ingénierie système bien connus et reconnus… »
Alors que la protection de la vie privée dès la conception (PbD) fournit un ensemble de principes que les entreprises doivent suivre pour intégrer la confidentialité et la protection des données dans les produits et services, les ingénieurs en confidentialité sont ceux qui mettent réellement en œuvre les exigences PbD dans le processus de développement.
Rôles d'ingénierie de la confidentialité
Ce domaine étant relativement récent, nombreux sont ceux dont les activités quotidiennes impliquent l'ingénierie de la confidentialité, sans pour autant disposer d'un titre reflétant ces activités et tâches. Pour ajouter à la confusion, le terme « ingénieur de la confidentialité » a été appliqué à plusieurs rôles définis au sein des organisations. Voici une analyse de certains des rôles classés au sein de l'écosystème de l'ingénierie de la confidentialité ; d'autres sont susceptibles d'émerger.
Chefs de produits de confidentialité
Ce sont des experts en protection de la vie privée qui comprennent les réglementations en la matière, les politiques de confidentialité de l'entreprise et leur application aux objectifs commerciaux de l'organisation, et qui documentent ensuite les exigences spécifiques en matière de services et de produits pour la prestation de services et le développement de produits.
Pour comprendre les capacités de base de l'ingénierie de la confidentialité pour le développement de produits, nous pouvons examiner comment les capacités de base que l'Université Carnegie Mellon prépare ses étudiants à appliquer à la fin de son Maîtrise en sciences des technologies de l'information – programme d'ingénierie de la confidentialité:
1) Concevoir des produits et services de pointe qui exploitent le big data tout en préservant la confidentialité ;
2) Proposer et évaluer des solutions pour atténuer les risques liés à la vie privée ;
3) Comprendre comment les technologies améliorant la confidentialité peuvent être utilisées pour réduire les risques pour la vie privée ;
4) Utiliser des techniques pour agréger et dépersonnaliser les données, et comprendre les limites de la dépersonnalisation ;
5) Comprendre les cadres réglementaires et d’autorégulation actuels en matière de confidentialité ;
6) Comprendre les enjeux actuels en matière de confidentialité liés à la technologie ;
7) Effectuer des évaluations des risques liés à la confidentialité et des examens de conformité, répondre aux incidents et intégrer la confidentialité dans les phases du cycle de vie de l'ingénierie logicielle ;
8) Effectuer des évaluations de base de la convivialité pour évaluer l'acceptation par les utilisateurs des fonctionnalités et processus liés à la confidentialité ; et
9) Agir en tant qu’expert efficace en matière de confidentialité, en travaillant avec des équipes interdisciplinaires.
Développeurs
Il s'agit d'ingénieurs logiciels et matériels possédant les compétences techniques nécessaires pour écrire du code et développer des produits logiciels ainsi que des outils internes de protection de la vie privée.
Dans la communauté de la sécurité des applications, les « ingénieurs de sécurité » se tiennent au courant des dernières Top 10 des vulnérabilités de sécurité de l'OWASP et ensuite apprendre et appliquer des techniques de codage sécurisées qui les aident à éviter ces faiblesses afin de prévenir les exploits. De même, les développeurs qui soutiennent les efforts d'ingénierie de la confidentialité devraient étudier Top 10 des risques liés à la confidentialité selon l'OWASP, qui dresse la liste des risques de confidentialité les plus courants dans les applications web et des contre-mesures associées. Il couvre les aspects technologiques et organisationnels axés sur les risques réels, et pas seulement sur les questions juridiques.
Cet effort de l'OWASP fournit des conseils sur la façon de mettre en œuvre la PbD dans les applications Web dans le but d'aider les développeurs et les fournisseurs d'applications Web à mieux comprendre et améliorer la confidentialité.
Responsable et gardien des données
Ce sont les personnes directement responsables de la protection des données personnelles. Les responsables de la gestion des données (Data Stewards) gèrent tous les aspects d'un sous-ensemble de données et sont garants de leur intégrité, de leur exactitude et du respect des politiques de confidentialité. Les dépositaires des données (Data Conservators) gèrent l'accès aux données conformément aux politiques d'accès, de sécurité et d'utilisation.
Ingénieurs de test et d'intégration de projets
Il s’agit du personnel technique dont le travail consiste à assurer la vérification et la validation de la confidentialité pour l’intégration du système, les tests et l’évaluation du système, ainsi que la transition vers l’exploitation et la maintenance du système.
Scientifiques et analystes de données
Ce sont les mathématiciens et les statisticiens qui permettent d'exploiter les ensembles de données tout en protégeant la vie privée. Avec l'essor continu des projets de mégadonnées, nous avons besoin de ces employés pour garantir une utilisation responsable et éthique des données personnelles. Avec l'aide de chercheurs spécialisés dans la protection de la vie privée, les scientifiques et les analystes de données sont chargés d'appliquer les techniques de minimisation, d'agrégation et d'anonymisation des données. Ils doivent également être capables de sélectionner les technologies de protection de la vie privée les plus appropriées. cryptage homomorphe, confidentialité différentielle, et d’autres – qui protègent les données pendant l’analyse tout en fournissant de la valeur.
Expérience utilisateur et conception
Ce sont les employés qui conçoivent des expériences de confiance dans l'écosystème numérique, qui s'efforcent de comprendre comment l'utilisateur interagira avec le produit ou le service et qui veillent à ce que la protection de la vie privée soit intégrée à cette expérience.
Chercheurs en protection de la vie privée
Les chercheurs spécialisés dans la protection de la vie privée maîtrisent les technologies actuelles qui garantissent la confidentialité et facilitent la protection des données. Ils créent de nouveaux algorithmes d'apprentissage automatique, participent au développement de prototypes, contribuent à la conception d'architectures de protection de la vie privée et sélectionnent et déploient les technologies de protection des données appropriées. De nombreuses entreprises recrutent ces chercheurs directement issus du monde universitaire.
Ingénierie de la confidentialité = Confidentialité + Ingénierie
L'ingénierie de la confidentialité en tant que discipline en est encore à ses balbutiements, mais des réglementations telles que le règlement général sur la protection des données de l'UE (GDPR) imposent aux organisations de mettre en œuvre la protection des données dès la conception. Comment la mettre en œuvre sans le personnel technique, les processus et les technologies de soutien appropriés ? La réponse est non. Il est donc impératif que les organisations recrutent la bonne combinaison d'expérience et de compétences en ingénierie de la confidentialité pour concevoir et intégrer ces exigences. Outre les recrutements judicieux, il est impératif que les entreprises investissent massivement dans : l'infrastructure (architecture et conception d'entreprise), les produits de protection des données et de la confidentialité qui automatisent les tâches chronophages, les PET, les outils de gestion du consentement, les efforts de recrutement et la formation continue des ingénieurs en confidentialité actuels et futurs à mesure que de nouvelles techniques émergent.
Vers la normalisation de la protection de la vie privée dès la conception et de l'ingénierie de la confidentialité
L’ingénierie de la confidentialité est une discipline en évolution qui intègre les 7 principes fondamentaux du PbD, élaborées par la Dre Ann Cavoukian, ancienne commissaire à l'information et à la protection de la vie privée de l'Ontario. L'an dernier, le National Institute for Standards and Technology (NIST) a présenté une introduction à l'ingénierie de la confidentialité qui approfondit l'ingénierie de la confidentialité liée aux systèmes fédéraux américains et à la réduction des risques pour les informations. Par ailleurs, des efforts sont actuellement en cours pour développer une approche mondiale Norme ISO/PC 317 pour la protection de la vie privée dès la conception des biens et services de consommation.
Le NIST a récemment annoncé son Cadre d'ingénierie de la confidentialité Projet – « un outil volontaire, à l'échelle de l'entreprise, qui pourrait fournir un catalogue de résultats et d'approches en matière de confidentialité pour aider les organisations à prioriser les stratégies qui créent des solutions de protection de la vie privée flexibles et efficaces, et permettre aux individus de profiter des avantages des technologies innovantes avec plus de confiance. » De plus, des efforts sont également en cours pour développer un ISO/ISE PTDR2 7550, une norme mondiale pour l'ingénierie de la confidentialité et les techniques de sécurité qui les accompagnent.
À BigID, nous observons le paysage de très près et nous sommes ravis d'être participants actifs au processus d'élaboration de la norme ISO/PC 317 PbDNous avons récemment lancé régulièrement Rencontres sur la confidentialité en ingénierie dans les villes suivantes pour aider à élargir la communauté de praticiens et partager les connaissances : San Francisco, New York, Seattle, Portland, Austin, Denver/Boulder, Minneapolis, Atlanta, Washington, DC, Boston, Londres, & Tel Aviv. Si vous intégrez la confidentialité dans votre rôle professionnel, nous espérons que vous pourrez nous rejoindre lors de l'un de nos futurs événements de rencontre.
Restez à l'écoute des événements de renforcement de la communauté d'ingénierie de la confidentialité à New York et San Francisco.
Auteur
