Lorsque la California Consumer Privacy Act (CCPA) a été déployée le 1er janvier, de nombreuses entreprises s’efforçaient toujours de se conformer à la réglementation sur la confidentialité des données, qui devrait coûter aux entreprises 55 milliards de dollars. Mais même cocher toutes les cases de conformité ne suffit pas pour protéger les données des consommateurs. Les dernières années de violations généralisées et d’utilisation abusive des données ont montré à quelle vitesse les données personnelles peuvent tomber entre de mauvaises mains. Ils ont également montré à quelle fréquence une simple erreur utilisateur provoquée par de mauvaises pratiques en matière de données entraîne de grandes conséquences.
La manière de résoudre ce problème ne réside pas uniquement dans la législation – ce sont les entreprises qui examinent attentivement leur comportement et leurs processus. Des lois comme la CCPA et le RGPD aident à jeter les bases du changement, mais elles n’abordent pas le problème plus large: les entreprises se sentent autorisées à accéder aux données des personnes même lorsqu’elles ne font pas partie de leur offre de produits de base et ont encodé ce droit dans leurs processus.
Les appels législatifs et descendants à la responsabilité ne régleront pas le problème d’eux-mêmes. Pour protéger les consommateurs, les entreprises doivent concevoir des systèmes internes autour de la conservation des données plutôt que de la propriété des données. Cela établira des processus qui non seulement atteindront les critères de conformité, mais feront de la gestion responsable des données l’action par défaut.
Le respect de la vie privée par rapport à un véritable changement de procédure est une dérobade
La philosophie dominante dans la Silicon Valley est celle de la propriété des données, qui a un impact sur la façon dont les informations personnelles des consommateurs sont utilisées. Les conséquences ont été largement rapportées dans tous les domaines, des révélations entourant Cambridge Analytica à la violation de données d’Uber de 57 millions d’utilisateurs. Les entreprises technologiques perdent la confiance des clients, des partenaires et des gouvernements du monde entier. En fait, la perception que les Américains ont des entreprises technologiques a régulièrement diminué depuis 2015. Il faut faire plus pour la reconquérir.
Les entreprises qui s’appuient sur des réglementations telles que la CCPA et le RGPD pour guider leurs politiques de données demandent essentiellement à quelqu’un d’autre de tracer la ligne à leur place, afin qu’elles puissent s’en approcher le plus possible – ce qui conduit à une approche «check-the-box» de la conformité plutôt qu’une philosophie de base qui donne la priorité aux attentes de confidentialité de leurs clients. Si les responsables de la technologie et de la sécurité élaborent des politiques de données en tenant compte de la confidentialité, nous n’aurons pas à dépenser des ressources précieuses pour respecter les réglementations gouvernementales.
Comment retirer le droit de traitement des données
Un traitement des données responsable et sécurisé est réalisable pour chaque entreprise. L’étape la plus importante est que les entreprises dépassent le strict minimum lors de la réévaluation de leurs processus d’accès aux données. Ce qui a été le plus utile pour les entreprises avec lesquelles j’ai travaillé, c’est d’organiser ces pratiques autour d’une idée simple: vous ne pouvez pas perdre ce que vous n’avez pas.
Dans la pratique, cette idée est connue sous le nom de Principe du moindre privilège, selon laquelle les entreprises ne donnent aux employés que l’accès aux données dont ils ont besoin pour faire leur travail efficacement. Voici un exemple qui s’applique à la plupart des entreprises en contact avec les clients: disons que je suis un représentant du service client et qu’une personne m’appelle à propos d’un problème avec son compte. Si j’opère selon le principe du moindre privilège, les règles d’accès aux données suivantes s’appliqueraient:
- Je n’aurais accès qu’aux informations de compte de ce client spécifique;
- Je n’aurais accès qu’à la partie spécifique de leur compte où le problème se produit;
- J’aurais seulement accès jusqu’à ce que le problème soit résolu.
Cela semble intuitif, non? Pourtant, de nombreuses entreprises – en particulier celles qui opèrent sans le principe du moindre privilège en place – ont découvert par le biais du processus de conformité GDPR et CCPA que leurs contrôles d’accès aux données ne fonctionnaient pas de cette façon. C’est ainsi que se produisent les brèches majeures. Un employé télécharge une base de données entière – beaucoup plus de données qu’il n’en a besoin pour effectuer une tâche spécifique – son ordinateur portable est compromis et les pirates peuvent soudain accéder à la base de données entière.
POLP fonctionne car il introduit un peu de friction dans le processus de demande de données. Le but ici est de rendre la bonne décision facile et la mauvaise décision plus difficile, afin que chacun soit intentionnel quant à l’utilisation de ses données. La manière dont une entreprise y parviendra variera en fonction de son modèle commercial et de son stade de croissance. Une option consiste à n’avoir qu’une seule base de données avec une couche supplémentaire d’infrastructure qui accorde l’accès aux données via les règles POLP.
Les entreprises peuvent également intégrer ces règles dans leur logiciel CRM. Dans l’exemple que j’ai mentionné, le système n’accorderait l’accès aux données à un représentant que s’il reconnaît un cas de support client correspondant. Si un employé tente d’accéder à des données qui ne sont pas directement liées à un problème client, il rencontrera une étape de connexion supplémentaire comme l’authentification à deux facteurs.
Il n’existe pas d’approche unique; l’accès aux données devrait plutôt opérer sur un spectre. Pour une entreprise, cela peut signifier limiter l’accès aux données à un seul compte professionnel et à l’ensemble d’informations client associé. Dans une autre entreprise, un ingénieur peut avoir besoin d’accéder aux informations de plusieurs clients pour résoudre un problème de produit. Lorsque cela se produit, l’accès aux données doit être à la fois limité dans le temps et très visible, afin que les autres employés puissent voir comment les données sont utilisées. Il peut également arriver qu’un employé ait besoin d’accéder aux données dans son ensemble pour effectuer son travail, par exemple pour exécuter un rapport. Dans ce cas, les données doivent toujours être anonymisées.
La protection des données des consommateurs est une obligation morale, pas seulement légale
La puissance des processus de données axés sur la confidentialité et d’un système comme le principe du moindre privilège est que, par conception, ils guident les employés à utiliser les données dans le meilleur intérêt du client. La règle d’or devrait s’appliquer: nous devons chacun traiter les données des consommateurs de la manière dont nous aimerions que nos propres données soient utilisées. Avec les bonnes procédures fonctionnelles en place, l’infrastructure peut rendre l’accès aux données responsable intuitif.
Aucune entreprise n’a droit aux données; ils en sont chargés. Les consommateurs doivent être conscients de la façon dont leurs données sont traitées et tenir les entreprises responsables. Des règlements comme l’ACCP facilitent la tâche, mais les entreprises doivent respecter leur engagement.
La confiance, pas les données, est aujourd’hui la monnaie la plus précieuse pour les entreprises. Mais les pratiques actuelles en matière de données ne font rien pour gagner cette confiance et nous ne pouvons pas compter sur la seule réglementation pour changer cela. Seules les pratiques conçues dans le respect de la confidentialité et de la transparence peuvent restaurer la confiance des clients et protéger les données personnelles.
