Les entreprises publiques les plus précieuses au monde aujourd'hui sont toutes axées sur les données.
Certaines des entreprises les plus importantes au monde, y compris Facebook, Apple, Amazon, Netflix et Google (collectivement connues sous le nom de FAANG sur le marché boursier), ont construit leurs modèles économiques sur les données dans des domaines tels que la publicité, le commerce électronique, les produits technologiques et les modèles d'abonnement. Les données restent une force motrice sur la route vers la Quatrième Révolution Industrielle où l'intelligence artificielle, l'internet des objets (IoT), l'apprentissage automatique et la biotechnologie, entre autres, définissent l'avenir de notre travail et de notre société.
Et bien qu'il ne fasse aucun doute que les données ont généré une valeur économique énorme à l'ère de la transformation numérique, il est également vrai que derrière la plupart des points de données se trouvent des personnes. Les gens se soucient de la façon dont leurs données personnelles sont utilisées. Ils veulent protéger leur réputation, maintenir leur autonomie et honorer leur propre dignité. Ils se soucient de la vie privée ; les gens ont besoin de savoir à quelles entreprises ils peuvent faire confiance.
Source : NIST
La confiance est désormais un élément essentiel du succès d'une entreprise. La confiance crée une fidélité à long terme à la marque et un plaidoyer parmi les clients. Une perte de confiance, pouvant provenir de l'utilisation abusive ou du piratage de données personnelles, incite les clients à aller voir ailleurs, ce qui impacte négativement les évaluations des entreprises. (Prenez Yahoo comme exemple : après une violation de données importante, les clients ont fui en masse, contribuant à des millions de pertes de valorisation.) Les entreprises peuvent construire la confiance tout en respectant la vie privée des consommateurs et en apportant de la valeur à la vie de leurs clients. Cependant, cela doit être fait méthodiquement ; les entreprises peuvent gagner la confiance des clients grâce à une prise de décision éthique intégrée à leurs modèles économiques.
Les entreprises comprennent que la confiance et la vie privée sont essentielles, mais à quoi cela ressemble-t-il en pratique ? Comment les entreprises et les organisations protègent-elles la vie privée des personnes tout en utilisant leurs données ? Comment les entreprises abordent-elles les risques de confidentialité, qui peuvent poser des risques de réputation, et les risques de conformité, qui peuvent causer des problèmes juridiques pour une entreprise ? Les risques de confidentialité sont-ils inclus aux côtés d'autres éléments dans le portefeuille de risques d'entreprise de votre entreprise ? Votre entreprise dispose-t-elle d'un budget alloué avec les ressources appropriées pour s'attaquer adéquatement au risque de confidentialité ?
Avec tant de pièces mobiles dans le paysage de la confidentialité, il peut être difficile de savoir par où commencer. Ce qui manque dans cette équation, c'est un langage commun et des outils pratiques pour répondre aux besoins de confidentialité. C'est exactement ce que le cadre de confidentialité NIST veut résoudre.
Qu'est-ce que le cadre de confidentialité NIST ?
Le cadre de confidentialité NIST est un cadre volontaire qui aide les entreprises et les organisations à comprendre, évaluer et atténuer leurs risques de confidentialité. NIST signifie l'Institut National des Normes et de la Technologie, une unité du Département du Commerce des États-Unis, qui promeut l'innovation à travers le développement de normes scientifiques et technologiques. NIST a publié un projet préliminaire du cadre en septembre 2019 et espère avoir la version 1.0 finalisée d'ici la fin de 2019. Le cadre, rédigé en termes simples, s'efforce d'inclure les parties prenantes de tous les secteurs et niveaux hiérarchiques pour définir des objectifs de confidentialité et mettre en œuvre des politiques de confidentialité partagées.
|
Le cadre de confidentialité NIST fournit :
|
Dans ce cadre, les entreprises et les organisations peuvent atteindre leurs objectifs de conformité en matière de confidentialité actuels, ainsi qu'anticiper les avancées technologiques futures et les réglementations en matière de confidentialité pour leurs futurs produits et services. Le cadre de confidentialité est indépendant de la technologie, s'applique indépendamment de toute loi et juridiction spécifique, et fonctionne en collaboration avec le cadre de cybersécurité NIST publié en 2018.
Comment fonctionne le cadre de confidentialité NIST
Le projet préliminaire du cadre de confidentialité NIST est composé de trois parties : le Cœur, les Profils et les Niveaux de Mise en Œuvre.
Le Cœur aide les organisations à identifier leurs objectifs de confidentialité globaux.
Les Profils aident les organisations à comprendre leur risque de confidentialité actuel et à comprendre les écarts pour atteindre la gestion souhaitée des risques de confidentialité. Les cinq principales zones de fonction incluent :
-
- Identifier
- Gouverner
- Contrôler
- Communiquer
- Protéger
Source : NIST
Les Niveaux de Mise en Œuvre soutiennent la prise de décision organisationnelle concernant le risque de confidentialité. Cela prend en compte les systèmes, produits, services et ressources spécifiques d'une organisation pour aider à gérer les risques.
Vous voulez en savoir plus sur Logiciel de gestion de la confidentialité des données ? Découvrez les produits Gestion de la confidentialité des données.
Comment le cadre de confidentialité et le cadre de cybersécurité sont liés
Comment le cadre de confidentialité NIST est-il lié au cadre de cybersécurité NIST ? Deux mots : violations de la vie privée. Les risques de cybersécurité et de confidentialité vont de pair.
Les deux cadres — le cadre de confidentialité NIST et le cadre de cybersécurité NIST — abordent de manière collaborative les risques de violation de la vie privée. Cela est particulièrement important compte tenu des technologies émergentes telles que l'IoT et l'IA.
Le cadre de confidentialité NIST a cinq fonctions : Identifier, Gouverner, Contrôler, Communiquer et Protéger.
Le cadre de cybersécurité NIST a cinq fonctions : Identifier, Protéger, Détecter, Répondre et Récupérer.
La fonction « Protéger » du cadre de confidentialité NIST chevauche le cadre de cybersécurité NIST. Cela concerne :
- La gestion des identités, l'authentification et le contrôle d'accès
- La sécurité des données
- Les politiques, processus et procédures de protection des données
- La maintenance
- La technologie de protection
Source : NIST
Source : NIST
Comment utiliser le cadre de confidentialité
Les dirigeants d'entreprise, les équipes juridiques, les équipes de sécurité et les départements connexes utilisent le cadre de confidentialité NIST comme référence informative pour diverses choses. Ils peuvent utiliser le cadre pour renforcer la responsabilité au sein de leur organisation, établir ou améliorer un programme de confidentialité, appliquer au cycle de vie du développement du système, utiliser dans l'écosystème de traitement des données d'une entreprise et prendre des décisions d'achat éclairées sur les fournisseurs avec lesquels travailler.
Gardez à l'esprit que le cadre de confidentialité NIST n'est que cela, un cadre. Ce n'est pas une norme. Ce n'est pas une certification. C'est un point de départ pour que les organisations comprennent leurs risques de confidentialité et adoptent un plan qui répond le mieux à ces risques.
Source : NIST
Quelle est la valeur ?
Le cadre de confidentialité aide les entreprises à établir la confiance avec leurs clients, à respecter les obligations de conformité aux réglementations en matière de confidentialité actuelles et futures, et à faciliter un dialogue sur la confidentialité dans une entreprise. La confiance se construit au fil du temps avec les clients d'une entreprise, les tiers et les régulateurs.
Source : NIST
Avec l'aide du cadre de confidentialité, les entreprises peuvent créer de meilleures pratiques d'ingénierie de la confidentialité telles que la confidentialité par conception ou la confidentialité par défaut. Cela aide les entreprises à anticiper les nouvelles lois sur la confidentialité et les encourage à être proactives.
Prendre des décisions d'achat éclairées
Bien que le projet de cadre de confidentialité NIST soit indépendant de la technologie, il encourage les gens à utiliser les exigences de risque de confidentialité de NIST pour prendre des décisions d'achat éclairées lors de l'achat de produits, de logiciels et de services, et lors du travail avec des tiers.
Ce que vous pouvez faire maintenant
NIST recherche des commentaires publics sur le projet préliminaire du cadre de confidentialité NIST jusqu'à 17h00 EDT le 24 octobre 2019. Après avoir incorporé les mises à jour basées sur la période de commentaires publics, NIST prévoit de publier la version 1.0 du cadre de confidentialité NIST d'ici la fin de 2019.
Sujets futurs de NIST concernant le risque de confidentialité
Après la publication de la version 1.0 du cadre de confidentialité NIST fin 2019, NIST prévoit d'aborder d'autres sujets liés à la confidentialité, y compris les technologies émergentes, les évaluations des risques de confidentialité, la main-d'œuvre en matière de confidentialité, le risque de ré-identification et les normes techniques.
*Avertissement : Je ne suis pas avocat et je ne donne pas de conseils juridiques. Si vous avez des questions juridiques, consultez un avocat agréé.*
Merry Marwig, CIPP/US
Merry Marwig is a senior research analyst at G2 focused on the privacy and data security software markets. Using G2’s dynamic research based on unbiased user reviews, Merry helps companies best understand what privacy and security products and services are available to protect their core businesses, their data, their people, and ultimately their customers, brand, and reputation. Merry's coverage areas include: data privacy platforms, data subject access requests (DSAR), identity verification, identity and access management, multi-factor authentication, risk-based authentication, confidentiality software, data security, email security, and more.
