Pour les organisations qui collectent ou gèrent des données – et les personnes qui en sont propriétaires — les données privées et la sécurité de ces données ne doivent pas être prises à la légère. Ils sont les principales préoccupations lors du processus de protection des informations fondamentalement sensibles telles que les identités, les finances et les dossiers de santé. Sans eux, les cybercriminels et autres acteurs malveillants auraient accès à des quantités stupéfiantes de données potentiellement dommageables. Cependant, tout le monde ne reconnaît pas ou ne comprend pas la différence entre la confidentialité des données et la sécurité. En conséquence, les termes sont souvent utilisés de manière incorrecte ou confondus comme la même chose.
Alors, que sont la confidentialité et la sécurité des données?
Confidentialité vs Sécurité
La différence entre confidentialité et sécurité se résume aux données qui sont protégées, à la manière dont elles sont protégées, à qui elles sont protégées et qui est responsable de cette protection. La sécurité consiste à protéger les données contre les menaces malveillantes, tandis que la confidentialité consiste à utiliser les données de manière responsable.
De toute évidence, la sécurité des données concerne la sécurisation des données sensibles. Là où la confidentialité et la sécurité des données commencent à différer, c’est dans qui ou de quoi elles protègent les données. La sécurité des données est principalement axée sur la prévention de l’accès non autorisé aux données, par le biais de violations ou de fuites, quelle que soit la partie non autorisée. Pour y parvenir, les organisations utilisent des outils et des technologies tels que des pare-feu, l’authentification des utilisateurs, les limitations du réseau et les pratiques de sécurité internes pour dissuader un tel accès. Cela inclut également des technologies de sécurité telles que la segmentation en jetons et le cryptage pour protéger davantage les données en les rendant illisibles — ce qui, en cas de violation, peut empêcher les cybercriminels d’exposer potentiellement des volumes massifs de données sensibles.
Cependant, la confidentialité consiste à s’assurer que les données sensibles qu’une organisation traite, stocke ou transmet sont ingérées de manière conforme et avec le consentement du propriétaire de ces données sensibles. Cela signifie informer les individus dès le départ des types de données qui seront collectées, dans quel but et avec qui elles seront partagées. Une fois cette transparence assurée, une personne doit alors accepter les conditions d’utilisation, permettant à l’organisation qui ingère des données de les utiliser conformément à ses objectifs énoncés.
Ainsi, la confidentialité consiste moins à protéger les données contre les menaces malveillantes qu’à les utiliser de manière responsable, et conformément aux souhaits des clients et des utilisateurs, pour éviter qu’elles ne tombent entre de mauvaises mains. Mais cela ne signifie pas qu’il ne peut pas également inclure des mesures de sécurité pour garantir la protection de la vie privée. Par exemple, les efforts visant à empêcher le lien de données sensibles avec sa personne concernée ou sa personne physique — telles que la dépersonnalisation des données personnelles, leur obscurcissement ou leur stockage à différents endroits pour réduire la probabilité de réidentification – sont d’autres dispositions communes en matière de confidentialité.
Trop souvent, les termes sécurité et confidentialité sont utilisés de manière interchangeable, mais vous pouvez voir qu’ils sont en fait différents – bien que parfois difficiles à distinguer. Alors que les contrôles de sécurité peuvent être respectés sans satisfaire également aux considérations de confidentialité, il est impossible de résoudre les problèmes de confidentialité sans avoir d’abord recours à des pratiques de sécurité efficaces. En d’autres termes, la confidentialité limite l’accès, alors que la sécurité est le processus ou l’application pour limiter cet accès. Autrement dit, la sécurité protège les données et la confidentialité protège l’identité.
Confidentialité et sécurité des données en pratique
Examinons un exemple hypothétique de ces concepts. Lorsque vous téléchargez une application mobile sur votre smartphone, vous êtes probablement invité avec un accord de confidentialité auquel vous devez consentir avant le début de l’installation. À partir de là, l’application peut également demander l’accès à certaines informations stockées sur votre téléphone, telles que vos contacts, vos données de localisation ou vos photos. Une fois que vous avez décidé d’accorder ces autorisations à l’application, elle est alors responsable de la sécurisation de vos données et de la protection de la confidentialité de ces données, ce qui n’est pas toujours le cas.
Si, par exemple, le développeur de cette application se retournait et vendait les informations que vous lui avez données à un tiers ou à une société de marketing sans votre permission, cela constituerait une violation de votre vie privée. Si le créateur de l’application subissait une violation, exposant vos informations à des cybercriminels, ce serait une autre violation de votre vie privée, mais ce serait également une défaillance de la sécurité. Dans les deux cas, le développeur n’a pas protégé votre vie privée.
Confidentialité et sécurité des données vs. Conformité
Maintenant que vous avez une compréhension de base de la différence entre la confidentialité et la sécurité des données, examinons quelques réglementations communes conçues pour aider à fournir des lignes directrices pour le maintien de chacune et la manière dont elles forment le paysage de la protection des données.
La norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS) est un ensemble de règles visant à protéger les informations sensibles sur les cartes de paiement et les données du titulaire de carte. Bien qu’il s’agisse principalement de normaliser les contrôles de sécurité pour le traitement, le stockage et la transmission des données de paiement, il comprend également des mesures pour les informations personnelles souvent associées aux paiements, telles que les noms et les adresses. Elle s’applique aux banques, aux commerçants, aux tiers et à toutes les autres entités qui traitent les données des titulaires de carte des principales marques de cartes de paiement.
Le Règlement Général sur la Protection des Données (RGPD) de l’Union Européenne est une norme internationale pour la protection de la vie privée des citoyens de l’UE. Cette loi établit des termes et des définitions importants pour les données qui doivent être protégées (personnes concernées), les types de données qui en découlent (données personnelles) et la manière dont ces données doivent être gérées et sécurisées. Toute entité qui collecte les données des citoyens de l’UE est soumise au présent règlement.
La California Consumer Privacy Act (CCPA) est la loi américaine de référence régissant la manière dont les organisations sont autorisées à traiter les données des citoyens californiens et de leurs ménages. Semblable au RGPD, il documente les données protégées et détaille les exigences de protection de ces données. Toutes les organisations qui traitent des données provenant de Californiens doivent respecter ce statut.
Le Health Insurance Portability and Accountability Act (HIPAA) vise à protéger les informations de santé sensibles des patients à travers les États—Unis. Cette réglementation est particulièrement complexe en raison de la grande quantité et de la variété des données de santé disponibles – de la date de naissance d’un patient à ses médicaments prescrits et aux rayons X. Il existe également sous des formes physiques et numériques qui doivent être protégées différemment, ce qui rend impossible la sécurisation des informations de santé privées avec une approche « unique”.
Bien qu’il soit important de respecter les exigences de chaque règlement pertinent pour votre organisation afin d’éviter les amendes et autres pénalités coûteuses, il convient également de noter que le respect des obligations minimales de conformité n’entraîne pas toujours des mesures de sécurité ou de confidentialité adéquates. En donnant la priorité à la mise en œuvre de contrôles efficaces de confidentialité et de sécurité des données — plutôt que de simplement respecter les exigences réglementaires minimales — les organisations dépasseront souvent ces mêmes obligations tout en améliorant leur position en matière de sécurité et en se positionnant mieux pour anticiper les réglementations futures. La segmentation en jetons fournit une méthode efficace pour le faire.
Tokenisation pour la confidentialité et la sécurité des données
L’une des choses uniques de la tokenisation — et l’une de ses plus grandes forces — est son potentiel pour répondre à la fois aux préoccupations de confidentialité et de sécurité des données. Grâce à sa capacité à pseudonymiser les informations, la segmentation en jetons peut agir comme une sécurité à sécurité intégrée pour protéger les données sensibles en cas de violation, rendant les données stockées dans le système violé illisibles pour les cybercriminels. En effet, la pseudonymisation désensibilise les données en les déidentifiant et en les empêchant de retrouver leur forme sensible d’origine.
Comme la segmentation en unités supprime les données sensibles des systèmes internes, elle peut pratiquement éliminer le risque de vol de données, ce qui en fait un outil particulièrement utile pour la réduction des risques et la conformité en termes de confidentialité des données et de sécurité. Ainsi, même si les systèmes de sécurité mis en place pour protéger la confidentialité des données sont compromis, la confidentialité de ces informations sensibles ne le fait pas.
Pour plus d’informations sur la segmentation en jetons et sur la manière dont elle répond aux préoccupations de sécurité et de confidentialité, consultez notre ebook » Comment choisir une solution de segmentation en jetons » ci-dessous.
