Le siège manquant au sein de votre conseil d'administration

Dans toute société libre, la protection de la vie privée constitue un enjeu incontournable. Face à l'augmentation incessante des flux d'informations personnelles drainés par l'Internet, quel rôle l'entreprise doit-elle endosser pour garantir la confidentialité des données se rapportant à ses employés et à ses clients ? Par ailleurs, quels sont les problèmes spécifiques soulevés par la protection de la vie privée dans une économie mondialisée, compte tenu des différences culturelles et de l'harmonisation des standards en matière de gestion des identités et de protection des données ?

Responsable de la protection de la vie privée chez Sun, Michelle Dennedy a introduit le concept « Network of You » pour décrire cette nouvelle dimension participative du Web. Elle expose ici son credo selon lequel l'entreprise, pour protéger ses actifs et ses parties prenantes, doit faire évoluer sa conception de la confidentialité des données et sa gestion des renseignements personnels.

Q: Qu'est-ce que le « Network of You » ?

R: : Le concept « Network of You » a pour objet de faire le lien entre les pratiques opératoires de l'entreprise traditionnelle et les pratiques évolutives que suscite l'adoption du Web 2.0 comme nouvel environnement axé sur la valorisation des données. Le paradigme « Network of You » rend compte du fait que, pour la première fois dans l'histoire de l'humanité, chacun de nous peut être partie prenante d'une trame mondiale de flux d'information. Mais au-delà de ses avantages économiques, qui sont évidents, cette évolution comporte un important facteur de risque si l'on n'y prend garde.

Q: Quelles sont les principales menaces visant la vie privée de l'utilisateur en ligne ?

R: Les menaces les plus préoccupantes découlent des certaines utilisations imprévues de l'information pouvant entraîner une violation de l'intégrité culturelle ou juridique des individus. Certaines organisations omettent par exemple d'indiquer à quelle fin elles recueillent des données — certaines allant même jusqu'à oublier de signaler la collecte d'informations. D'autres cèdent à la tentation d'exploiter abusivement les données récueillies, dont elles sont dépositaires mais pas propriétaires. Les informations à caractère personnel sont comparables à des flux monétaires traversant l'entreprise, laquelle joue en quelque sorte le rôle de banquier vis-à-vis de ces actifs. L'un des plus grands risques est de négliger le potentiel de l'information en tant qu'actif valorisable. Recueillir trop ou trop peu d'information, ou une information inadaptée, c'est engranger un risque qui ne rapporte aucune valeur à l'entreprise.

Pour jauger le niveau de risque induit, il suffit de se référer à la situation créée aux États-Unis par l'obligation légale de notification des atteintes à la sécurité des renseignements personnels. Pour les organisations ayant été contraintes de signaler une telle violation de confidentialité à leurs clients, il devient de pratique courante d'offrir deux années de protection de crédit gratuite par enregistrement perdu. Ainsi, à supposer que vous perdiez un portable contenant 100 000 enregistrements et en tablant sur un coût moyen de 40 $ par enregistrement pour la protection de crédit, votre responsabilité financière pourrait se chiffrer à quelque 8 millions de dollars — sans compter le préjudice de marque, le préjudice commercial, les frais d'avocat ni les coûts de préparation et d'envoi des courriers de notification. Encore ne s'agit-il que d'une première approximation : j'ai entendu parler dans le secteur bancaire de chiffres atteignant les 500 millions de dollars ou les 250 $ par enregistrement pour certains sinistres majeurs.

En traitant d'emblée les données comme un actif et en leur accordant le respect qu'elles méritent en tant que tel, l'organisation peut par conséquent économiser un temps précieux — qui pourra être mis à profit pour communiquer avec les clients sur des aspects plus lucratifs.

Q: On dit à présent que le contrôle des données relève autant du conseil d'administration que de la direction informatique. Qu'en pensez-vous ?

R: Il s'agit absolument d'une prérogative du conseil d'administration — étant donné l'ascendant pris par l'information en tant qu'actif le plus précieux de l'entreprise. J'estime pour ma part qu'il manque un siège à la table du CEO, pour un poste aux attributions radicalement différentes de celles du directeur financier, du directeur juridique, du directeur informatique ou même du responsable de la protection de la vie privée. Si la tendance actuelle à la mondialisation se confirme tant pour l'utilisation, la collecte et la gestion des données que pour les relations avec les clients et les employés de l'entreprise, il y aura un rôle décisif à jouer pour un nouveau type de responsable au plus haut niveau de l'entreprise.

Nous avons en effet besoin d'un directeur du contrôle de l'information, qui considérera les données personnelles de la même façon que nous abordons les actifs financiers - à cette nuance près que des renseignements concernant des êtres humains sont totalement irremplaçables. Si vous portez gravement préjudice à vos clients ou à vos employés en manquant à votre devoir de protection de leurs données personnelles, vous ne pourrez pas reconquérir leur confiance comme vous reconstitueriez vos finances après un investissement malheureux. Le nouveau responsable devra notamment coopérer en continu avec les directeurs financier, informatique, RH et R&D de l'entreprise pour engranger de la valeur économique tout en réduisant le risque — autrement dit recueillir des informations associant une forte valeur ajoutée à un faible potentiel de nuisance.

À court terme, les directions existantes se partagent cette nouvelle source de valeur et de responsabilités que constituent les informations personnelles, chaque responsable devant cumuler les casquettes de prescripteur, de conseil juridique et de comptable spécialisé dans ce domaine.

L'environnement de l'entreprise tend vers toujours plus de complexité à mesure que se développe l'univers des parties prenantes et des réglementations officielles : lois US relatives à la notification des atteintes à la sécurité des données personnelles, Gramm-Leach-Bliley Act, et HIPAA, directives européennes et réglementations des États membres, loi canadienne PIPEDA ainsi que divers cadres réglementaires internationaux.

Dans le même temps, une communauté mondiale d'utilisateurs et d'entrepreneurs créatifs continuera à militer pour toujours plus de données, de contrôle, de transparence et de respect de la vie privée.

Q: La technologie représente-t-elle le problème ou la solution ? Plus spécifiquement, quelles sont les technologies utilisables pour protéger la vie privée dans le monde en ligne ?

R: La technologie peut être l'un ou l'autre. Exploitée indépendamment de toute intervention humaine et de tout processus, elle peut constituer un risque gigantesque. La technologie permet en effet d'absorber des quantités d'information excédant largement les capacités d'utilisation de l'être humain. Et comme elle permet également de partager cette information à une vitesse inconcevable pour l'esprit humain, la technologie peut en soi s'avérer nuisible si elle n'est pas encadrée par un conseil d'administration conscient de l'importance de l'information, ainsi que par un système fixant ses modalités d'utilisation : le mode de circulation de l'information, les points où elle peut être partagée, les personnes autorisées à y accéder et leur rôle au sein de l'organisation, sans oublier les garanties d'auditabilité de l'information.

La gestion des identités est indispensable pour savoir « qui » est partie prenante de votre réseau. « Qui » est votre client, et « qui » s'occupera de répondre à ses différents besoins ? Sun a fermement établi sa position de leader de la gestion des identités et détient une solide expérience quant à l'audit et la conformité en matière d'identités. Le portefeuille de fonctionnalités de Sun comprend le provisioning des utilisateurs, la gestion des rôles, la gestion des accès, la fédération, et les services d'annuaire. Autant d'exemples de technologies susceptibles de faire la différence lorsqu'elles sont déployées dans le cadre d'une stratégie clairement établie afin de relever le défi de la gestion des identités.

Pour centraliser et sécuriser plus efficacement les données, vous avez la possibilité de recourir à des clients ultralégers tels que les postes Sun Ray, dont la conception réduit considérablement la dispersion des données et le risque afférent. L'utilisation d'un client Sun Ray implique obligatoirement une connexion préalable, ce qui garantit l'auditabilité de toutes les actions effectuées. De plus, au lieu d'être dispersées par duplication sur de multiples postes de travail, les données restent en grande partie gérées de façon centralisée au niveau du serveur — les utilisateurs devant obligatoirement s'authentifier pour accéder à cette information stockée en lieu sûr. De ce fait, les différents responsables concernés (sécurité, protection de la vie privée, audit) peuvent aisément accompagner, gérer et former toute personne autorisée à utiliser cette interface.

La stratégie de stockage. constitue le véritable point d'« agglutination » des données de l'entreprise. C'est là que technologie, gestion et formation convergent pour vous aider à construire une démarche de valorisation des actifs informationnels. Avec les solutions ouvertes d'archivage de données de Sun, l'entreprise a tous les atouts en main pour redéfinir l'équation économique de son service informatique. Comparées aux offres concurrentes, ces solutions sont 10 fois plus extensibles, occupent 50 % d'espace physique en moins et sont jusqu'à 10 fois moins consommatrices d'énergie.

Le choix du lieu de stockage des données est primordial, et votre directeur informatique n'est pas nécessairement sensible au risque ni aux revenus potentiellement liés aux données stockées. Ce qui nous ramène à notre " siège manquant au sein du conseil d'administration ". Ne manquez pas une occasion de réduire l'emprise occupée par vos données, et débarrassez-vous systématiquement de celles qui ne servent qu'à créer du risque non maîtrisable.

Q: Quel rôle les pouvoirs publics devraient-ils jouer pour assister les entreprises ou les individus dans leurs efforts de protection de la vie privée ?

R: L'idéal serait que leur intervention reste relativement discrète. Les responsabilités liées à ma fonction couvrent le monde entier, et nous avons des intérêts économiques dans pratiquement tous les pays. Il nous faut donc trouver une façon d'harmoniser nos flux d'information avec les directives gouvernementales d'autres pays, et de protéger l'information tout au long de son cycle de vie en sachant que celui-ci peut passer par des pays de droit civil très restrictif, des systèmes de Common Law ou des républiques socialistes — sans oublier certaines économies émergentes qui en sont encore à choisir leur future stratégie de gouvernance pour les personnes et les données.

Il nous faut donc nous mettre d'accord sur une définition fonctionnelle du mode de protection de l'information qui soit valable au-delà des différences de culture et de stratégie juridique. Voyons par exemple comment il est possible de déployer des stratégies de gestion des identités garantissant la conformité — en termes d'utilisateur, de moment et de lieu — de tous les accès aux informations.

Imaginons qu'une personne A remplisse une fonction B sous la protection d'une stratégie C. Une fois la sécurité du circuit d'information établie, vous avez la possibilité de rationaliser cette protection si vous opérez dans un environnement de Common Law tel que la société américaine, où le volet répressif est assuré par les agences de réglementation et par le contentieux privé. Dans les pays de droit civil — notamment la plupart des États membres de la CE, où la sanction peut émaner de divers organismes —, une protection rigoureuse du pipeline de données permet de répondre aux exigences de ces autorités de réglementation. Enfin, dans les régions du monde qui se basent sur une autre conception de la vie privée des individus, on pourra néanmoins calculer les droits d'accès en fonction du rôle à partir des même paramètres — personne A, fonction B, stratégie C. À condition d'être suffisamment robuste et transparente, une telle protection pourra donc donner satisfaction dans les différents contextes nationaux, quelles que soient les stratégies de mise en application utilisées par ailleurs.

Q: Quels sont les aspects que les dirigeants d'entreprise devraient selon vous étudier et planifier à un horizon de cinq ans ?

R: Les ressources humaines, les processus et les technologies. Vos collaborateurs doivent savoir parfaitement quoi faire à quel moment. L'entreprise a besoin d'un responsable qui connaisse et privilégie les enjeux de la protection des données, et qui n'hésite pas à communiquer haut et fort, dans le langage des employés, fournisseurs et partenaires, afin de leur expliquer ce que l'entreprise attend d'eux et de les convaincre que la gouvernance des données constitue un investissement réellement prometteur.

Les questions de processus jouent un rôle important dans votre stratégie de gestion des identités. Qui sera autorisé à voir quoi, et à quel moment ? Combien de temps cette information restera-t-elle à la disposition des individus concernés ? Comment leur retirer ces droits d'accès lorsqu'ils passent à autre chose ? Les processus interviennent également dans la détermination de la valeur des données, dans le suivi de leur parcours à l'intérieur de l'entreprise, et dans la protection de leur intégrité tout au long de leur cycle de vie.

Songez à réexaminer en permanence vos ressources technologiques (celles que vous possédez en propre aussi bien que les outils et communautés Web 2.0 dont vous vous servez) afin d'identifier celles qui sont source de valeur. Sun dispose d'une architecture ouverte et interopérable. Ce qui explique que tant d'utilisateurs affluent vers Sun pour y déposer une telle masse de données confidentielles et extrêmement sensibles, c'est que cette architecture leur permet de savoir de quoi l'avenir sera fait et où leurs informations seront stockées. Toutes les informations que vous confiez à ces supports de stockage vous coûteraient cher en cas de perte, mais peuvent aussi vous rapporter gros si vous savez les mettre en valeur.