Cinq façons pour les plateformes technologiques de protéger les données privées
Les données sont l'élément vital de nombreuses entreprises, mais non protégées, elles peuvent faire plus de mal que de bien. Alors que la confidentialité des données fait l'objet d'une attention accrue, voici les outils et les pratiques pour renforcer la confidentialité et la sécurité des données.
Alors que les données privées deviennent plus importantes que jamais, elles sont aussi plus difficiles à protéger. Les pirates utilisent l'IA pour s'introduire plus rapidement et plus efficacement dans les systèmes informatiques, et les entreprises doivent renforcer leur sécurité pour ne pas devenir leur prochaine victime. Dans le même temps, les réglementations évoluent rapidement, plaçant la barre de la conformité toujours plus haut.
Dans ce contexte, les dirigeants d'entreprise déclarent que la sécurité et la confidentialité sont les principaux risques liés à l'utilisation de l'IA et du Machine Learning (ML) dans leur entreprise, selon le rapport C-Suite Global AI Indicator Report de Workday. Pour maîtriser ces risques tout en tirant parti de l'IA, les DSI ont besoin d'une technologie plus performante sur tous les fronts.
En plus de faciliter l'organisation et l'analyse des données, les plateformes technologiques peuvent aider les entreprises à garder une longueur d'avance sur les cybermenaces et les règles en matière de protection de la vie privée. Avec les bons outils Cloud, les équipes IT peuvent intégrer en amont la protection de la vie privée dans les systèmes, plutôt que de réagir après-coup face aux nouveaux risques et nouvelles réglementations.
Voici cinq façons dont les plateformes technologiques peuvent aider les entreprises à répondre aux nouveaux besoins en matière de protection de la vie privée en ces temps incertains.
La collecte de données sur les utilisateurs présente d'innombrables avantages, mais aussi de gros risques. Non seulement la plupart des juridictions appliquent des règles strictes quant à la manière dont les données privées peuvent être collectées et utilisées (règles appelées à se renforcer avec l'utilisation accrue de l'IA et du Machine Learning), mais elles exigent également des entreprises qu'elles décrivent clairement aux utilisateurs ce qu'elles prévoient de faire avec ces données.
« Ces dernières années, certaines entreprises se sont vues infliger des amendes de plusieurs millions de dollars pour n'avoir pas respecté les exigences en matière de transparence et de diffusion des informations », rappelle Patricia O'Gara, Senior Principal, Data & Privacy Engineering chez Workday.
Une transparence totale est nécessaire pour permettre aux utilisateurs finaux de décider en connaissance de cause du type d'autorisations qu'ils souhaitent accorder à une entreprise. Mais il peut être difficile de fournir les informations légales dont ils ont besoin d'une manière accessible.
Seulement 34 % des personnes interrogées dans le cadre d'une enquête mondiale sur la protection de la vie privée ont déclaré avoir procédé à un mappage de données et comprendre les pratiques de leur entreprise en matière de données.
Avec la bonne plateforme technologique, les entreprises peuvent constamment communiquer les informations sur la protection de la vie privée : sur une page d'accueil, dans un pied de page ou dans un tableau de bord central consulté fréquemment par les utilisateurs. Quelle que soit la manière utilisée, des liens clairs vers les avis de confidentialité, qui peuvent être mis à jour si nécessaire, permettent aux utilisateurs d'accéder aux informations requises d'un simple clic.
La plupart des lois sur la protection de la vie privée partent du principe que les individus doivent avoir le contrôle de leurs données. Malgré l'évolution continue des exigences, les entreprises proactives peuvent garder une longueur d'avance en laissant les utilisateurs décider quelles données peuvent être utilisées et à quelles fins.
Par exemple, une entreprise peut vouloir suivre des mesures sur les utilisateurs de son site Web à l'aide d'un logiciel d'analyse. Elle peut ainsi personnaliser le marketing, les messages axés sur la carrière ou les offres futures, à condition que les utilisateurs acceptent de partager ce type de données via des bannières de cookies.
« Il s'agit en fait de savoir quelles sont les données utilisées en entrée, quel est le résultat du Machine Learning, comment nous évaluons les biais et comment notre propre modèle de Machine Learning est entraîné. »
Sabine Hagege
Director, HCM Product Strategy, Workday
Cependant, il ne s'agit là que d'une pièce du puzzle. Les utilisateurs doivent également pouvoir contrôler la manière dont leurs données sont stockées et traitées, ce qui exige des entreprises qu'elles les informent de l'envers du décor. Par exemple, si un collaborateur demande à avoir accès à ses données personnelles, les équipes IT doivent pouvoir créer rapidement un rapport indiquant quelles sont les informations suivies par l'entreprise, qui peut y accéder et comment elles sont exploitées pour éclairer la prise de décision. Toutefois, de nombreuses entreprises ont encore des progrès à faire : seulement 34 % des personnes interrogées dans le cadre d'une enquête mondiale sur la protection de la vie privée ont déclaré avoir procédé à un mappage de données et comprendre les pratiques de leur entreprise en matière de données.
Des guides d'administration et des fiches d'information peuvent aider les entreprises à communiquer clairement sur la manière dont les données personnelles sont utilisées par les modèles de ML, en donnant aux utilisateurs le contexte dont ils ont besoin pour accorder des autorisations de manière éclairée.
« Il s'agit en fait de savoir quelles sont les données utilisées en entrée, quel est le résultat du Machine Learning, comment nous évaluons les biais et comment notre propre modèle de Machine Learning est entraîné, explique Sabine Hagege, Director, HCM Product Strategy chez Workday. Les utilisateurs ont besoin de beaucoup d'informations pour comprendre comment les données sont traitées. »
Dans de nombreuses situations, les utilisateurs n'hésiteront pas à partager certaines informations personnelles à des fins spécifiques. Les entreprises doivent alors veiller à ce que les données soient utilisées de manière appropriée. Et si une entreprise compte des clients ou des collaborateurs dans plusieurs juridictions, elle doit s'assurer que les données ne sont pas partagées avec ou recueillies depuis des régions où les lois sur la protection de la vie privée sont différentes.
Comment les DSI peuvent-ils s'y retrouver ? D'abord, avec une configuration adéquate. Les plateformes technologiques qui offrent un cadre de localisation permettent aux équipes IT de déterminer quel type d'information peut être exploité pour différentes personnes en fonction de leur identité, de leur rôle et de leur localisation.
« L'idéal est de pouvoir configurer le système en fonction de l'objectif de la collecte de données. Est-elle effectuée dans le cadre de la diversité et de l'inclusion ou celui du recueil de statistiques et de mesures ?, explique Sabine Hagege. Ensuite, pour chaque pays, utilisez la réponse à la demande de consentement pour configurer vos autres processus et contrôler la manière dont ces données sont utilisées. »
De nombreuses règles de protection de la vie privée exigent également la suppression des données personnelles qui ne sont plus nécessaires. Le consentement doit être donné pour un but et un délai précis, et les entreprises doivent ensuite effacer ou purger ces informations de manière définitive.
Pour respecter les attentes et les réglementations, chaque entreprise a besoin d'un plan de purge des données. Les DSI doivent travailler avec leurs équipes IT pour déterminer quelles données doivent être purgées et à quel moment, puis planifier des suppressions en masse à intervalles réguliers.
Mais cela ne suffit pas. Les entreprises doivent également pouvoir purger à volonté les données d'un individu, soit parce que son statut a changé, soit parce qu'il en fait la demande. Par exemple, un DSI peut vouloir que les données de chaque collaborateur licencié soient effacées immédiatement après son départ de l'entreprise. Un candidat à un emploi peut également demander la suppression de ses données s'il n'est pas embauché.
Les services IT doivent faciliter la suppression des données, sans jamais oublier que « la purge est définitive », selon Sabine Hagege : « Il est donc très important de mettre en place des contrôles et de s'assurer que toute personne autorisée à purger des données est parfaitement consciente que cette action est irréversible. »
Obtenir le consentement pour collecter et utiliser des informations privées ne rend pas ces données moins privées. Les DSI doivent en être conscients lorsqu'ils déterminent qui peut consulter quelles données, et prendre les mesures nécessaires pour préserver la confidentialité des informations sensibles.
« La sécurité contextuelle, très utile dans les multinationales, est un modèle entièrement flexible qui permet un contrôle total sur qui a accès à quoi. »
Patricia O'Gara
Senior Principal, Data & Privacy Engineering chez Workday
Certains types de données, comme les dates de naissance, les numéros d'identification nationale (comme le numéro de sécurité sociale) et les données médicales, ont une grande valeur sur le marché noir. Parce que ces types de données sont une cible privilégiée pour le vol ou l'exploitation, ils doivent être traités avec beaucoup de précautions à chaque étape.
Par exemple, lorsque les équipes IT mettent en œuvre de nouvelles fonctions ou fonctionnalités de plateforme, elles peuvent occulter les données privées pour empêcher les testeurs d'y avoir accès. Le processus d'occultation des données utilise de vraies données personnelles pour créer des jeux de données réalistes mais factices à l'intention des testeurs. Cela permet d'assurer le contrôle qualité cohérent et rigoureux nécessaire au déploiement de nouvelles technologies tout en limitant l'exposition.
Le masquage des données permet également aux entreprises de préserver la confidentialité des données privées. Par exemple, tandis qu'un responsable a besoin de connaître le salaire d'une personne, ce n'est pas le cas de tous les membres du service RH. La communication des données privées selon le principe strict du « besoin d'en connaître » peut protéger la vie privée et la sécurité des collaborateurs, tout en aidant les entreprises à respecter les diverses législations locales en matière de protection de la vie privée.
« Il s'agit d'une sécurité contextuelle, très utile dans les multinationales, indique Patricia O'Gara. C'est un modèle entièrement flexible qui permet un contrôle total sur qui a accès à quoi. »
En lire plus
Résoudre l'équation de la confiance : l'IA responsable dans la région EMEA
Ce numéro explore l'importance de la confiance dans l'adoption de l'IA et présente les points de vue des leaders IT de la région EMEA, des analyses d'experts sur les défis liés à la confiance, et des stratégies pour un déploiement responsable de l'IA. Découvrez comment renforcer la confiance et réussir votre transformation digitale.
À l'ère de l'IA, les dirigeants doivent instaurer la confiance. Mais comment ?
Avec la grande incertitude entourant l'IA, les équipes de sécurité et de gouvernance évoluent dans un environnement en perpétuel changement. Mais une chose est sûre : la confiance n'a jamais été aussi importante.
Points de vue d'experts sur l'avenir de l'IA dans les entreprises et la société
Découvrez l'avis d'experts sur l'avenir de l'IA réunis lors de Workday Rising EMEA l'année dernière. Profitez des insights du docteur Tomas Chamorro-Premuzic et de bien d'autres.