Face au phénomène récurrent des fuites massives de données, mais aussi au resserrement de la réglementation relative à la protection des données personnelles, les entreprises doivent aborder cette question sous un nouvel angle. Voici l’ère du « Privacy by design ». Dossier paru dans L'Informaticien n°161.
Avec l’entrée en vigueur prochaine de la RGPD, la protection des données personnelles est au cœur des préoccupations des directions informatiques. Alarmées par le montant des amendes potentielles en cas de fuite des données ou de traitements non autorisés de données personnelles, les DSI doivent changer d’approche sécuritaire. En effet, protéger des données sensibles en activant le chiffrement de la base de données ou en ajoutant un WAF (Web Application Firewall) devant les serveurs concernés ne suffit pas, il est nécessaire d’adopter une approche bien plus globale et passer au « Privacy by Design ». Cette approche a été formalisée dès les années quatre-vingt-dix par Ann Cavoukian, commissaire à l’information et à la protection de la vie privée de l’Ontario. « Portée par la défense des libertés fondamentales de l’individu, Ann Cavoukian a imaginé le concept de Privacy by Design comme une démarche qui vise à assurer la protection de la vie privée », explique Alessandro Fiorentino, consultant en charge de l’offre Informatique et Libertés au sein de la pratique SI du cabinet Infhotep et ambassadeur du « Privacy by Design ». « À cette époque, la protection des données à caractère personnel n’était pas encore une notion synonyme d’enjeu économique. »
Le Privacy by Design se résume en sept grands concepts, mais, plutôt que de désigner des technologies à mettre en œuvre, il propose des PET (Privacy Enhancing Technologies). « Les PET sont à l’origine du principe de minimisation des données ; c’est sur la base de ce principe que s’est développé ce concept de Privacy by Design », ajoute Alessandro Fiorentino. Parmi ces PET figurent bien évidement le chiffrement des données, la gestion des droits d’accès et le tagging des données, la mise en place de règles de développement des applications, des règles d’architecture des systèmes, jusqu’aux interfaces utilisateurs elles-mêmes. À chaque entreprise de définir sa stratégie de « Privacy by Design » et les PET à mettre en place pour l’implémenter.
