Ces termes sont souvent utilisés à tort de manière interchangeable, car il est difficile de comprendre les différences entre la confidentialité des données et la sécurité des données et la protection des données. la confidentialité des données, la sécurité des données et la protection des données est difficile.
Dans ce billet, j'examinerai en profondeur ces trois concepts essentiels et j'étudierai comment les entreprises peuvent mieux mettre en œuvre les meilleures pratiques pour protéger leurs intérêts.
La confidentialité des données expliquée
Avec l'apparition régulière de nouvelles lois sur la protection de la vie privée visant à garantir que les sites web et les entreprises en ligne traitent les données de leurs utilisateurs de manière éthique, il peut être difficile de se tenir au courant des définitions, des réglementations et de la législation.
Nous pouvons définir la protection des données comme l'utilisation et le traitement appropriés des données personnelles en redonnant aux individus le contrôle de leurs données. En d'autres termes, la protection des données permet aux individus de décider et de limiter l'accès à l'utilisation et au partage de leurs données personnelles.
La protection des informations personnelles garantit la sécurité des données. C'est dans ce concept que la protection de la vie privée passe à la sécurité et à la protection des données.
Lois sur la protection des données
Si vous êtes propriétaire d'une entreprise présente en ligne, vous avez probablement entendu parler des nombreuses lois sur la confidentialité des données récemment adoptées dans le monde entier.
Voici quelques exemples de lois visant à protéger la confidentialité des données des utilisateurs en ligne :
- Le règlement général sur la protection des donnéesRGPD de l'UE
- Loi canadienne sur la protection des renseignements personnels et les documents électroniques (LPRPDE)
- La loi californienne sur la protection de la vie privée en ligne (CalOPPA)
- La loi californienne sur la protection de la vie privée des consommateurs (CCPA)
- La loi de l'Utah sur la protection de la vie privée des consommateurs (UCPA)
Comment la sécurité des données affecte la protection de la vie privée
La plupart des entreprises et des sites web en ligne collectent des données personnelles, qu'il s'agisse d'adresses électroniques, de numéros de téléphone, de cartes de crédit ou de données de connexion. Idéalement, ces entités ne devraient pas conserver plus d'informations que nécessaire, ni plus longtemps que nécessaire.
Cependant, il est impossible de rendre opérationnelle la protection de la vie privée sans garantir la sécurité des données.
Par exemple, si vous ne protégez pas les données des cartes de crédit contre les pirates informatiques et que ces derniers ont accès à ces données, ils peuvent les vendre sur le dark web. La sécurité des données est donc une condition préalable à la protection de la vie privée.
Qu'est-ce que la sécurité des données ?
Tout comme la confidentialité des données, l'expression "sécurité des données" est quelque peu vague et n'est pas nécessairement intuitive. Cette confusion est particulièrement vraie lorsqu'on compare les concepts de confidentialité, de sécurité et de protection des données.
La sécurité des données est le concept de protection des données numériques contre le vol, la corruption ou l'accès non autorisé tout au long de leur cycle de vie :
- Création
- Stockage
- Utilisation
- Partage
- Archivage
- Destruction
La sécurité des données englobe tout, de la sécurité physique des dispositifs de stockage et du matériel aux contrôles d'accès administratifs (tels que l'accès aux données juste à temps ), en passant par la sécurité des applications logicielles.
Il comprend également les politiques et procédures de l'organisation.
Une mise en œuvre correcte de la sécurité des données peut protéger vos données contre les activités cybercriminelles, les menaces internes et les erreurs humaines.
Différents outils et technologies contribuent à la protection de vos données :
- Rédaction de fichiers sensibles
- Masquage des données
- Cryptage
- Rapports automatisés
Ces outils peuvent contribuer à sécuriser vos données tout en vous aidant dans d'autres domaines, comme la rationalisation de vos audits et le respect des exigences réglementaires.
Qu'est-ce que la protection des données ?
Une fois que vous avez assuré la confidentialité et la sécurité des données, l'étape suivante consiste à assurer une protection adéquate des données.
Il existe deux définitions de la "protection des données", l'une étroite et l'autre large :
- La définition étroite ou plus traditionnelle de la protection des données : Le maintien de la disponibilité des données par le biais de sauvegardes afin de pouvoir les restaurer facilement.
- Définition plus large ou plus moderne de la protection des données : Elle couvre la disponibilité, l'immuabilité, la conservation, l'effacement et la destruction des données, ainsi que la "confidentialité des données" et la "sécurité des données".
Plus vous collectez et stockez de données, plus il est important de créer des sauvegardes de vos données critiques. Pour de nombreuses entreprises, la rapidité de la mise en œuvre d'une sauvegarde est également essentielle.
Idéalement, si vous avez perdu des données critiques, vous voudrez les remplacer dès que possible pour éviter de perdre des affaires pendant votre temps d'arrêt.
Il existe plusieurs façons de mettre en œuvre une stratégie de protection des données, depuis l'utilisation de différents dispositifs de stockage jusqu'à la création de sauvegardes et d'archivages dans le nuage.
Vous devez également connaître les concepts de lac de données et d'entrepôt de données. Un lac de données est conçu pour stocker des données brutes et non structurées, tandis qu'un entrepôt de données se concentre sur le stockage de données structurées et analysées. Le choix de la bonne solution de stockage aura un impact significatif sur votre stratégie de protection des données et vos capacités de récupération.
Confidentialité des données vs. sécurité des données vs. protection des données
Maintenant que vous avez une bonne compréhension des définitions de base de la confidentialité des données, de la sécurité des données et de la protection des données, examinons comment ces trois sujets interconnectés se comparent, comment ils sont liés et comment ils fonctionnent en tandem.
Commençons par un simple tableau pour illustrer les différences entre ces concepts :
| Protection des données | Sécurité des données : | Protection des données |
| Garantir une utilisation correcte des données personnelles en donnant aux individus le contrôle sur la manière dont leurs données sont consultées, utilisées ou partagées. | Protéger les données contre l'accès, l'utilisation ou la destruction non autorisés en mettant en œuvre des contrôles techniques, des mécanismes et des procédures appropriés. | Couvre la disponibilité des données, l'immuabilité, la conservation, la suppression/destruction, la "confidentialité des données" et la "sécurité des données". |
Vie privée et sécurité des données
Pour mieux comprendre ces deux notions, comparons la confidentialité des données et la sécurité des données.
La confidentialité des données est le concept qui consiste à garantir une utilisation correcte des données personnelles en donnant aux individus le contrôle sur la manière dont leurs données sont consultées, utilisées ou partagées. D'autre part, la sécurité des données permet de protéger ces données contre tout accès non autorisé.
Exemple n° 1 : Confidentialité des données
Example.com vend des produits uniques via sa boutique de commerce électronique et recueille de nombreuses données auprès de ses clients en ligne :
- Adresses électroniques et détails de connexion
- Adresses d'expédition
- Adresses de facturation
Afin d'assurer un traitement adéquat des données personnelles et de permettre aux personnes de contrôler l'accès à leurs données et leur partage, Example.com prend les mesures suivantes :
- Elle permet à ses clients de se désinscrire de sa liste de courriels et de lettres d'information.
- Elle ne divulgue pas les adresses électroniques et les données d'achat de ses clients à des courtiers en données sans l'accord de ces derniers.
- Il stocke les informations relatives aux achats des clients conformément aux périodes de conservation des données déterminées par les lois applicables.
Ces efforts s'inscrivent dans le cadre de la stratégie de protection des données de Example.com.
Exemple n° 2 : Sécurité des données
Les dirigeants ont récemment décidé de mettre à jour la politique de sécurité des données d'Exemple.com. Ils ont donc engagé un analyste de la sécurité des données qui a attiré leur attention sur le fait que davantage de membres du personnel avaient accès aux informations des acheteurs que nécessaire, ce qui affaiblissait la sécurité globale des données de l'entreprise.
Après avoir examiné quels membres du personnel devaient avoir accès à ces informations, ils ont réduit le nombre de personnes ayant besoin de les connaître de 26 à seulement sept. En outre, ils ont permis à d'autres membres de demander l'accès à ces informations dans des circonstances particulières.
En réduisant de près de trois quarts le nombre de membres du personnel susceptibles d'accéder aux données des acheteurs, Example.com a considérablement renforcé son plan de sécurité des données.
Vie privée et protection des données
Comparons maintenant les similitudes et les différences entre la confidentialité des données et la protection des données.
Encore une fois, la confidentialité des données est le concept qui consiste à collecter, partager et stocker le moins de données possible. D'autre part, la protection des données fait référence à la duplication de vos données afin de les restaurer rapidement si elles sont perdues ou endommagées.
Comparez l'exemple n° 1 ci-dessus à la manière dont Example.com a traité ses problèmes de protection des données dans l'exemple suivant.
Exemple n° 3 : Protection des données
Example.com est une entreprise nationale qui commence à étendre sa portée au marché international. Cependant, un analyste de la protection des données a récemment signalé un problème potentiel.
Supposons que les données d'achat de Example.com soient soudainement perdues ou détruites à la suite d'une cyberattaque ou d'une erreur humaine. Dans ce cas, l'entreprise pourrait perdre des millions de dollars de revenus avant que son plan de protection des données actuel ne puisse restaurer les données à leur niveau antérieur.
Les dirigeants de Example.com ont évalué les coûts de la mise à jour de leur plan par rapport aux avantages et ont décidé qu'il valait la peine d'investir dans les suggestions de l'analyste pour renforcer le plan de protection des données.
L'analyste de la protection des données a notamment suggéré ce qui suit :
- Tests de vitesse de rétablissement des données pour différents scénarios
- Créer des sauvegardes dans le nuage
- Mise à jour régulière des données sauvegardées
Sécurité des données et protection des données
Les gens confondent souvent la sécurité des données et la protection des données, car les deux concepts se ressemblent. Cette confusion est compréhensible, car beaucoup pensent que protéger les données revient à les sécuriser.
Toutefois, ces termes ont des significations spécifiques qui ne doivent pas être confondues.
La sécurité des données est la science qui consiste à protéger vos données contre tout accès non autorisé. La protection des données se concentre quant à elle sur la réplication et la protection de ces données en cas de perte ou d'endommagement.
Comparez l'exemple n° 2 à l'exemple n° 3 pour voir comment Example.com a mis à jour sa politique de sécurité des données par rapport à son plan de protection des données. L'entreprise s'est concentrée sur la réduction de l'accès interne aux données des acheteurs afin d'améliorer la sécurité des données.
L'une des raisons est que les activités malveillantes peuvent parfois provenir de l'intérieur de l'entreprise. En outre, cela réduit les risques d'erreur humaine, qui sont liés à 95 % des menaces de cybersécurité.
Conseils pour les meilleures pratiques en matière de données
Lorsqu'il est question de confidentialité des données, de sécurité des données ou de protection des données, il est utile de se tenir au courant des meilleures pratiques du secteur, qui sont en constante évolution. Voici quelques conseils pour vous aider à rester à la pointe du progrès.
Conseils sur les meilleures pratiques en matière de confidentialité des données
- Comprendre comment la réglementation en vigueur définit les informations personnelles.
- Utiliser une gestion appropriée du consentement lors de la collecte de données.
- Ne conservez que les informations essentielles.
- Ne conservez pas les données plus longtemps que nécessaire.
- Comprendre les droits des personnes sur leurs données en vertu des lois et règlements applicables. Lorsque des personnes soumettent une demande, par exemple pour s'opposer au partage de leurs données, donner suite à ces demandes.
Conseils sur les meilleures pratiques en matière de sécurité des données
- Limiter l'accès interne aux données.
- Cryptez vos données.
- N'utilisez pas de connexions Wi-Fi publiques sur vos appareils professionnels.
- Prendre des précautions supplémentaires pour éviter les erreurs humaines.
Conseils sur les meilleures pratiques en matière de protection des données
- Sauvegarder régulièrement les données essentielles.
- Envisagez d'envoyer les données sauvegardées dans le nuage.
- Envisagez de sauvegarder les données dans un lieu physique différent des bureaux de votre entreprise - un événement catastrophique sur votre site physique pourrait détruire à la fois les fichiers originaux et les sauvegardes.
La confidentialité des données, la sécurité des données et la protection des données sont des concepts clés qui méritent d'être compris. Bien qu'ils soient tous intrinsèquement liés les uns aux autres, ils incarnent des idées et des techniques totalement différentes.
En restant au fait des meilleures pratiques et en mettant à jour vos politiques en matière de données, vous pouvez vous protéger, vous et vos clients, contre les cyberattaques et les fuites de données.
En savoir plus sur l'auteur
Écrit par Ali Talip Pınarbaşı, CIPP/E, & LLM
Ali est un avocat londonien spécialisé dans le droit de la protection des données personnelles. Il est titulaire d'un Master of Laws en droit européen de la protection des données personnelles obtenu au King's College de Londres. Il a six ans d'expérience dans le conseil aux entreprises sur la manière de se conformer aux lois sur la protection des données. En savoir plus sur l'auteur
