Privacy by Design

Pourquoi Zeenea a-t-elle fait le choix du Privacy by Design pour son data catalog ?

avril 11, 2022
avril 11, 2022
11 avril 2022

Depuis le début du 21e siècle, nous vivons une véritable révolution numérique. Le monde est en constante digitalisation et l’activité humaine se structure toujours plus autour de la donnée et des réseaux. L’industrie, les loisirs, les services d’Etats, le secteur tertiaire, le médical, et tant d’autres domaines s’organisent désormais autour de systèmes d’informations complexes et interconnectés. Par conséquent, de plus en plus de données sont continuellement collectées par les appareils et technologies présents dans notre quotidien (Web, Smartphone, IoT) et transitent de systèmes en systèmes. Il est devenu central pour toute entreprise qui fournit des produits ou des services de tout mettre en œuvre pour protéger les données de leurs clients utilisateurs. Pour y arriver, la meilleure approche est celle du Privacy by Design

Dans cet article, nous définissons ce qu’est la notion du Privacy by Design, et nous expliquons comment nous l’avons appliquée dans la conception de notre data catalog chez Zeenea. Enfin, nous exposons la manière dont un data catalog peut aider les entreprises à mettre en place le Privacy by Design.

La protection des données : un enjeu capital pour les entreprises

Parmi toutes ces données évoquées précédemment, certaines permettent d’identifier directement ou indirectement des personnes physiques. Ce sont les données personnelles, telles que définies par la CNIL. Elles revêtent une importance capitale dans le monde moderne du fait de leur valeur intrinsèque. 

Quotidiennement, des volumes gigantesques transits entre les individus, les entreprises et les États. Il existe un véritable risque de détournement de leur l’usage, comme l’a montré par exemple le scandale Cambridge Analytica en 2015. Les cybercriminels peuvent également en tirer des gains substantiels, via le piratage de compte, la revente de données à d’autres cybercriminels, l’usurpation d’identité, ou encore l’attaque d’entreprises via phishing ou arnaque au président. C’est par exemple ainsi qu’un promoteur immobilier s’est récemment vu subtiliser plusieurs dizaines de millions d’euros.

Le besoin de protéger ses données n’a jamais été aussi important.

Les États ont rapidement pris conscience de cette problématique pour protéger les individus des dérives liées à l’exploitation de leurs données. En Europe par exemple, le RGPD (le Règlement Général sur la Protection des Données) est en vigueur depuis 2016 et est déjà bien ancré dans les activités quotidiennes des entreprises. Dans le reste du monde, la réglementation évolue constamment et est une préoccupation pour quasiment tous les pays. Récemment, la Californie a voté une loi sur le caractère privé des données des consommateurs, assimilée à un équivalent américain du RGPD. Même la Chine vient de légiférer sur ce sujet.

 

Privacy by Design : définition d’une notion essentielle pour la protection des données

Si de nombreuses législations s’appuient fortement sur la notion de Privacy by Design, elle a été conceptualisée par Ann Cavoukian à la fin des années 90 alors qu’elle occupait le poste d’Information and Privacy Commissioner de la province de l’Ontario au Canada. L’essence de cette idée est d’inclure la problématique de protection des données personnelles dès la conception d’un système informatique. 

En ce sens, le Privacy by Design liste sept principes fondamentaux :

#1 – La proactivité : toute entreprise doit mettre en place les dispositions nécessaires à la protection des données en amont, et ne doit pas s’appuyer sur une politique réactive ;

#2 – La protection des données personnelles comme paramètre par défaut : tout système doit prendre comme configuration par défaut le plus haut niveau de protection possible pour les données sensibles de ses utilisateurs ;

#3 – La protection des données personnelles intégrée à la conception : la protection des données personnelles doit être un aspect systématiquement étudié et pris en compte lors de la conception et l’implémentation d’une nouvelle fonctionnalité  ;

#4 – La fonctionnalité complète : aucun compromis ne doit être fait avec les protocoles de sécurité ou avec l’expérience utilisateur ;

#5 – La sécurité de bout en bout : le système doit garantir la sécurité des données sur l’ensemble du cycle de vie, depuis leur collecte jusqu’à leur destruction (y compris si lesdites données sont sous-traitées) ;

#6 – La visibilité et la transparence : le système et l’entreprise doivent documenter et communiquer les procédures de protection des données personnelles et les actions réalisées de manière claire, cohérente et transparente ;

#7 – Le respect de la vie privée de l’utilisateur : chaque décision de conception et d’implémentation doit se faire en mettant au centre l’intérêt de l’utilisateur.

L’application du Privacy by Design chez Zeenea

Chez Zeenea, et notamment parce que l’entreprise a été créée en 2017, nous avons bâti notre produit sur les fondements du Privacy by Design.

Le traitement des données personnelles des utilisateurs

Tout d’abord, nous avons ancré la protection des données au cœur de notre architecture. Les données de chaque client sont séparées dans des tenants différents, chiffrés chacun avec leur propre clé. L’authentification des utilisateurs est gérée via un système tiers spécialisé. Nous encourageons la fédération d’identité chez nos clients, ce qui leur permet de garder le contrôle sur les données nécessaires à l’identification et l’authentification des utilisateurs.

Nous avons également inclus le concept de Privacy by Design lors de la conception de notre applicatif. Par exemple, nous ne récoltons que le strict minimum d’information, tous les extrants du système sont anonymisés (traces de log, erreur applicative, APIs).

Le traitement des données métier des clients

Notre principale mission étant de documenter la donnée, notre solution contient par essence majoritairement des métadonnées. Par conception, Zeenea n’extrait aucune donnée des systèmes de nos clients. En effet, le risque est intrinsèquement moindre sur la métadonnée que sur la donnée. 

Nous proposons néanmoins au sein de l’application Zeenea plusieurs fonctionnalités permettant de fournir de l’information sur la donnée présente dans les systèmes clients (des statistiques, du sampling, etc.). Du fait de notre architecture, les calculs se font toujours sur l’infrastructure du client, au plus près des données et de leur sécurisation. Et dans le respect du principe #2 du Privacy by Design, nous avons placé la protection des données personnelles comme paramètre par défaut. Ainsi, toutes ces fonctionnalités sont désactivées par défaut et ne peuvent être activées que sur décision du client.

Comment notre catalogue de données aide les entreprises à mettre en place le Privacy by Design

Le data catalog peut aider votre entreprise à mettre en place le Privacy by Design, surtout sur les aspects de contrôle et de vérification. Si l’on reprend les 7 principes décrits plus tôt, le data catalog peut participer efficacement à deux d’entre eux : le principe de visibilité et de transparence, et celui de sécurité de bout en bout. Le catalogue de données permet aussi l’automatisation de l’identification des données sensibles.

La visibilité et la transparence via le data catalog

L’objectif du data catalog est de centraliser le patrimoine de données de l’entreprise, de le documenter, et de le partager au plus grand nombre afin d’en permettre l’usage éclairé. Par exemple, cette centralisation permet à chaque employé de savoir quelles sont les données collectées par le CRM, et aux équipes marketing et Customer Success de traiter cette information dans des rapports de suivi des acquisitions et de churn.

Une fois cet inventaire établi, le catalogue permet d’envisager de documenter certaines informations supplémentaires et nécessaires au bon fonctionnement de l’entreprise. C’est notamment le cas du caractère sensible ou non d’une information documentée, des règles de gouvernances, des traitements, ou encore les procédures d’accès qui doivent s’appliquer. 

Dans le contexte d’une démarche Privacy by Design, le data catalog permet par exemple d’ajouter un terme métier correspondant à une donnée sensible (un numéro de sécurité sociale, un numéro de téléphone etc.). Ce terme métier peut alors facilement être associé aux tables ou aux champs physiques qui contiennent la donnée, permettant ainsi son identification aisée. Cette initiative contribue ainsi au principe de visibilité et de transparence du Privacy by Design.

La sécurité de bout en bout via le data catalog

Le data catalog offre également des fonctionnalités de lignage des données (ou data lineage). Le lignage automatique permet de s’assurer que les traitements qui sont appliqués aux données identifiées comme sensibles sont bien conformes à ce qui est défini par la gouvernance des données dans l’entreprise. Il est alors simple avec le catalogue de données de renseigner les règles de gouvernances à appliquer aux données sensibles. 

De plus, le lignage permet de suivre l’ensemble du cycle de vie de la donnée, de sa création à son utilisation finale, en passant par ses transformations. Ainsi il est aisé de contrôler que toutes les étapes de ce cycle de vie sont conformes aux règles et de corriger les éventuelles erreurs. 

Le data catalog, via le data lineage, contribue ainsi au principe de sécurité de bout en bout du Privacy by Design.

Attention : chez Zeenea nous restons convaincus que le data catalog n’est pas une solution de compliance, mais bien un outil d’acculturation des équipes à la donnée sensible et à ses particularités d’usage.

L’identification des données sensibles via le data catalog

Dans un environnement data qui évolue extrêmement rapidement, le catalogue de données doit être le plus possible un reflet de la réalité pour conserver la confiance de ses utilisateurs. Sans cela, c’est l’adoption toute entière du projet de data catalog qui est mise en question. 

Chez Zeenea, nous sommes intimement convaincus que le data catalog doit être automatisé un maximum pour être scalable et efficace. Cela commence par l’inventaire des données disponibles. En ce sens, notre inventaire est automatisé et se charge de répercuter toutes les modifications du système d’origine (source) des données directement dans le catalogue. Ainsi, à tout moment, le client dispose d’une liste exhaustive des données présentes dans ses systèmes. 

Et pour aider nos clients à identifier dans ces données inventoriées celles qui méritent un traitement particulier du fait de leur statut de données sensible, l’automatisation ne s’arrête pas à l’inventaire. Nous proposons aujourd’hui un système qui suggère le taggage des nouvelles données inventoriées présentant un profil de données sensible. Ainsi, le travail de mise en avant de ces données est facilité et l’information se propage plus vite et plus facilement dans l’entreprise.

Pour plus d’information sur la technologie utilisée chez Zeenea, téléchargez notre eBook “Les 5 ruptures technologiques d’un Data Catalog

Conclusion

La donnée personnelle est devenue en quelques années un vrai sujet de préoccupation pour la plupart des consommateurs. De plus en plus de pays mettent en place des réglementations pour garantir à leur concitoyens une protection à la hauteur des enjeux. L’un des principes majeurs régissant toutes ces réglementation est le Privacy by Design.

Chez Zeenea, nous avons dès le départ inclus la réflexion autour de la donnée personnelle au cœur de notre produit. Aussi bien dans notre technique de développement et de traitement des données de nos utilisateurs directs, que dans notre réflexion sur les données que nos clients traitent via notre catalogue. 

Nous pensons que le catalogue de données peut être un atout non négligeable dans la mise en place et le suivi des politiques induites par le Privacy by Design. Nous misons également beaucoup sur l’automatisation et l’IA pour y apporter encore de nombreuses améliorations dans les mois à venir : construction automatique du lignage technique des données, amélioration de la détection des données sensibles dans les objets du catalogue pour mieux les documenter, contrôle de qualité des processus appliqués aux données sensibles etc. Les possibilités sont nombreuses. 

Pour en savoir plus sur les avantages du catalogue dans la gestion de vos données sensibles et personnelles, n’hésitez pas à nous contacter !

zeenea logo

At Zeenea, we work hard to create a data fluent world by providing our customers with the tools and services that allow enterprises to be data driven.

zeenea logo

Chez Zeenea, notre objectif est de créer un monde “data fluent” en proposant à nos clients une plateforme et des services permettant aux entreprises de devenir data-driven.

zeenea logo

Das Ziel von Zeenea ist es, unsere Kunden "data-fluent" zu machen, indem wir ihnen eine Plattform und Dienstleistungen bieten, die ihnen datengetriebenes Arbeiten ermöglichen.

Related posts

Articles similaires

Ähnliche Artikel

Be(come) data fluent

Read the latest trends on big data, data cataloging, data governance and more on Zeenea’s data blog.

Join our community by signing up to our newsletter!

Devenez Data Fluent

Découvrez les dernières tendances en matière de big data, data management, de gouvernance des données et plus encore sur le blog de Zeenea.

Rejoignez notre communauté en vous inscrivant à notre newsletter !

Werden Sie Data Fluent

Entdecken Sie die neuesten Trends rund um die Themen Big Data, Datenmanagement, Data Governance und vieles mehr im Zeenea-Blog.

Melden Sie sich zu unserem Newsletter an und werden Sie Teil unserer Community!

Let's get started
Make data meaningful & discoverable for your teams
Learn more >

Los geht’s!

Geben Sie Ihren Daten einen Sinn

Mehr erfahren >

Soc 2 Type 2
Iso 27001
© 2024 Zeenea - All Rights Reserved
Soc 2 Type 2
Iso 27001
© 2024 Zeenea - All Rights Reserved
Démarrez maintenant
Donnez du sens à votre patrimoine de données
En savoir plus
Soc 2 Type 2
Iso 27001
© 2024 Zeenea - Tous droits réservés.