Responsable de la sécurité de systèmes d’information chez SailPoint, basée aux Etats-Unis, Heather Gantt-Evans porte un regard aiguisé sur la notion de protection des données privées à l’occasion du Data Pricacy Day (28 janvier). Pour elle, les entreprises ont (aussi) un important rôle à jouer.
Que pensez-vous de la protection des données privées telle que celle-ci est encadrée, à la fois aux Etats-Unis et en France ?
Heather Gantt-Evans : Collectivement, sommes-nous du bon côté de l’histoire en ce qui concerne la confidentialité des données ? Pour l’heure, je répondrais à cette question par la négative : nous ne sommes pas encore parvenus à maturité. Si l’on prend un peu de recul par rapport à l’époque dans laquelle nous sommes immergés, nous nous rendons compte que nous sommes en quelque sorte des « barbares des données », c’est-à-dire que nous sommes encore à un niveau de maturité en devenir. Et pour cause : nos environnements sont de plus en plus impactés par le « Ready Player One ». En réalité, nous devrions prendre le temps de réfléchir à notre vie privée et à la manière de la protéger. L’histoire est en marche : certains gouvernements promulguent des règlementations. En France, c’est le cas du RGPD, le Règlement général sur la protection des données, qui a été édicté à l’échelle européenne. Je citerais également le California Consumer Privacy Act, qui joue également un rôle d’encadrement au sein de l’Etat de Californie.
Les entreprises ont-elles également un rôle à jouer ?
Heather Gantt-Evans : En effet. Afin que les entreprises puissent répondre à ces attentes croissantes et se conformer aux nouvelles directives réglementaires, elles devront à mon avis de plus en plus prouver qu’elles investissent dans la vie privée. Elles pourraient également s’efforcer de collecter le moins de données possibles, de crypter les données dont elles disposent, de donner à leurs clients la possibilité de refuser la collecte de données, mais aussi de donner le droit à ces mêmes clients d’être « oubliés » – c’est-à-dire que les données collectées antérieurement seraient redonnées au client et supprimées sur les serveurs de l’entreprise. La chose la plus importante à faire, c’est certainement de communiquer clairement sur la manière dont les données collectées sont appelées à être utilisées dans le but de fournir de la valeur au client, sur la manière dont elles sont protégées ainsi que sur les options de confidentialités qui sont offertes. J’ai bien conscience du fait que cela peut s’avérer particulièrement difficile pour les données impliquées dans l’ « apprentissage automatique propriétaire ». Cela dit, la transparence algorithmique démontre combien une entreprise peut être consciente de la confidentialité des données.
Pensez-vous que cette approche peut être mises en place rapidement ?
Heather Gantt-Evans : Pourquoi pas ? Cette transparence est notamment mise en place, aux Etats-Unis, par Disney. Cette société a récemment accepté des changements en matière de confidentialité pour les applications destinées aux enfants. Elle a par exemple supprimé les logiciels de suivi pour les publicités ciblées. En outre, et de manière plus générale, les entreprises devraient chercher à intégrer la protection de la vie privée de leurs clients dans les valeurs fondamentales qui sont les leurs et dont elles se réclament. Je suggère à cet égard qu’une nouvelle expression infuse au sein des entreprises : « Le client a toujours raison d’être en sécurité ». Les lignes sont appelées à bouger…
Pierre Saire