Confidentialité des données : Votre guide absolu sur l’importance de la protection des données, les réglementations et bien plus encore

17-04-2024 | 11 lecture minimale | Conformité au RGPD, SAP Information Lifecycle Management

Le nouveau slogan du secteur est « les données sont le nouveau pétrole », et c’est tout à fait logique, car elles alimentent un nombre croissant d’entreprises. Avec l’augmentation des volumes de données, les organisations collectent elles aussi rapidement des données sur leurs utilisateurs. En effet, on dit que 90 % des données utilisées aujourd’hui ont été créées au cours des deux dernières années.

Grâce aux données, les organisations bénéficient d’une meilleure connaissance des clients, de nouvelles opportunités de création de valeur, et bien plus encore. En conséquence, les personnes reçoivent des résultats plus personnalisés lors de leurs recherches, ce qui se traduit par un résultat final satisfaisant tant pour les utilisateurs que pour les entreprises. Cependant, parmi tous les avantages significatifs et l’importance des données, un sujet qui revient souvent sous les feux de la rampe est celui de la confidentialité des données.

La confidentialité des données est de la plus haute importance dans le paysage actuel, tant pour les entreprises que pour les consommateurs, afin de s’assurer que les données ne sont pas stockées de manière illégale. En réalité, la principale raison d’être de la protection des données est la protection des données de chacun, en tant qu’individu, en tant qu’employé et en tant que client. Cela dit, l’émergence de cybermenaces multiples et fréquentes renforce également l’argument.

Étant donné que de nombreuses informations privées sont stockées en ligne, dans les bases de données de l’organisation, etc., une violation de données peut avoir de graves conséquences pour les entreprises et leurs clients.

D’une manière générale, le traitement des informations personnelles cruciales, également appelées « informations personnelles identifiables » (PII) et « informations personnelles sur la santé » (PHI), renvoie à la définition simple de la confidentialité des données. Ces informations comprennent vos numéros de sécurité sociale, vos informations financières, vos dossiers médicaux, etc.

Cependant, si nous devions définir la protection des données et la vie privée dans le contexte de l’entreprise, cela irait pratiquement au-delà des IIP et IPS des employés et des clients. Il y a les données de l’entreprise, les stratégies commerciales, les accords confidentiels et bien d’autres choses encore. Il s’agit de toutes les informations qui permettent aux organisations de fonctionner sans heurts.

Avant d’aborder l’importance de la confidentialité des données, permettez-moi de vous donner un aperçu de l’identité des personnes qui stockent vos données et de l’endroit où elles sont stockées.

Tout d’abord, les autorités réglementaires et légales traitent vos données. Prenons l’exemple du système judiciaire : vous ne pouvez pas vous rendre au palais de justice ou déposer une déclaration de sinistre sans révéler votre identité, car il n’est pas pratique d’intenter une action de manière anonyme. De même, pour l’électricité, les soins de santé, les voyages et même votre éducation de base, les autorités ont besoin de vos données, car vous ne pouvez rien faire de tout cela sans révéler des informations vous concernant. Bien que le gouvernement dispose d’un grand nombre de données personnelles, il ne porte pas atteinte à votre vie privée plus que nécessaire, c’est-à-dire qu’il ne stocke que les données nécessaires.

Il y a quelques années, il était beaucoup plus facile de se rendre dans un magasin de détail pour acheter une robe : vous achetiez, vous payiez et vous restiez étrangère au vendeur. Aujourd’hui, avec la possibilité de payer ou même d’acheter par voie électronique, les entreprises, en général, ont accès à vos informations privées. En fait, tout ce que nous faisons ou cherchons en ligne laisse une empreinte de données. Et honnêtement, nous avons très peu de contrôle sur l’empreinte numérique collectée. Bien qu’il existe des politiques de protection de la vie privée et que les sites demandent notre consentement pour stocker nos données, savons-nous vraiment si les sites respectent ce qu’ils disent dans ces documents ?

Dans l’ensemble, les gouvernements et les organisations respectent leur politique et ne conservent que les informations nécessaires sur les clients. Mais si des esprits malveillants comme ceux des cybercriminels lancent une cyberattaque, nos informations personnelles sont menacées. C’est pourquoi il est extrêmement important de disposer d’une législation solide en matière de confidentialité des données.

Parmi toutes les raisons qui justifient l’importance de la protection de vos données, voici les plus importantes.

En tant qu’organisations traitant d’énormes quantités de données, dont une grande partie contient des informations personnelles sur nos clients. Les protéger devient une priorité et c’est là que la confidentialité des données entre en jeu. Il protège les informations contre tout accès non autorisé, garantissant ainsi la sécurité des données sensibles et confidentielles. En protégeant et en conservant le contrôle des données, les organisations peuvent atténuer les risques globaux d’usurpation d’identité, de fraude et d’autres activités malveillantes.

Il existe aujourd’hui plusieurs lois et règlements sur la confidentialité des données, comme le Règlement général sur la protection des données (RGPD) dans l’UE, le California Consumer Privacy Act (CCPA) en Californie, le Digital Personal Data Protection Act, of 2023 en Inde, la Loi 25 au Québec (Canada), etc. Ces lois et règlements obligent les organisations à mettre en œuvre des mesures qui protègent les droits de leurs clients et des individus en matière de protection des données. Le respect de ces lois sur la protection des données et de la vie privée permet aux organisations d’éviter de lourdes amendes, des répercussions juridiques et des atteintes à leur réputation.

Les organisations qui traitent des données doivent, par défaut, s’assurer que les clients ont donné leur consentement à la collecte de leurs données, à leur utilisation et à leur partage. Par conséquent, la confidentialité des données est une responsabilité éthique pour les organisations. En effet, en adhérant à des pratiques éthiques en matière de protection des données, les organisations renforcent leur engagement à respecter les droits de chacun tout en promouvant la transparence dans leurs opérations commerciales.

Par conséquent, la mise en place de pratiques éthiques en matière de protection des données permet également d’établir la confiance entre les clients (particuliers) et les organisations. En accordant la priorité à la protection des données et de la vie privée et en démontrant leur allégeance, les organisations se forgent une réputation d’intégrité et de fiabilité auprès de leur clientèle. Elle favorise donc la confiance, ce qui permet d’établir des relations beaucoup plus solides et durables.

La protection des données aide les individus à garder le contrôle de leurs informations personnelles, en leur permettant de décider de la manière dont les données sont collectées, utilisées et partagées. En outre, cela respecte l’autonomie de la personne et garantit que les informations et les données fournies ne sont pas exploitées ou utilisées à mauvais escient sans son consentement.

Vous seriez surpris d’apprendre que la confidentialité des données ne consiste pas seulement à les protéger, mais aussi à alimenter l’innovation. Vous vous demandez comment ? Lorsque votre clientèle ou les particuliers sont convaincus que leurs données seront traitées de manière responsable, il y a plus de chances qu’ils partagent volontiers leurs informations. Il est intéressant de noter que les organisations peuvent être utilisées pour obtenir des informations précieuses, ce qui permet de personnaliser les expériences, de faire progresser la recherche et le développement, etc.

Pensez-vous également que la protection des données et la sécurité des données sont identiques ? Si oui, démystifions ce mythe.

La sécurité des données consiste à protéger les données contre les accès non autorisés, les attaques malveillantes, le vol, etc. Il s’accompagne d’un ensemble d’outils, de procédures et de politiques, tels que le cryptage, la surveillance du réseau, la gestion des mots de passe, etc. Ces politiques permettent de protéger les données contre les cyberattaques, qui peuvent être externes ou internes. Globalement, la sécurité des données relève de la cybersécurité.

D’autre part, la confidentialité des données fait référence au traitement des données sensibles, qui comprennent les informations personnelles. Des lois relatives à l’utilisation des données personnelles et à la manière dont elles peuvent être collectées et partagées sont ainsi mises en place. Globalement, la protection des données et de la vie privée concerne l’utilisation éthique et responsable des données.

La technologie et l’internet sont devenus des éléments indissociables de notre vie – professionnelle ou autre. C’est pourquoi les gouvernements du monde entier ont élaboré et adopté des lois sur la confidentialité des données afin de réglementer l’utilisation des données par les organisations. Voici quelques réglementations importantes en matière de confidentialité des données que vous devez connaître –

Entré en vigueur le 25 mai 2018, le règlement général sur la protection des données (RGPD) contribue à réglementer les lois relatives à la protection des données et à la vie privée dans tous les pays membres de l’UE. Le règlement général sur la protection des données est une loi complète sur la protection des données, qui définit un cadre pour la collecte, le traitement, le stockage et le transfert des données à caractère personnel.

Si le GDPR confère plusieurs droits aux individus concernant leurs données, il prévoit des amendes et des sanctions pour les entreprises qui ne se conforment pas aux exigences de la loi. Le règlement général sur la protection des données a été conçu pour renforcer la protection et les droits des personnes qui consentent à ce que des organisations collectent leurs données. En outre, ce règlement sur la protection des données décrit la manière dont les données privées de tout utilisateur doivent être collectées, triées et utilisées, ainsi que les limites qui s’imposent.

Le fait est que le GDPR est l’une des lois les plus complètes en matière de protection des données élaborées au cours de la dernière décennie. Elle a harmonisé les réglementations en matière de protection des données dans tous les pays membres de l’UE. En outre, elle a également étendu le champ d’application aux organisations non européennes si des données personnelles sont traitées et collectées au sein de l’Union européenne. Cela dit, le règlement général sur la protection des données s’applique également à toute organisation qui offre des services dans l’UE, quel que soit son lieu d’implantation.

La loi californienne de 2018 sur la protection de la vie privée des consommateurs, également connue sous le nom de CCPA, permet aux consommateurs d’avoir davantage de contrôle sur les informations personnelles collectées par les entreprises. Elle est considérée comme une loi historique, garantissant aux consommateurs californiens de nouveaux droits en matière de protection de la vie privée. La loi comprend également –

  • Le droit des consommateurs à savoir comment les informations collectées à leur sujet sont utilisées et partagées par les entreprises.
  • Le droit de supprimer les informations personnelles collectées, à quelques exceptions près.
  • Le droit de refuser le partage de leurs données personnelles
  • Le droit des consommateurs à la non-discrimination dans l’exercice de leurs droits au titre de la CCPA.

Cela dit, en novembre 2020, la proposition 24, l’ACPR, a été approuvée et a modifié l’ACCP. Elle a ajouté quelques réglementations supplémentaires en matière de protection des données à caractère personnel, qui entreront en vigueur le 1er janvier 2023.

  • Droit des consommateurs de rectifier les inexactitudes dans les informations personnelles qu’une entreprise détient à leur sujet
  • Le droit de limiter l’utilisation et la divulgation d’informations personnelles sensibles.

Connue auparavant sous le nom de projet de loi 64, la loi 25 (ou loi 25) au Québec, Canada, est un acte législatif qui vise à réorganiser la réglementation en matière de protection des données et de la vie privée. Présentée par le gouvernement provincial en juin 2020, la loi 25 a été officiellement adoptée en septembre 2021.

La loi 25 comprend une série de nouvelles exigences auxquelles les entreprises québécoises doivent se conformer ; ces exigences sont entrées en vigueur au cours de sa période de trois ans, à compter de 2022. La loi prévoit des droits plus solides en matière de protection de la vie privée pour les individus et plusieurs exigences pour les contrôleurs, comme la révision des politiques de protection de la vie privée, l’évaluation des risques et les notifications en cas de violation des données.

La loi indienne sur la protection des données personnelles numériques (Digital Personal Data Protection Act ou DPDP), adoptée en août 2023, est une loi qui permet de contrôler la collecte, l’utilisation, le stockage et le partage des données personnelles dans le pays. La loi vise à trouver un équilibre entre la protection de la vie privée des personnes et la possibilité pour les entreprises d’utiliser les informations à des fins légitimes. Quelques aspects clés de la loi sur le DPDP en Inde sont notamment les suivants

  • Utilisation légale de l’information
  • Sécurité des données
  • Droits des consommateurs sur leurs informations
  • Transfert et stockage des données à caractère personnel.

Nous aborderons en détail le GDPR, le CCPA, le DPDP et la Loi 25 dans nos prochains blogs !

Les données personnelles sont partout – vous regardez les dossiers RH, dispersés dans plusieurs modules de SAP, dans de multiples documents et tableaux, dans le CRM de l’organisation, etc. Cela dit, les données à caractère personnel se trouvent également dans toutes sortes de documents tels que les factures, les fiches de paie, les courriers électroniques, les contrats, etc. et ne peuvent être conservées dans le système SAP sans raison d’être. Dans l’état actuel des choses, l’application de la confidentialité des données dans les systèmes SAP est une tâche difficile.

D’une manière générale, les étapes suivantes peuvent être suivies –

  • La première étape consiste à identifier l’endroit où les données personnelles sont stockées.
  • Deuxièmement, définissez des règles pour la conservation, le verrouillage et la suppression des données après des périodes définies. La période de conservation est déterminée en fonction de la finalité pour laquelle les données personnelles ont été collectées, par exemple la gestion des commandes, la gestion des factures, la gestion des applications, etc.
  • Une fois cet objectif atteint, les données personnelles doivent être archivées, supprimées ou anonymisées.

Gardez à l’esprit qu’il n’existe pas de solution unique pour traiter les demandes relatives au GDPR et à la confidentialité des données dans SAP, mais une combinaison d’outils. La principale solution fournie par SAP est SAP Information Lifecycle Management ou SAP ILM, qui permet aux utilisateurs SAP de définir des politiques de conservation des données et de destruction à la fin de la période de conservation. D’autres outils fournis par les partenaires SAP, comme le Cockpit des sessions d’archivage de TJC Group, permettent d’automatiser ce processus.

À l’avenir, la confidentialité des données sera un sujet encore plus brûlant qu’aujourd’hui. Nous sommes entourés de caméras de reconnaissance faciale, de haut-parleurs intelligents qui écoutent nos conversations, de moniteurs de santé portables et d’autres gadgets collectant des données. Il devient donc impératif de prendre des mesures appropriées pour assurer la protection de nos données, que ce soit à titre individuel ou en tant qu’entreprise. Pour les entreprises, en particulier celles qui opèrent ou offrent des services dans l’UE, le meilleur moyen de garantir la conformité au GDPR ou à la législation est de définir des règles de conservation des données à l’aide de solutions fournies gratuitement par SAP lorsqu’elles sont utilisées pour se conformer aux lois sur la confidentialité des données. SAP ILM va au-delà de l’archivage standard des données tout en essayant d’atteindre un bon équilibre entre le coût total de possession (TCO), le risque et la conformité légale. Il s’accompagne d’un ensemble de politiques, de processus, de pratiques et d’outils nécessaires pour aligner la valeur commerciale de l’information sur l’infrastructure la plus appropriée et la plus rentable.

Assurer la conformité des données tout en respectant les exigences légales et fiscales au cours du processus d’archivage peut s’avérer difficile. Dans ces moments-là, vous avez besoin d’experts qui vous enlèvent les épines du pied et vous simplifient la tâche.

Le groupe TJC est cet expert pour vous. Grâce à notre processus SAP ILM éprouvé et à notre diligence raisonnable, les organisations peuvent pousser un soupir de soulagement car elles peuvent montrer aux régulateurs la preuve d’une portée de projet claire et d’une méthodologie éprouvée, le tout de manière entièrement automatisée.

Contactez-nous pour apprendre et mettre en œuvre SAP ILM et garantir la conformité avec les lois sur la protection des données et de la vie privée.


Auteur_ PP+LP