Article

Qu'est-ce que la confidentialité des données ?

ComplianceSecurity
Temps de lecture : 12 minutes

La confidentialité des données est considérée comme le principe selon lequel les informations personnelles ne doivent pas être partagées sans autorisation. Lorsqu'une règle de confidentialité des données est en place, les personnes déterminent quand, comment et dans quelle mesure leurs informations personnelles peuvent être partagées.

Les informations personnelles incluent : nom, adresse, numéro de téléphone, adresse e-mail et numéro de sécurité sociale.

Elles englobent aussi les données financières, dossiers médicaux, scolaires, comportements et activités d’une personne, et autres renseignements relatifs.

La confidentialité des données - Définition

La confidentialité des données, ou « confidentialité des informations », est une sous-catégorie de la protection des données.

En pratique, la plupart des initiatives de confidentialité sont motivées par les exigences de conformité aux lois sur la confidentialité.

Ces lois sont définies par des organismes et autorités, comme détaillé ci-dessous.

  • L'altération ;
  • Les accès inappropriés ;
  • La perte ;
  • Le vol.

La discipline de confidentialité des données regroupe de multiples dimensions. Et notamment :

  • La gouvernance des données établit des normes pour la collecte, la conservation, la sécurité, la consultation et l’utilisation des informations personnelles et sensibles;
  • Des cadres juridiques, créés par diverses entités, et mis en application par des lois sur la confidentialité des données ;
  • Des règlements, mis en place par les entreprises pour que les obligations de confidentialité des données soient respectées en ce qui concerne les informations qu'elles collectent, conservent et traitent ;
  • Les pratiques, notamment les pratiques homologuées qui guident la mise en œuvre et l'utilisation de l'infrastructure informatique et des systèmes de sécurité des données ;
  • Les protocoles de gestion des tiers, utilisés pour déterminer comment les entreprises tierces (par exemple les fournisseurs, les prestataires de services et les sous-traitants) traitent les informations sensibles et les informations personnelles.

Pourquoi la confidentialité des données est importante

Outre le fait qu'il s'agit d'une obligation légale, la confidentialité des données est importante pour de nombreuses raisons :

Elle réduit les frais de stockage des données

La minimisation et l’effacement des données sont essentiels à la confidentialité. Les données inutiles sont éliminées, réduisant ainsi la charge opérationnelle et les coûts de stockage.

Elle prévient l'usurpation d'identité

Pour commettre une usurpation d'identité, quelques informations personnelles essentielles suffisent. Les systèmes et processus de protection des données qui accompagnent la confidentialité des données contribuent à minimiser le risque d'usurpation d'identité.

Elle atténue le détournement d'informations personnelles et d'informations sensibles

En l'absence de mesures de protection de la confidentialité des données, les informations personnelles et les informations sensibles risquent d'être détournées. Par exemple :

  • Des délinquants peuvent utiliser les données personnelles pour commettre des vols de toutes sortes de façons (par exemple, retirer des fonds sur des comptes bancaires, utiliser des cartes de crédit ou se rendre coupable d'une usurpation d'identité) ;
  • Les activités des personnes peuvent être suivies et surveillées sans leur consentement ;
  • Les données personnelles peuvent être vendues à des tiers et à des publicitaires sans l'accord des utilisateurs, avec pour conséquence des sollicitations et des messages marketing non désirés.

Elle protège la réputation des consommateurs et des marques

La confidentialité des données fait partie des mesures de protection des consommateurs auxquelles ils s'attendent. Ce sont des des règlements, des programmes et des processus divers qui garantissent cette protection, capitale pour eux. Par ailleurs, les marques qui s'engagent à prendre au sérieux les droits des personnes à la confidentialité consolident leur réputation.

Elle réduit l'efficacité et les conséquences des violations de données

Les mesures de protection des données adossées à la confidentialité des données servent de garde-fous contre toute violation de données. Et en cas de violation avérée, il reste impossible d'accéder aux informations.

Elle favorise les opérations commerciales

Lorsque des informations sont utilisées dans le respect des règles de confidentialité des données, les entreprises peuvent en tirer parti à plusieurs égards. Par exemple pour :

  • Tirer des enseignements des ensembles de données à partir des données démographiques et des comportements des clients et prospects ;
  • Identifier des clients potentiels ;
  • Comprendre les besoins des clients et leur proposer des biens et des services conformes à leurs besoins ;
  • Mettre à profit les informations des particuliers pour entraîner des systèmes à base de Machine Learning (ML) et d'intelligence artificielle (IA)

Elle constitue la pierre angulaire de l'économie des données

Les assurances de confidentialité des données sont essentielles pour les entreprises qui collectent, partagent et utilisent les données de leurs clients.

Pour fournir leurs services, de nombreuses applications, plateformes de réseaux sociaux et sites Web collectent et conservent des données personnelles des utilisateurs.

Principales lois sur la confidentialité des données aux États-Unis

Lois fédérales sur la confidentialité des données

Voici quelques-unes des lois fédérales relatives à la confidentialité des données :

  • La loi HIPAA (Health Insurance Portability and Accountability Act, sur la transférabilité et la responsabilité des assurances maladie),qui régit la manière dont les données personnelles relatives aux soins médicaux doivent être traitées.
  • La loi COPPA (Children's Online Privacy Protection Act, loi sur la protection de la vie privée en ligne des enfants), qui restreint les informations que les sites web peuvent recueillir auprès des enfants de moins de 13 ans.
  • La loi ECPA (Electronic Communications Privacy Act, ECPA, sur la confidentialité des communications électroniques), qui étend à d'autres données électroniques les restrictions imposées par les pouvoirs publics sur les écoutes téléphoniques.
  • La loi VPPA (Video Privacy Protection Act, sur la protection de la vie privée dans l'audiovisuel), qui interdit la divulgation non autorisée d'informations personnelles provenant de la location ou de l'achat de contenus audiovisuels.
  • La loi Gramm-Leach-Bliley (Gramm-Leach-Bliley Act, GLBA), qui réglemente le traitement des informations personnelles des particuliers par les institutions financières.
  • La loi FCRA (Fair Credit Reporting Act, loi sur l'équité des rapports de solvabilité), qui réglemente la collecte et l'utilisation des informations relatives aux crédits des particuliers.
  • La loi FTC (Federal Trade Commission Act, loi sur la Commission fédérale du commerce), qui contient des clauses relatives à l'application des lois sur la confidentialité des données.
  • La loi FERPA (Family Educational Rights and Privacy Act, loi les droits de la famille à l'éducation et à la protection de la vie privée), qui restreint l'accès aux informations et aux dossiers scolaires des étudiants.

Lois sur la confidentialité des données au niveau des États

Plusieurs États américains ont également mis en place leurs propres lois pour renforcer la confidentialité des données :

  • La Californie, avec la loi CCPA (California Consumer Privacy Act) sur la protection de la vie privée des consommateurs
  • Ou la loi CPRA (California Privacy Rights Act, sur les droits à la vie privée)
  • Le Colorado, avec la loi CPA (Colorado Privacy Act) sur la protection de la vie privée
  • L'État de New York; avec la loi SHIELD (Stop Hacks and Improve Electronic Data Security) sur la protection des données
  • L'Utah, avec la loi UCPA (Utah Consumer Privacy Act) s sur la protection de la vie privée des consommateurs
  • La Virginie, avec la loi VCDPA (Virginia’s Consumer Data Protection Act) sur la protection des données des consommateurs

Lois internationales régissant la confidentialité des données

La plupart des pays du monde ont adopté des lois sur la confidentialité des données. En voici quelques exemples :

  • Le Règlement général sur la protection des données (RGPD) en Europe, ou la loi Informatique et Libertés en France
  • La loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE, ou Personal Information Protection Electronic Documents Act, PIPEDA, en anglais)
  • La loi sur la protection des données personnelles (PDP, ou Personal Data Protection Act, PDPA, en anglais)
  • La loi sur la protection de la vie privée de 1974 (Privacy Act of 1974)
  • La loi générale sur la protection des données (Lei Geral de Proteção de Dados, LGPD)
  • La loi sur la protection des données personnelles (Personal Information Protection Law, PIPL)
  • La loi sur la protection des renseignements personnels (LPRP, ou Protection of Personal Information Act, PoPIA, en anglais)

Principes des pratiques équitables en matière de confidentialité des données

Directives de l'OCDE pour la collecte et l'utilisation des données

Il existe de nombreuses règles et lois relatives à la confidentialité des données. Toutes reposent sur les principes et pratiques énoncés dans les Pratiques équitables en matière d'information, adoptées par l'Organisation de coopération et de développement économiques (OCDE) dans le cadre de ses directives sur la protection de la vie privée et la circulation transfrontalière de données à caractère personnel.

Les pratiques de cette organisation internationale exposent des orientations pour la collecte et d'utilisation des données. Voici les huit principes qui constituent les Pratiques d'information équitables :

  1. La responsabilité
    Tout responsable du traitement des données est tenu de respecter les mesures qui affectent les principes relatifs aux Pratiques d'information équitables.
  2. La limitation dans la collecte des données
    Il doit y avoir des limites à la collecte des données à caractère personnel, et ces données doivent être obtenues par des moyens licites et justes et, le cas échéant, après en avoir informé la personne concernée, ou avec son consentement.
  3. La qualité des données
    Les données à caractère personnel doivent correspondre aux besoins pour lesquels elles seront utilisées et, dans la mesure où cela est nécessaire, elles doivent être exactes et complètes et maintenues à jour.

Principes de transparence et de sécurité dans les pratiques équitables

  1. Participation individuelle
    Toute personne doit pouvoir :
  2. La transparence
    Les développements, pratiques et textes régissant les données à caractère personnel doivent respecter le principe général de transparence. Il doit exister des moyens simples pour déterminer l'existence et la nature des données à caractère personnel ainsi que les finalités principales de leur utilisation, de même que l'identité du responsable du traitement des données et son lieu habituel d'exercice.
  3. La spécification des finalités
    Les finalités pour lesquelles les données à caractère personnel sont collectées doivent être précisées au plus tard au moment de la collecte des données. En outre, ces données ne doivent être utilisées par la suite que pour parvenir à ces fins ou à d'autres qui ne soient pas incompatibles avec les premières, et qui seront précisées à chaque fois que l'objet change.
  4. Des garanties de sécurité
    Les données à caractère personnel doivent être protégées par des garanties suffisantes de sécurité contre des risques tels que la perte des données ou contre un accès, une destruction, une utilisation ou une divulgation sans autorisation.
  5. La limitation de l'utilisation
    Les données à caractère personnel ne devraient être ni divulguées ni fournies ni utilisées à des fins autres que celles spécifiées conformément au principe de la spécification des finalités, si ce n'est avec le consentement de la personne concernée ou par autorité de justice.
  • Obtenir confirmation auprès d'un responsable du traitement des données (ou part un autre moyen) que ce dernier détient (ou pas) des données la concernant ;
  • Accéder aux données la concernant dans un délai raisonnable ;
  • Être informée et contester un refus d'accès ;
  • Demander la correction ou la suppression de données incorrectes

Les enjeux de la confidentialité des données pour l'entreprise

Malgré les nombreux outils qui existent, assurer la confidentialité des données reste un défi de taille. Voici quelques-uns des problèmes que les entreprises ont à résoudre pour répondre à ces obligations :

  • L'existence d'un enchevêtrement de règles et réglementations ;
  • La difficulté à déterminer quelles sont les données à conserver et lesquelles sont à éliminer ;
  • L'absence de maîtrise sur le partage de données par des tiers ;
  • Une mauvaise visibilité sur les magasins de données et les appareils, qui sont dispersés ;
  • Le manque de maniabilité et le volume des données.

Les technologies permettant la confidentialité des données

Il existe de nombreuses solutions technologiques permettant d'assurer la confidentialité des données. En voici quelques-unes :

L'importance de la confidentialité des données

La plupart des gouvernements considèrent la confidentialité des données comme un droit de l'homme. Au-delà de leurs obligations de conformité aux lois, les entreprises doivent protéger la confidentialité des données pour répondre aux attentes des personnes qui entrent en relation avec elles.