Protéger les données personnelles grâce à une solution de gestion des identités
Laurent Szpirglas, Regional Sales Director, Ping Identity
À leur manière, les sociétés de gestion des identités numériques contribuent à la protection des données personnelles. La tenue du Data Privacy Day, le 28 janvier, est l’occasion de le rappeler… et de le montrer.
En France, la protection des données personnelles s’inscrit dans un cadre réglementaire strict. Celui-ci est bien sûr lié au Règlement général des données personnelles (RGPD) initié par l’UE en 2016 et complété depuis par plusieurs lois, décrets et ordonnances. Il s’accompagne également de pratiques générées par les éditeurs de solutions eux-mêmes, dont les effets sont réels tant pour les entreprises que pour les consommateurs. Ces professionnels participent également, à leur manière, à la bonne gestion des données personnelles : c’est ce sur quoi je voudrais attirer l’attention à l’occasion de la tenue du Data Privacy Day, ce 28 janvier.
Le consentement à l’utilisation des données : comment l’obtenir et le faire vivre ?
La question de la gestion des données personnelles renvoie presque instantanément à la notion de consentement. Chacun d’entre nous, mis en situation d’utiliser un site Internet ou une plateforme marchande, va être sommé d’approuver l’utilisation des données générées. Dans le monde de l’identité numérique auquel j’appartiens, cela va poser une question de la plus haute importance. À quel moment faire intervenir ce consentement, et comment le faire vivre dans la durée ? Pour les entreprises engagées vis-à-vis de leurs collaborateurs, en interne, la question est abordée de manière très simple : en signant son contrat de travail, l’employé s’engage à placer ses données sous la responsabilité de son employeur. Du point de vue de la gestion des identités au sein même de l’organisation, le problème fait donc l’objet d’un traitement dont les bases sont connues et claires.
Les gestionnaires des identités s’inscrivent nécessairement dans la charte RGPD.
Mais qu’en est-il lorsque l’employé se transforme en consommateur ? Nous entrons ici dans une autre dimension, qui techniquement nous renvoie au SIAM (Service Integration And Management), cet outil qui permet aux services IT de multiplier les fournisseurs en articulant rendement et efficacité. Dans notre métier de gestionnaire des identités, nous allons nous appuyer sur un profil utilisateur de type adresse Gmail, c’est-à-dire sur une solution tierce dont l’utilisateur a déjà, au préalable, accepté les conditions d’utilisation. Dans ce cas, les données ont été saisies, et nous sommes en tant qu’éditeur soumis à la charte des bonnes pratiques RGPD. La plupart des éditeurs vont ainsi faire signer cette dernière par la plateforme commerciale pour laquelle ils agissent. De par leur intervention sur les identités, ils vont contribuer à apporter des garanties sur la circulation des données. En renforçant la sécurité des accès, en s’inscrivant (et en inscrivant la plateforme commerciale pour laquelle ils travaillent) dans le cadre légal en vigueur, ils contribuent à limiter toute fuite potentielle des données.
Chaque accès est strictement garanti.
Un exemple permet d’illustrer ce qui vient d’être dit. Imaginons que nous intervenons pour une plateforme de vente en ligne de pneus. L’entreprise ou le retail est-il en capacité d’apporter à ses utilisateurs toutes les garanties inhérentes à la circulation des données ? Peu importe dans la mesure où nous allons de notre côté, en tant qu’éditeur de solution de gestion des identités, garantir chaque accès, et ce, de manière très rigoureuse. Ce faisant, nous allons contribuer à sécuriser le dispositif de gestion des données, mais aussi à combler les éventuels « trous dans la raquette ». Ceux-ci peuvent être de deux ordres : une vente volontaire des données (ce qui pose bien sûr une question d’ordre éthique) et une cyberattaque.
Telle que pratiquée aujourd’hui, la gestion des identités apporte un certain nombre de garanties en termes de respect des données privées. Les solutions mises en place permettent d’identifier tout risque, de le gérer et de limiter les fraudes. Ainsi, les professionnels que nous sommes participent, à leur niveau, d’une meilleure gestion des données privées. Les consommateurs n’en sont pas les seuls bénéficiaires : les entreprises y gagnent également de leur côté, tant en termes financiers (aucune mise à jour n’est à leur charge sur les nouveaux produits) que pour ce qui relève de leur responsabilité vis-à-vis des données.