Aujourd’hui, pour développer leurs activités, les entreprises s’appuient plus que jamais sur la data et la technologie. Mais lorsqu’il s’agit de protection des données, rester conforme dans un contexte juridique qui évolue en permanence peut constituer un défi en soi. On compte pas moins de 80 lois sur la protection des données dans différents pays. Les compétences de certaines juridictions s’étendent parfois sur plusieurs continents et se chevauchent alors bien souvent.
Dans un contexte de globalisation accrue du commerce, les entreprises en plein essor se heurtent souvent au même casse-tête. Au fur et à mesure que leur entreprise se développe, elles peinent à gérer l’afflux de données clients. Elles ont également du mal à respecter les réglementations sur la protection des données personnelles dans les différents pays où elles opèrent.
L’une des règles de base en cybersécurité consiste à revoir régulièrement ses politiques de sécurité et de conformité. Les entreprises doivent donc rechercher des façons innovantes pour exploiter les technologies les plus récentes. Aujourd’hui, elles entrevoient la façon dont l’automatisation peut transformer leur marketing et stimuler leurs ventes. Sur le volet de la protection des données et de la conformité juridique, l’automatisation a également toute sa place. Dans cet article, nous évoquerons les difficultés associées à la protection des données personnelles à l’ère du Big Data et la façon dont l’automatisation peut aider les entreprises à se protéger.
Risques et avantages de la collecte de données
Si la collecte de données sur les clients permet de mettre en place des campagnes marketing à la fois très ciblées et lucratives, cela ne va pas sans comporter de gros risques. Les sites e-commerce ont l’habitude de tracer le comportement des utilisateurs sur leur site web et de leur adresser ensuite des recommandations adaptées.
L’exploitation des données utilisateur leur permet d’afficher une fenêtre contextuelle lorsqu’un visiteur s’apprête à quitter une page sans rien acheter. Il s’avère que ces fenêtres pop-up augmentent les ventes de 20 %, voire plus, réduisent les abandons de panier et aident les entreprises à mieux cerner le comportement des utilisateurs sur leur site.
Malgré ses atouts pour le marketing et les ventes, la collecte de données sur les clients représente une violation de données latente. Depuis les équipes de vente jusqu’aux départements RH, les entreprises détiennent une masse de données privées extrêmement sensiblesqui sont utilisées pour alimenter l’intelligence artificielle (IA), et qu’elles exploitent pour le marketing, le recrutement, etc.
Prenons maintenant l’exemple de la publicité programmatique, ou publication automatisée d’annonces publicitaires. Aujourd’hui, c’est l’une des méthodes les plus couramment employées par les entreprises en ligne pour recruter. La méthode s’appuie sur des algorithmes pour récolter des données personnelles dans un objectif de précision et d’efficacité. Depuis l’évaluation de la personnalité des candidats jusqu’à l’atténuation des risques employés, le champ d’application des algorithmes est vaste, et la protection des données pèse de plus en plus lourd.
De plus, la pandémie nous a montré à quel point le maintien de solides protections de la vie privée et la mise en place de mesures de cybersécurité fortes pour les télétravailleurs étaient compliqués. C’est sans doute ce qui explique l’envolée hors de contrôle des coûts pour mettre en œuvre la conformité des données.
Un standard mondial pour la protection des données ?
Les défis que pose la protection des données personnelles tiennent également au fait qu’il est peu probable que les gouvernements du monde entier s’entendent un jour sur une norme mondiale en la matière. Les entreprises doivent donc être préparées pour fonctionner dans plusieurs cadres différents, et pouvoir s’adapter rapidement en fonction de l’évolution des circonstances.
Dans le monde, le règlement général sur la protection des données (RGPD) dans l’Union européenne et la loi californienne sur la confidentialité des données (California Data Privacy Law) figurent au rang des standards de référence. Malgré la pléthore d’informations techniques et de spécifications précises, ces textes comportent peu d’éléments exploitables et de conseils pratiques pour se mettre en conformité.
D’où notre conseil aux chefs d’entreprises : lorsque vous créez un blog ou un site web, vous devez vous conformer aux lois sur la protection des données personnelles en vigueur dans chacun des pays où vous opérez. Vous devez informer vos utilisateurs de la manière dont vous collectez et utilisez leurs données, conformément à la réglementation.
Malheureusement, ces exigences réglementaires sont si contraignantes que de grands quotidiens aussi respectés que le Los Angeles Times et le Chicago Tribune ont cessé de rendre leur contenu disponible en Europe. Ils n’étaient en effet pas en mesure de faire face à ce changement soudain de réglementation. De nombreuses autres entreprises, notamment les éditeurs de jeux vidéo en ligne, ont mis un coup d’arrêt complet à leurs activités en Europe à cause du RGPD.
Sans programme de protection des données personnelles agile et adaptable, les entreprises auront du mal à s’adapter à l’inflation des législations sur la confidentialité des données. Les processus métier basés sur l’apprentissage automatique et les procédures de protection des données personnelles pourraient jouer un rôle clé pour renforcer la confiance des clients. Ils pourraient aussi contribuer à limiter les dommages en cas de violation des données et assurer la conformité juridique internationale.
Automatiser la protection des données et la mise en conformité
Comment les entreprises peuvent-elles s’assurer que leurs données restent privées et conformes à la réglementation ? L’enjeu est de taille, et il y a plusieurs façons de l’aborder.
Segmentation des données
Tout d’abord, il est possible de créer des algorithmes automatisés pour séparer les informations en fonction du propriétaire légitime des données, avant de les classer en fonction des attributs ou du contenu des données. Ensuite, pour aller plus loin, on peut distinguer les utilisations possibles de ces données et déterminer si l’une de leurs fonctions pourrait être ciblée par des hackers.
Protection des mots de passe
Autre application de l’automatisation à la protection des données : la gestion des identifiants de connexion. Les mots de passe faibles représentent aujourd’hui l’une des plus grandes vulnérabilités pour les entreprises en ligne. C’est aussi l’un des risques les plus faciles à prévenir.
Il faut tout d’abord inciter les employés à changer régulièrement leurs mots de passe. L’automatisation des rappels et des verrouillages en cas de manquement permet de prévenir bien des vulnérabilités liées aux mots de passe. Quant à la double authentification ou l’authentification multifacteurs (MFA), elles peuvent aussi empêcher des pirates informatiques d’accéder aux systèmes et informations de l’entreprise. Enfin, avec une solution de PKI gérée, les équipes IT pourront conserver une visibilité et un contrôle sur leurs certificats numériques. Elles assureront ainsi la sécurité, tout en s’efforçant de limiter le nombre d’interruptions de service et les ruptures de disponibilité.
Gestion des tiers
Si une entreprise collecte des données personnelles, il lui appartient de veiller au respect de la dignité des données clients. Cette responsabilité s’applique non seulement dans le cadre de ses activités, mais aussi sur les systèmes de données de ses fournisseurs de services et de ses partenaires. Bien souvent, les vendeurs et les tiers représentent le maillon faible qui permet aux pirates de s’engouffrer dans votre entreprise. Or, l’absence de pratiques efficaces de gestion des politiques et des fournisseurs constitue un terreau fertile pour les failles de sécurité.
Globalement, pour réduire leurs coûts et renforcer l’efficacité de leurs mesures de protection des données, les entreprises doivent apprivoiser l’automatisation de bout en bout, en s’appuyant sur une gestion et un contrôle rigoureux des données. Demandes de chiffrement, suppression des données et demandes d’exercice de droits sur les données doivent ainsi être automatisées. Quant aux standards de protection des données personnelles, ils doivent être les plus stricts possibles chez leurs employés, leurs clients et leurs fournisseurs.
Conclusion
Les problèmes d’aujourd’hui exigent des solutions technologiques de pointe. Or, parallèlement aux progrès de la technologie, les législations sur la protection des données personnelles s’étoffent et évoluent. Chaque jour, on voit apparaître de nouvelles réglementations et de nouvelles menaces. Dans ce contexte, les entreprises vont avoir cruellement besoin de solutions de gestion des données et des identités à la fois flexibles et automatisées.
Note : Cet article de blog a été écrit par un contributeur invité dans le but d’offrir une plus grande variété de contenus à nos lecteurs. Les opinions qui y sont exprimées sont uniquement celles de l’auteur et ne reflètent pas nécessairement la position de GlobalSign.