Qu’est-ce que la confidentialité des données ?

Au sens large, la confidentialité des données est considérée comme le principe selon lequel les informations personnelles ne doivent pas être partagées sans autorisation. Lorsqu’une règle de confidentialité des données est en place, les personnes déterminent quand, comment et dans quelle mesure leurs informations personnelles peuvent être partagées.

Les informations personnelles englobent toutes sortes de données : le nom, l’adresse, le numéro de téléphone, l’adresse électronique, le numéro de sécurité sociale ; les informations financières, les dossiers médicaux ou scolaires ; et également des détails sur le comportement d’une personne et les activités auxquelles elle se livre, et tous les renseignements relatifs à ses agissements.

La confidentialité des données – Définition

La confidentialité des données, également désignée parfois sous le terme « confidentialité des informations », est une sous-catégorie de la protection des données. Son objet est le maintien de la confidentialité, de l’intégrité et de l’exactitude des données personnelles ainsi que des données dont dépendent les entreprises pour mener à bien leurs activités (par exemple, les secrets commerciaux, les plans commerciaux et marketing et les informations financières). Dans la pratique, la plupart des initiatives liées à la confidentialité des données sont motivées par les obligations de conformité aux lois sur la confidentialité des données, définies par des organismes et des pouvoirs publics, et que nous détaillons ci-dessous.

Les processus et programmes de confidentialité des données mettent les informations personnelles et les informations sensibles à l’abri des événements suivants :

• L’altération ;
• Les accès inappropriés ;
• La perte ;
• Le vol.

La discipline de confidentialité des données regroupe de multiples dimensions. Et notamment :

• La gouvernance des données, qui définit des normes et des pratiques dans les modalités de collecte, de conservation, de mise en sécurité, de consultation et d’utilisation des informations personnelles et des informations sensibles ;
• Des cadres juridiques, créés par diverses entités, et mis en application par des lois sur la confidentialité des données ;
• Des règlements, mis en place par les entreprises pour que les obligations de confidentialité des données soient respectées en ce qui concerne les informations qu’elles collectent, conservent et traitent ;
• Les pratiques, notamment les pratiques homologuées qui guident la mise en œuvre et l’utilisation de l’infrastructure informatique et des systèmes de sécurité des données ;
• Les protocoles de gestion des tiers, utilisés pour déterminer comment les entreprises tierces (par exemple les fournisseurs, les prestataires de services et les sous-traitants) traitent les informations sensibles et les informations personnelles.

Pourquoi la confidentialité des données est importante

Outre le fait qu’il s’agit d’une obligation légale, la confidentialité des données est importante pour de nombreuses raisons :

Elle réduit les frais de stockage des données

La minimisation et l’effacement des données constituent un aspect important de la confidentialité des données. Lorsque les données ne sont plus nécessaires, elles sont éliminées, ce qui a pour effet de réduire la charge opérationnelle et les frais qu’entraîne leur stockage.

Elle prévient l’usurpation d’identité

Pour commettre une usurpation d’identité, quelques informations personnelles essentielles suffisent. Les systèmes et processus de protection des données qui accompagnent la confidentialité des données contribuent à minimiser le risque d’usurpation d’identité.

Elle atténue le détournement d’informations personnelles et d’informations sensibles

En l’absence de mesures de protection de la confidentialité des données, les informations personnelles et les informations sensibles risquent d’être détournées. Par exemple :

• Des délinquants peuvent utiliser les données personnelles pour commettre des vols de toutes sortes de façons (par exemple, retirer des fonds sur des comptes bancaires, utiliser des cartes de crédit ou se rendre coupable d’une usurpation d’identité) ;
• Les activités des personnes peuvent être suivies et surveillées sans leur consentement ;
• Les données personnelles peuvent être vendues à des tiers et à des publicitaires sans l’accord des utilisateurs, avec pour conséquence des sollicitations et des messages marketing non désirés.

Elle protège la réputation des consommateurs et des marques

La confidentialité des données fait partie des mesures de protection des consommateurs auxquelles ils s’attendent. Ce sont des des règlements, des programmes et des processus divers qui garantissent cette protection, capitale pour eux. Par ailleurs, les marques qui s’engagent à prendre au sérieux les droits des personnes à la confidentialité consolident leur réputation.

Elle réduit l’efficacité et les conséquences des violations de données

Les mesures de protection des données adossées à la confidentialité des données servent de garde-fous contre toute violation de données. Et en cas de violation avérée, il reste impossible d’accéder aux informations.

Elle favorise les opérations commerciales

Lorsque des informations sont utilisées dans le respect des règles de confidentialité des données, les entreprises peuvent en tirer parti à plusieurs égards. Par exemple pour :

• Tirer des enseignements des ensembles de données à partir des données démographiques et des comportements des clients et prospects ;
• Identifier des clients potentiels ;
• Comprendre les besoins des clients et leur proposer des biens et des services conformes à leurs besoins ;
• Mettre à profit les informations des particuliers pour entraîner des systèmes à base de Machine Learning (ML) et d’intelligence artificielle (IA)

Elle constitue la pierre angulaire de l’économie des données

Les assurances Confidentialité des données sont incontournables pour les entreprises qui dépendent de la collecte, du partage et de l’utilisation de données sur leurs clients ou leurs utilisateurs. Pour fournir des services, plusieurs applications, plates-formes de médias sociaux et sites web doivent collecter et conserver des données personnelles relatives aux utilisateurs.

Les lois régissant la confidentialité des données

Lois relatives à la confidentialité des données aux États-Unis

Voici quelques-unes des lois fédérales relatives à la confidentialité des données :

• La loi HIPAA (Health Insurance Portability and Accountability Act, sur la transférabilité et la responsabilité des assurances maladie),qui régit la manière dont les données personnelles relatives aux soins médicaux doivent être traitées.
• La loi COPPA (Children’s Online Privacy Protection Act, loi sur la protection de la vie privée en ligne des enfants), qui restreint les informations que les sites web peuvent recueillir auprès des enfants de moins de 13 ans.
• La loi ECPA (Electronic Communications Privacy Act, ECPA, sur la confidentialité des communications électroniques), qui étend à d’autres données électroniques les restrictions imposées par les pouvoirs publics sur les écoutes téléphoniques.
• La loi VPPA (Video Privacy Protection Act, sur la protection de la vie privée dans l’audiovisuel), qui interdit la divulgation non autorisée d’informations personnelles provenant de la location ou de l’achat de contenus audiovisuels.
• La loi Gramm-Leach-Bliley (Gramm-Leach-Bliley Act, GLBA), qui réglemente le traitement des informations personnelles des particuliers par les institutions financières.
• La loi FCRA (Fair Credit Reporting Act, loi sur l’équité des rapports de solvabilité), qui réglemente la collecte et l’utilisation des informations relatives aux crédits des particuliers.
• La loi FTC (Federal Trade Commission Act, loi sur la Commission fédérale du commerce), qui contient des clauses relatives à l’application des lois sur la confidentialité des données.
• La loi FERPA (Family Educational Rights and Privacy Act, loi les droits de la famille à l’éducation et à la protection de la vie privée), qui restreint l’accès aux informations et aux dossiers scolaires des étudiants.

Plusieurs États ont adopté des lois sur la confidentialité des données. Notamment ::

• La Californie, avec la loi CCPA (California Consumer Privacy Act) sur la protection de la vie privée des consommateurs
• Ou la loi CPRA (California Privacy Rights Act, sur les droits à la vie privée)
• Le Colorado, avec la loi CPA (Colorado Privacy Act) sur la protection de la vie privée
• L’État de New York; avec la loi SHIELD (Stop Hacks and Improve Electronic Data Security) sur la protection des données
• L’Utah, avec la loi UCPA (Utah Consumer Privacy Act) s sur la protection de la vie privée des consommateurs
• La Virginie, avec la loi VCDPA (Virginia’s Consumer Data Protection Act) sur la protection des données des consommateurs

Lois internationales régissant la confidentialité des données

La plupart des pays du monde ont adopté des lois sur la confidentialité des données. En voici quelques exemples :

• Le Règlement général sur la protection des données (RGPD) en Europe, ou la loi Informatique et Libertés en France
• La loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE, ou Personal Information Protection Electronic Documents Act, PIPEDA, en anglais)
• La loi sur la protection des données personnelles (PDP, ou Personal Data Protection Act, PDPA, en anglais)
• La loi sur la protection de la vie privée de 1974 (Privacy Act of 1974)
• La loi générale sur la protection des données (Lei Geral de Proteção de Dados, LGPD)
• La loi sur la protection des données personnelles (Personal Information Protection Law, PIPL)
• La loi sur la protection des renseignements personnels (LPRP, ou Protection of Personal Information Act, PoPIA, en anglais)

En quoi consistent les pratiques équitables en matière d’information ?

Il existe de nombreuses règles et lois relatives à la confidentialité des données. Toutes reposent sur les principes et pratiques énoncés dans les Pratiques équitables en matière d’information, adoptées par l’Organisation de coopération et de développement économiques (OCDE) dans le cadre de ses directives sur la protection de la vie privée et la circulation transfrontalière de données à caractère personnel.

Les pratiques de cette organisation internationale exposent des orientations pour la collecte et d’utilisation des données. Voici les huit principes qui constituent les Pratiques d’information équitables :

1. La responsabilité
   Tout responsable du traitement des données est tenu de respecter les mesures qui affectent les principes relatifs aux Pratiques d’information équitables.
2. La limitation dans la collecte des données
   Il doit y avoir des limites à la collecte des données à caractère personnel, et ces données doivent être obtenues par des moyens licites et justes et, le cas échéant, après en avoir informé la personne concernée, ou avec son consentement.
3. La qualité des données
   Les données à caractère personnel doivent correspondre aux besoins pour lesquels elles seront utilisées et, dans la mesure où cela est nécessaire, elles doivent être exactes et complètes et maintenues à jour.
4. Individual participation
   An individual should have the right:
   • D’obtenir confirmation auprès d’un responsable du traitement des données (ou part un autre moyen) que ce dernier détient (ou pas) des données la concernant ;
   • De se faire communiquer les données la concernant dans un délai raisonnable, moyennant, éventuellement, le paiement d’un droit modéré, selon des modalités raisonnables, et sous une forme qui lui soit intelligible d’emblée ;
   • D’être informée des raisons pour lesquelles une demande qu’elle aurait présentée conformément aux alinéas (a) et (b) est rejetée et de pouvoir contester un tel rejet ; et
   • De contester les données la concernant et, si la contestation aboutit, de les faire effacer, rectifier, compléter ou corriger.
5. La transparence
   Les développements, pratiques et textes régissant les données à caractère personnel doivent respecter le principe général de transparence. Il doit exister des moyens simples pour déterminer l’existence et la nature des données à caractère personnel ainsi que les finalités principales de leur utilisation, de même que l’identité du responsable du traitement des données et son lieu habituel d’exercice.
6. La spécification des finalités
   Les finalités pour lesquelles les données à caractère personnel sont collectées doivent être précisées au plus tard au moment de la collecte des données. En outre, ces données ne doivent être utilisées par la suite que pour parvenir à ces fins ou à d’autres qui ne soient pas incompatibles avec les premières, et qui seront précisées à chaque fois que l’objet change.
7. Des garanties de sécurité
   Les données à caractère personnel doivent être protégées par des garanties suffisantes de sécurité contre des risques tels que la perte des données ou contre un accès, une destruction, une utilisation ou une divulgation sans autorisation.
8. La limitation de l’utilisation
   Les données à caractère personnel ne devraient être ni divulguées ni fournies ni utilisées à des fins autres que celles spécifiées conformément au principe de la spécification des finalités, si ce n’est avec le consentement de la personne concernée ou par autorité de justice.

Les enjeux de la confidentialité des données pour l’entreprise

Malgré les nombreux outils qui existent, assurer la confidentialité des données reste un défi de taille. Voici quelques-uns des problèmes que les entreprises ont à résoudre pour répondre à ces obligations :

• L’existence d’un enchevêtrement de règles et réglementations ;
• La difficulté à déterminer quelles sont les données à conserver et lesquelles sont à éliminer ;
• L’absence de maîtrise sur le partage de données par des tiers ;
• Une mauvaise visibilité sur les magasins de données et les appareils, qui sont dispersés ;
• Le manque de maniabilité et le volume des données.

Les technologies permettant la confidentialité des données

Il existe de nombreuses solutions technologiques permettant d’assurer la confidentialité des données. En voici quelques-unes :

• Les logiciels antivirus et anti-malware ;
• Les outils automatisés de détection, de mappage et de classification des données ;
• Les outils de prévention des pertes de données (DLP) ;
• Les solutions de gestion des appareils et appareils mobiles ;
• Les solutions de chiffrement, par exemple de chiffrement symétrique, asymétrique et de bout en bout ;
• Les systèmes de protection des terminaux ;
• Les pare-feux ;
• La gestion des identités et des accès (IAM);
• L’authentification multifactorielle (MFA), les contrôles d’accès basés sur les rôles (RBAC) et la gestion des accès privilégiés (PAM);
• Les solutions de détection et de prévention des intrusions.

L’importance de la confidentialité des données

La plupart des gouvernements considèrent la confidentialité des données comme un droit de l’homme. Au-delà de leurs obligations de conformité aux lois, les entreprises doivent protéger la confidentialité des données pour répondre aux attentes des personnes qui entrent en relation avec elles.

Vous pourriez également être intéressé par :