Trop de politiques de confidentialité d’entreprises promettent au consommateur que la protection de sa vie privée est la priorité. Cela relève souvent de la déclaration d’intention non suivie d’effet, ou pire, d’une stratégie de communication. Florence Bonnet, Présidente de CIL Consulting préconise d’adopter le « privacy by design », ou protection de la vie privée intégrée, dans laquelle tout le monde est gagnant.
Dans un contexte de « datafication[1] », alors que le mot d’ordre des services marketing est à l’« ATAWAD[2] », l’individu est tiraillé entre l’envie de profiter des services qu’on lui propose et la peur d’une utilisation abusive et dommageable des informations le concernant. Or, la confiance est un des facteurs clé de la croissance de l’économie numérique.
Privacy by design
Le « Privacy by design[3] » s’emploie à répondre à ce besoin en traduisant un engagement responsable des entreprises. Ce concept a été développé à partir des années 90 par la Commissaire à la protection de la vie privée de l’Ontario, au Canada, Ann Cavoukian[4].
Cette approche considère que la question de la protection de la vie privée et des libertés est suffisamment importante pour être prise en compte dès le premier stade de développement des systèmes et des technologies de l’information et de la communication et tout au long de leur cycle de vie.
Protection des données intégrée
Désormais le « Privacy by design » ou la « Data protection by design[5] » sont à l’ordre du jour des législateurs et des régulateurs. « La protection des données intégrée[6] » sera ainsi inscrite dans le futur règlement européen dont l’adoption est annoncée courant 2015.
De leur côté, les commissaires à la protection de la vie privée des différents pays européens réunis lors de la 36ème conférence internationale ont déclaré que cette démarche constituait « un argument de vente clé pour les technologies innovantes[7] ».
Réguler les NTIC
Mais face à la dispersion des données personnelles sur le Web, la protection de la vie privée et des libertés, n’est-elle pas une guerre perdue d’avance ? Non, bien au contraire et pour cela, le « privacy by design » doit faire partie intégrante du processus de régulation des NTIC[1] que sont le mobile, les big data, le cloud ou l’internet des objets.
La fixation de règles et d’obligations par des lois nationales n’est plus adaptée à notre monde hyper connecté et globalisé. Le processus législatif, trop lent, aboutit à des lois contre-productives parce qu’aussitôt dépassées par les technologies innovantes dont les évolutions restent pour partie imprévisibles.
Co-régulation
Dès lors, les acteurs du marché doivent être associés à l’édiction des règles et s’impliquer dans leur mise en œuvre selon un processus de co-régulation. Il peut s’agir du développement d’outils contraignants tels que des normes, des codes de conduite ou des schémas de certifications ayant notamment pour exigence le « Privacy by design ». La CNIL[2] s’est d’ailleurs largement engagée sur ce terrain au travers notamment de l’édition de « packs de conformité » réalisé en concertation avec les professionnels des secteurs concernés.
Concrètement, en quoi consiste le « Privacy by design » ? La « protection de la vie privée intégrée » est une démarche documentée et proactive. Sa mise en œuvre fait suite à une analyse des risques d’impact sur la vie privée et sur les libertés liés à un traitement de données personnelles. C’est aussi une démarche centrée sur l’utilisateur et sur la maîtrise qu’il doit avoir des données le concernant.
Limiter la collecte
Ainsi et à titre d’exemple, dans le cadre des « Big data » et de l’internet des objets, il s’agit par défaut de minimiser la collecte de données personnelles et d’en limiter la durée de conservation, de garantir la transparence concernant l’utilisation et la divulgation de ces données.
Cela consiste aussi à implémenter des mesures de sécurité par défaut. Par exemple, en mettant en place la traçabilité des accès et des flux, des pseudonymes, du chiffrement, l’anonymisation et en contrôlant la pertinence des algorithmes d’analyse.
Une stratégie « gagnant-gagnant »
En s’engageant dans une démarche de « Privacy by design », les entreprises bénéficieront d’un avantage concurrentiel et différenciant. C’est une stratégie qui se veut « gagnant-gagnant » tant pour les entreprises que pour les utilisateurs finaux. Il n’y aura pas d’adoption massive des nouvelles technologies sans climat de confiance. Si la protection des données des utilisateurs est une priorité de l’entreprise, voici donc l’occasion de le démontrer.
Références
[1] Nouvelles technologies de l’information et des communications
[2] Commission nationale informatique et libertés
[1] http://www.foreignaffairs.com/articles/139104/kenneth-neil-cukier-and-viktor-mayer-schoenberger/the-rise-of-big-data
[2] Any Time, AnyWhere, Any Device
[3] « vie privée intégrée »
[4] Ann Cavoukian était commissaire à la protection de l’information et de la vie privée de l’Ontario http://www.viepriveeintegree.ca/
[5] « protection des données intégrée »
[6] Projet de règlement UE de protection des données, article 23
[7] 36ème conférence internationale des commissaires à la protection de la vie privée, résolutions sur l’internet des objets et les Big data http://www.privacyconference2014.org/en/about-the-conference/resolutions.aspx
Bonjour,
merci pour cet article
« C’est aussi une démarche centrée sur l’utilisateur et sur la maîtrise qu’il doit avoir des données le concernant ».
Il faudra sans doute faire évoluer les référentiels de gouvernance de système d’information mis en place dans les années 2005 sous l’initiative des Directeurs de Systèmes d’Information des grandes entreprises, qui sont centrées « by design » sur la maîtrise d’oeuvre SI.