Autonomie des données : garder un contrôle total et une pleine autorité sur les informations

Le concept d’autonomie permet de décider des modalités d’utilisation des données, de leur lieu de stockage, des personnes autorisées à les consulter, et du mode d’application et de révision des politiques.

Ce concept est fréquemment confondu avec celui de souveraineté des données dont on parle souvent. La souveraineté des données repose sur le principe que les données ne doivent pas sortir des frontières géographiques d’une région ou d’un pays. Elles sont dès lors assujetties aux lois et obligations en vigueur dans la juridiction concernée, laquelle fait figure d’autorité suprême. Ces deux notions se recoupent quelque peu, mais l’une est en fait un préalable à l’autre.

L’autonomie des données est essentielle au respect des exigences de souveraineté des données. Alors, comment atteindre une telle autonomie et identifier un fournisseur digne de confiance ?
• La première étape passe par des pratiques professionnelles rigoureuses (déclarations d’intention, traitement des réclamations, usage futur des données, etc.). En soi, l’exercice est assez simple. Les entreprises doivent élaborer des politiques et employer un personnel possédant l’expertise nécessaire à la mise en route du processus. Il s’agit d’une question de ressources humaines qui peut théoriquement être résolue en quelques semaines.
• La seconde étape est en revanche beaucoup plus complexe, car elle requiert la refonte de l’architecture de l’entreprise, une opération qui peut prendre des années. L’objectif est de garantir l’autonomie des données d’un point de vue technique. Il convient à cet effet d’intégrer le principe de confidentialité dès la conception des structures de données, des applications, du stockage, des cas d’utilisation et autres formes d’interaction avec les données.

Le concept de « sécurité dès la conception »

La « sécurité dès la conception » ou « security-by-design » est ancrée dans l’esprit des ingénieurs logiciels depuis des décennies. Cette approche met en avant la sécurité dès le début du cycle de développement de logiciels. Les logiciels sont codés au plus près de la source à l’aide d’une cryptographie robuste, tandis que des mesures sont appliquées pour satisfaire aux normes d’authentification, de disponibilité et d’autorisation. Des procédures assurent en outre le maintien de cette sécurité, notamment par des audits réguliers permettant de remédier aux vulnérabilités via l’application de mises à jour et de correctifs. De la même manière, la confidentialité dès la conception intègre d’emblée la protection des données. À cet égard, tenir compte de l’autonomie et de la souveraineté des données de chacun revêt une importance capitale.
L’idée est d’être proactif, d’anticiper les mauvaises mises en œuvre et de s’améliorer en permanence afin de respecter, voire dépasser, les normes énoncées dans les clauses contractuelles types (CCT). Une telle entreprise peut prendre des années, mais repousser l’inévitable ne fera que compliquer les choses par la suite. Renoncer à intégrer la confidentialité, c’est s’exposer à une dégradation des performances, des problèmes de disponibilité, des réclamations difficiles à vérifier et, par conséquent, des amendes potentiellement élevées.
Une fois le traitement des données évalué en interne, les entreprises doivent s’interroger sur la façon dont les données de leurs collaborateurs, partenaires et clients sont gérées par les entreprises tierces.

Transparence et visibilité, deux critères clés à prendre en considération
Pour distinguer les fournisseurs dignes de confiance des autres, transparence et visibilité sont indispensables. Les fournisseurs sont tenus de documenter leur position actuelle vis-à-vis des politiques de confidentialité et d’indiquer comment ils adapteront leurs pratiques afin de se conformer aux CCT. Cela nécessite un plan par étapes, avec une définition claire des responsabilités. Certains fournisseurs inventeront des excuses. Ils prétendront, par exemple, que la compilation des données est requise pour le Big Data et le machine learning, ce qui est faux. Ils pourront même aller jusqu’à redéfinir entièrement la notion de données. Dans les deux cas, les entreprises doivent être prudentes face à ces signes avant-coureurs.

Même si un nouveau Privacy Shield amélioré est élaboré, il n’en reste pas moins que les quantités de données actuellement collectées sont colossales et iront crescendo. Nous devons trouver un moyen plus viable de protéger ces informations pour nous assurer qu’elles servent au mieux les intérêts des personnes et non les desseins inavoués des entreprises. Accéder à ces données et interagir avec elles est un privilège. Le moins que nous puissions faire est de mettre en œuvre une approche de « confidentialité dès la conception » dans chaque aspect de leur traitement.