LIVRE BLANC

Guide sur la confidentialité et la conformité

1Guide sur la confidentialité et la conformité

IntroductionFace au nombre croissant de nouvelles réglementations en matière de confidentialité et de protection des données à travers le monde, nous assistons à une tendance mondiale exigeant des entreprises qu'elles adoptent une stratégie de conformité multirégionale pour la confidentialité des utilisateurs et la sécurité des données personnelles. Parmi les réglementations auxquelles les acteurs mondiaux doivent se conformer figurent le Règlement général sur la protection des données (RGPD) de l'Union européenne, le California Consumer Privacy Act (CCPA), la Loi canadienne sur la protection des renseignements personnels et les documents électroniques (LPRDE) et bien d'autres.

Les entreprises internationales ne peuvent pas se permettre d'ignorer ces nouvelles lois et réglementations en matière de confidentialité. Du seul point de vue financier, les amendes modérées imposées au cours des 12 premiers mois du RGPD sont désormais beaucoup plus importantes, le RGPD prévoyant désormais des pénalités statutaires imposantes de l'ordre de 4 % du chiffre d'affaires mondial annuel.

Mais le coût pour les entreprises mondiales est bien plus que financier. En effet, c'est la confiance des internautes qui est menacée. Si ceux-ci ne font pas confiance à une entreprise pour protéger leur précieuse confidentialité, les ventes et la puissance commerciale en pâtiront. Les entreprises ont aujourd'hui besoin d'un consentement explicite pour traiter les données personnelles. Sans confiance, il n'y a pas de consentement et donc pas de données. Or, le manque de données a pour conséquence l'inefficacité des campagnes de vente et de marketing.

La confidentialité et la gouvernance des identités aident les entreprises internationales à établir des relations de confiance avec les utilisateurs et les internautes, ce qui se traduit par une plus grande fidélité des clients et, en fin de compte, par une augmentation du chiffre d'affaires.

2Guide sur la confidentialité et la conformité

La nécessité d'une stratégie de conformité multirégionaleSelon les données de l'Organisation des Nations unies, 107 pays ont mis en place une législation pour assurer la protection des données et de la vie privée. À l'heure actuelle, 68 % de tous les pays disposent d'une législation sur la protection de la vie privée existante ou en instance d'application.

Bien que le champ d'application des réglementations au niveau des pays et des États varie, les économies les plus importantes ont tendance à avoir les réglementations les plus strictes. Mais le point commun des entreprises exerçant des activités partout dans le monde est qu'elles doivent faire face à une grande variété de lois sur la confidentialité qui sont similaires en de nombreux points, mais qui varient énormément en d'autres.

En matière de réglementation, le moindre détail est important. La plupart des réglementations nécessitent des mises en œuvre d'identités des clients différentes. D'un point de vue pratique, il n'est pas logique d'essayer de se conformer à chaque exigence régionale par le biais du déploiement de solutions informatiques locales individuelles. Après tout, la plupart des entreprises internationales souhaitent disposer d'une base de données centralisée avec une vue unique à 360 degrés du client.

Certaines entreprises envisagent de se baser sur les clauses les plus strictes en matière de confidentialité des données, pour ensuite les appliquer dans le monde entier. Cependant, cela ne fonctionnera pas non plus, car certaines exigences en matière de confidentialité des données sont mutuellement exclusives. Par exemple, bien que le RGPD et le CCPA exigent que les entreprises obtiennent le consentement des utilisateurs avant de recueillir leurs données personnelles, les particularités diffèrent. Un écran de consentement utilisateur statique commun ne fonctionnera tout simplement pas.

Dans le cadre du RGPD, les organisations ne peuvent pas utiliser des cases pré-cochées sur les pages d'accueil pour le contenu « gated » générant des leads pour obtenir le consentement. Le consentement doit être volontaire et non pas implicite. C'est-à-dire que les internautes doivent cocher la case pour accepter. Néanmoins, le CCPA autorise encore le consentement implicite, de sorte qu'une case

Législation sur la protection des données et la confidentialité dans le monde entier

3Guide sur la confidentialité et la conformité

pré-cochée est toujours conforme. Une telle différenciation peut être un vrai casse-tête pour les acteurs mondiaux confrontés à la perspective de s'attaquer à plusieurs grands marchés avec des solutions qui doivent afficher différents formulaires d'inscription.

De plus, certaines des nouvelles réglementations interdisent la collecte excessive de données. Les entreprises peuvent collecter uniquement les données personnelles nécessaires au service ou au produit qu'elles proposent. Il est interdit de demander le numéro de téléphone ou le sexe des utilisateurs pour envoyer une newsletter par e-mail ou activer le téléchargement d'un livre blanc. Cela signifie que les entreprises doivent repenser et refondre leurs expériences utilisateur et éliminer tous les champs de données des pages d'inscription et d'autres formulaires qui pourraient être considérés comme excessifs. Dans les pays où il n'y a pas de telles restrictions, les équipes marketing peuvent continuer à collecter des données supplémentaires.

Il faut une solution de gestion centralisée des identités des clients qui offre la flexibilité nécessaire pour s'adapter aux réglementations régionales et individuelles, un système capable de fournir différentes interfaces utilisateur et de gérer les données personnelles différemment selon le pays où se trouve l'internaute.

Relever le défi mondialPour respecter les réglementations internationales, protéger les données des clients et maintenir la confiance des utilisateurs, les entreprises mondiales doivent mettre en œuvre des solutions flexibles de gestion des identités et des accès des clients (CIAM) afin de sécuriser les données et les informations d'identification des utilisateurs grâce à un chiffrement renforcé et un contrôle d'accès limité. Plutôt que d'essayer de s'attaquer aux réglementations une par une au fur et à mesure qu'elles se présentent, et ensuite de devoir tout refaire, l'approche prudente consiste à déployer une solution suffisamment flexible pour répondre aux réglementations actuelles et futures.

Qu'il s'agisse de créer une telle solution CIAM en interne ou de déployer une solution commerciale de qualité professionnelle, les entreprises doivent s'assurer que leur solution de gestion des identités est capable de résoudre les problèmes réglementaires clés tels que le consentement, le droit de contester, le droit d'accès et de suppression des données, la portabilité des données, la sécurité, etc.

Consentement

Un aspect commun des diverses réglementations régionales est le mandat que les entreprises doivent obtenir avant de recueillir et de traiter des données à caractère personnel. Les exigences relatives à l'obtention d'un consentement valide et au moment où le consentement est requis varient selon les réglementations applicables. Par conséquent, les entreprises doivent déployer une solution qui prend en charge les expériences utilisateur (comme les formulaires Web) et les modèles de conception pour demander le consentement des internautes au moment de l'enregistrement du compte, ainsi qu'après la connexion au compte à n'importe quelle étape du parcours du client. Les expériences utilisateur doivent être entièrement personnalisables pour prendre en charge les scénarios d'inscription et de désinscription.

4Guide sur la confidentialité et la conformité

Droit de contester

Les internautes doivent être en mesure de s'opposer à l'utilisation de leurs données personnelles pour certains types de traitement, tels que le marketing direct ou l'analyse statistique. Cela nécessite une solution avec un centre de préférences personnalisable qui permettra aux utilisateurs de sélectionner ou de désélectionner les types de traitement de données qu'ils approuvent.

Droit d'accès

De nombreuses lois donnent à l'internaute le droit d'accéder, de consulter et de corriger les données personnelles traitées et, dans certains cas, de rechercher des informations supplémentaires sur les utilisations et la divulgation de ces données. Cela nécessite à nouveau un centre de préférences de gestion des identités personnalisable qui autorise les utilisateurs à demander l'accès à leurs données. Les entreprises peuvent alors agir sur la demande et extraire des données d'une base de données centrale ou d'autres systèmes contenant les données client.

Droit de suppression des données

Souvent nommé le « droit à l'oubli », le RGPD, le CCPA et d'autres réglementations comprennent le droit pour les utilisateurs de faire effacer tout ou partie de leurs données personnelles et d'empêcher leur diffusion à des tiers ou un traitement par des tiers. Les entreprises doivent s'assurer que leur solution CIAM permet la suppression sécurisée et non récupérable des enregistrements de données, y compris la suppression des sauvegardes, afin d'éviter la prolifération accidentelle de données toxiques.

Portabilité des données

Les réglementations de conformité stipulent que les internautes doivent recevoir des copies de leurs données dans un format couramment utilisé, lisible par les systèmes, pour pouvoir les transférer à une autre entreprise sans entrave. Les entreprises doivent donc mettre en œuvre des solutions qui permettent de telles demandes et sont capables d'extraire des données d'une base de données centralisée ou d'autres systèmes contenant des données client, et de les exporter dans des formats de données communs tels que JSON.

Notification de sécurité et de violation

Les entreprises doivent mettre en œuvre des mesures de sécurité des données appropriées pour protéger les données personnelles qu'elles traitent et la confidentialité des utilisateurs concernés. Cela comprend des mesures de protection qui sont spécifiquement mentionnées dans certaines réglementations, comme le chiffrement des données personnelles en transit et au repos. En outre, les entreprises doivent informer les internautes de toute violation de données dans un certain délai après avoir pris connaissance de la situation. Ces mesures de sécurité importantes doivent être entièrement prises en compte par la solution de gestion des identités.

5Guide sur la confidentialité et la conformité

Accès limité

Développée en interne ou obtenue auprès d'un fournisseur commercial, la solution CIAM doit proposer des niveaux d'autorisation extrêmement granulaires pour garantir un contrôle total des personnes et des applications qui peuvent accéder aux données des clients et les manipuler, le tout en fonction des rôles et des responsabilités. Le contrôle d'accès précis doit être appliqué jusqu'aux colonnes, lignes et champs de données. Par exemple, il devrait être possible de définir des rôles permettant aux développeurs d'effectuer des tâches administratives d'applications sans leur donner accès aux données clients.

ConclusionOutre les réglementations multirégionales de conformité des identités des clients, les garanties de confidentialité et de sécurité sont essentielles pour les entreprises internationales qui souhaitent établir des relations digitales solides et fiables avec leurs clients. Les utilisateurs attendent de plus en plus que leurs données personnelles soient conservées de façon privée et sécurisée.

Le nombre croissant de lois et de réglementations régionales, sans parler des nombreux cas connus d'abus de données, de violations et d'usurpation d'identité, a considérablement augmenté les exigences des entreprises mondiales pour une protection digne de confiance des données personnelles. Lorsque les clients stockent des données au sein d'une entreprise, ils concluent avec celle-ci un contrat de confiance. Si cette confiance est violée, il est très difficile de la rétablir.

Plutôt que d'essayer de renforcer la confiance en répondant aux nouvelles réglementations régionales au cas par cas, il est grand temps de déployer des solutions de gestion des identités complètes, flexibles et de niveau professionnel pour répondre aux besoins actuels et futurs.

Pour de plus amples renseignements, lisez notre nouveau livre

blanc RGPD, CCPA et au-delà : Comment la gouvernance des

identités aide les entreprises à respecter les règlementations

et à améliorer la confiance des internautes.

Akamai sécurise et fournit des expériences digitales pour les plus grandes entreprises du monde. L'Intelligent Edge Platform d'Akamai englobe tout, de l'entreprise au cloud, afin d'offrir rapidité, agilité et sécurité à ses clients et à leurs entreprises. Les plus grandes marques mondiales comptent sur Akamai pour les aider à concrétiser leur avantage concurrentiel grâce à des solutions agiles qui développent la puissance de leurs architectures multi-clouds. Akamai place les décisions, les applications et les expériences au plus près des utilisateurs, et au plus loin des attaques et des menaces. Les solutions de sécurité en bordure de l'Internet, de performances Web et mobiles, d'accès professionnel et de diffusion vidéo du portefeuille d'Akamai s'appuient également sur un service client exceptionnel, des analyses et une surveillance 24 h/24 et 7 j/7, 365 jours par an. Pour savoir pourquoi les plus grandes marques internationales font confiance à Akamai, rendez-vous sur www.akamai.com, blogs.akamai.com, ou @Akamai sur Twitter. Retrouvez nos coordonnées dans le monde entier à l'adresse www.akamai.com/locations. Publication : 02/20.