Qu'est-ce que la confidentialité des données ?

Nos données personnelles se retrouvant aujourd'hui entre les mains de nombreuses entreprises, diverses réglementations régissent l'utilisation, la collecte, le stockage et la diffusion de ces données. Les réglementations en matière de confidentialité des données ont pour objectif de protéger les données client contre toute utilisation et toute diffusion à des tiers contraires à l'éthique. Certaines réglementations obligent les entreprises à prévenir les utilisateurs en cas de compromission de données et à mettre à leur disposition des documents précisant la manière dont leurs données seront utilisées et collectées.

Le terme « données personnelles » désigne toute information pouvant être utilisée pour identifier un consommateur privé ou un client d'entreprise, notamment le nom, l'adresse, le numéro de sécurité sociale, les données de carte de crédit, la date de naissance, etc. Les entreprises qui collectent ces informations sont tenues de les stocker de façon éthique et de mettre en place des règles d'autorisation strictes lorsqu'elles partagent ces données avec des collaborateurs, des fournisseurs, des sous-traitants et des applications tierces. Les réglementations en matière de confidentialité des données des consommateurs veillent à ce que les entreprises respectent des règles strictes lors de la collecte et du partage des informations privées de leurs clients, sous peine de devoir s'acquitter de lourdes amendes en cas de violation.

La protection des données utilisateur contre le vol et l'utilisation abusive permet de réduire les vols d'identité et les activités frauduleuses. La confidentialité des données fournit également aux utilisateurs des informations sur la manière dont leurs données seront partagées et collectées, ce qui leur permet de décider en connaissance de cause s'ils souhaitent ou non communiquer leurs informations à une entreprise donnée. Certaines réglementations relatives à la conformité comme le règlement général sur la protection des données (RGPD) obligent les entreprises à supprimer les données de leur système dès lors qu'un client en fait la demande.

La sécurité et la confidentialité des données se complètent pour protéger les informations des consommateurs. Pour assurer cette protection, il importe de déterminer les outils et les procédures d'autorisation d'accès à ces données. La confidentialité des données met en lumière les données particulièrement importantes et la raison de leur sensibilité. Sans confidentialité des données, les entreprises pourraient vendre les données à des tiers contre rémunération sans se soucier de la personne qui reçoit les données ni d'obtenir le consentement du propriétaire des données. En vertu des réglementations en matière de conformité, les entreprises sont responsables des données, de sorte que les utilisateurs disposent de droits légaux sur leurs propres informations et d'un certain contrôle sur la façon dont les tiers peuvent les utiliser.

Bien que complémentaires, la confidentialité des données et la sécurité des données ne visent pas les mêmes objectifs. Pour convaincre un client de communiquer des données à une entreprise, il convient d'établir un climat de confiance. Pour conserver cette confiance, les entreprises doivent se montrer très attentives à la confidentialité des données et en faire une priorité du service client et de la gestion des données. En cas de compromission de données, la perte de confiance est l'un des principaux effets résiduels et peut être à l'origine d'une baisse considérable des revenus si les clients se tournent vers d'autres fournisseurs ou n'achètent plus de produits à l'entreprise.

La sécurité des données repose sur des procédures, des outils, des logiciels, des autorisations, des audits et la surveillance des informations des utilisateurs. La confidentialité des données est une notion conceptuelle, tandis que la sécurité des données consiste en une série de mesures prises pour préserver cette confidentialité. Les entreprises ne divulguent généralement pas leurs stratégies de sécurité des données afin de renforcer leur niveau de protection face aux cyberattaquants. En revanche, la confidentialité des données nécessite un certain degré de transparence. Pour préserver la confidentialité des données, il convient d'assurer leur sécurité. Cependant, le fait qu'une entreprise assure la sécurité des données ne signifie pas nécessairement qu'elle se préoccupe de leur confidentialité.

La conformité est un autre aspect commun à la confidentialité et à la sécurité des données. Les réglementations de conformité déterminent souvent la manière dont les entreprises déploient leur stratégie de sécurité des données. Par exemple, des réglementations de conformité telles que la loi HIPAA (Health Insurance Portability and Accountability Act) exigent la mise en place de pistes d'audit pour chaque demande d'accès à des données utilisateur privées. Le non-respect de cette obligation peut donner lieu à de lourdes amendes. Le RGPD exige quant à lui des entreprises qu'elles disposent d'outils pour supprimer les données de leur système en cas de demande de l'utilisateur.

Les droits des utilisateurs en matière de protection des données dépendent du pays où réside le consommateur. Par exemple, le règlement général sur la protection des données (RGPD) est une réglementation de l'Union européenne entrée en vigueur en 2018. La loi sur la protection du consommateur de Californie (California Consumer Privacy Act, CCPA) de 2020 est similaire au RGPD, mais régit spécifiquement la façon dont les entreprises stockent et partagent les données des résidents californiens. Pour comprendre les droits en matière de protection des données, il convient de définir des réglementations de conformité qui encadrent les entreprises. Certaines réglementations de conformité sont spécifiques au type de données stockées. Par exemple, la loi HIPAA (Health Insurance Portability and Accountability Act) définit les droits à la protection des données des patients et propose des conseils et des normes de cybersécurité en matière de soins de santé à l'intention des prestataires de soins, des hôpitaux et de toute autre organisation stockant et collectant des informations patient.

Bien que les droits à la protection des données diffèrent en fonction du pays et des réglementations de conformité régissant la sécurité, toutes les lois relatives à la confidentialité des données tendent vers des objectifs similaires, notamment :

• Consentement : les entreprises doivent obtenir le consentement des utilisateurs avant de pouvoir distribuer, confier à un tiers ou partager leurs informations.
• Obligations légales : diverses législations régionales et nationales définissent les conséquences et les obligations légales des entreprises qui traitent des données.
• Exercice des droits : Les utilisateurs disposent de divers moyens pour exercer leurs droits. Ils doivent notamment avoir la possibilité de demander la suppression de leurs données personnelles via les canaux de communication spécifiés.
• Intérêts : la priorité absolue en matière de confidentialité des données est l'intérêt du consommateur, que l'entreprise est tenue de préserver.

La confidentialité des données n'est pas régie par une seule loi. Elle est assurée par un ensemble de lois et de cadres qui sont fonction du type de données stockées (dans certains cas) et de l'emplacement géographique de l'entreprise. Voici quelques-unes des principales réglementations en matière de confidentialité des données :

• California Consumer Privacy Act (CCPA) : la loi CCPA, qui est entrée en vigueur le 1er janvier 2020, régit la manière dont les entreprises traitent les données des résidents californiens. Ces derniers ont le droit d'être informés de la manière dont les entreprises collectent leurs données, ainsi que d'accéder à leurs données et de demander leur suppression des systèmes d'entreprise.
• Health Insurance Portability and Accountability Act (HIPAA) : la loi HIPAA est une loi fédérale qui définit la manière dont les entreprises stockent, sécurisent, partagent, transfèrent et auditent les informations des patients. Elle s'applique principalement aux prestataires de soins et aux hôpitaux. Cependant, les entreprises actives dans le domaine de l'e-commerce et d'autres secteurs sont également tenues d'appliquer la loi HIPAA aux contrôles de sécurité dès lors qu'elles stockent des informations patient.
• Children's Online Privacy Protection Act (COPPA) : la loi COPPA, promulguée en 2000, définit la manière dont les entreprises collectent et partagent les données d'enfants. Les entreprises qui traitent des données d'enfants de moins de douze ans sont tenues de protéger leurs noms virtuels, adresses email, pseudos, photos, fichiers audio et coordonnées de géolocalisation.
• Payment Card Industry Data Security Standard (PCI-DSS) : tout détaillant ou entreprise qui stocke des données financières et de carte de crédit de clients est tenu de respecter la norme PCI-DSS. Cette norme de conformité vise à protéger les informations de paiement des utilisateurs afin d'empêcher les fraudes et les vols d'identité. Les entreprises de toutes tailles, y compris les boutiques en ligne, sont tenues de se conformer à la norme PCI-DSS dès lors qu'elles stockent les données financières de consommateurs.

En dehors de la CCPA, toutes les réglementations sur la confidentialité des données présentées ci-dessus ont été mises en place au niveau fédéral. Plusieurs États américains ont toutefois adopté leurs propres lois en la matière, notamment pour régir la manière dont les entreprises américaines stockent les informations des résidents de l'État en question. C'est le cas de la Californie, de l'État de New York, du Maryland, du Massachusetts, d'Hawaï et du Dakota du Nord, qui ont édicté des lois qui régissent la façon dont les données des consommateurs sont stockées et partagées. Par exemple, la New York SHIELD Act a pour objectif d'améliorer la sécurité des données en imposant des exigences plus strictes en matière de cybersécurité aux entreprises qui stockent des données de résidents de l'État de New York.

Les entreprises qui possèdent des données d'utilisateurs basés à l'étranger sont également tenues de se conformer aux réglementations protégeant les résidents européens, ce qui fait peser sur elles une charge supplémentaire. Les entreprises américaines, déjà soumises à deux législations majeures en matière de confidentialité des données, doivent se conformer aux deux réglementations suivantes relatives aux données des résidents de l'UE :

• Loi sur les cookies : les cookies sont des petits fichiers stockés sur le terminal d'un utilisateur afin d'enregistrer des informations sur les sites Web consultés. Ces informations peuvent être envoyées à des entités tierces ou divulguées en cas de vol du terminal. La loi sur les cookies oblige les sites Web à obtenir le consentement de l'utilisateur avant de pouvoir enregistrer un cookie sur le terminal de cet utilisateur.
• Règlement général sur la protection des données (RGPD) : le RGPD, qui protège les données des résidents de l'UE, est l'une des réglementations les plus strictes en matière de confidentialité des données. Les entreprises qui enfreignent le RGPD s'exposent à des amendes pouvant s'élever à plusieurs millions d'euros, ainsi qu'à des sanctions. Le RGPD régit la confidentialité des données, la sécurité des données, la responsabilité des entreprises et les sanctions en cas de violation. Les entreprises qui stockent les données de consommateurs de l'UE doivent veiller à publier la façon dont les données utilisateur sont stockées, partagées et collectées et mettre à la disposition des utilisateurs une solution simple pour obtenir la suppression de leurs données des systèmes d'entreprise.