Lorsqu’une entreprise accepte de payer 391,5 millions de dollars pour régler les poursuites intentées par des dizaines de procureurs généraux américains à travers le pays, est-ce un gros problème?
Que se passe-t-il si l’entreprise en question est Google – l’une des marques les plus reconnaissables au monde, avec Revenus excédant 257 milliards de dollars l’année précédente ?
Et si Google, même avec ses ressources et sa portée massives, avait vraiment du mal à contrôler ses données de localisation (ce qui était la raison des problèmes juridiques)?
Ce ne sont pas des questions philosophiques; Ils vont au cœur même des défis de confidentialité des données auxquels sont confrontées pratiquement toutes les entreprises de la planète et les mettent toutes dans le même danger que Google. Pour parler franchement, de nombreuses organisations qui font des affaires dans l’arène numérique commettent probablement des erreurs similaires.
Combien d’entre eux peuvent survivre à ce genre de jugement?
Pour mémoire, la poursuite découlait d’un article il y a quatre ans, alléguant que Google enregistrait les mouvements des consommateurs sans obtenir l’autorisation explicite de le faire. Il s’agit d’informations particulièrement sensibles, et c’est pourquoi la fonction « Historique des positions » est désactivée par défaut sur de nombreux téléphones et applications. Les consommateurs ont le choix de l’activer, mais jusqu’à ce qu’ils le fassent, ces données sont considérées comme interdites. Cependant, un paramètre très différent connu sous le nom de « Activité Web et d’application » dans les comptes et appareils Google semble fournir des informations similaires. Cela a incité les procureurs généraux à fouiller, et le litige qui en a résulté a mené au règlement actuel. À l’avenir, entre autres changements, Google limitera son utilisation des données de localisation et assurera une plus grande transparence des clients dans les informations qu’il recueille à partir des fonctionnalités de suivi de localisation.
Le consentement éclairé : un objectif insaisissable
Définissons correctement la ligne de base ici. Peu importe ce que Google a fait ou n’a pas fait, nous vivons à l’ère du consentement éclairé. Les violations flagrantes des réglementations sur la protection des données – telles que les entreprises qui obtiennent des informations personnelles auprès des consommateurs et à leur sujet sans l’approbation ou même à l’insu de ces consommateurs – méritent d’être sanctionnées. Malheureusement, il y a eu trop d’atteintes à la vie privée pour tolérer toute variation, délibérée ou autre.
Mais il y a une question plus large ici qui mérite l’attention: quelconque L’organisation – même les conglomérats multinationaux avec des ressources pratiquement illimitées – ont-ils vraiment la capacité de contrôler les données en sa possession ? Malheureusement, même dans un monde post-RGPD où toutes les règles sont censées avoir changé, la réponse est clairement non.
Il est facile d’utiliser des métaphores sur les tsunamis de données, mais même les volumes stupéfiants ne sont pas le plus grand problème. La cause première du chaos actuel des données est la façon dont les applications et les systèmes fragmentent les données en bases de données, entrepôts de données et même feuilles de calcul spécifiques aux applications. Même lorsque les informations personnelles identifiables (PII) et d’autres données sensibles semblent être stockées en toute sécurité à l’intérieur de l’un de ces silos, il y a presque toujours une copie sans restriction qui a lieu spécifiquement à des fins d’intégration des données. Non seulement cette réplication continue épuise le budget informatique, entrave l’innovation et amplifie les défis de conformité, mais rend également impossible la possibilité de contrôler les données de manière significative.
Nous devons aborder ce problème de manière plus conceptuelle. La confidentialité des données ne commence pas par des technologies ou des processus particuliers; Il s’agit de définir le contrôle et l’accès.
Ce règlement coûteux avec Google offre une preuve supplémentaire que si nous voulons une véritable innovation sans représailles et avec une véritable protection des données pour les personnes et les organisations, nous devons accélérer l’adoption de nouvelles technologies, protocoles et normes qui donnent la priorité au contrôle des données en éliminant les silos et les copies.
Nouvelles normes, nouveaux outils
Heureusement, nous en avons beaucoup qui se sont montrés à la hauteur de l’occasion. Par exemple, les partenaires de la Data Collaboration Alliance plaident fortement Intégration sans copie, une norme qui gagne du terrain au Canada et ailleurs et qui définit un cadre pour l’innovation qui est fondamentalement ancré dans le contrôle. Et conformément à cette norme, nous voyons de nouvelles technologies à la hauteur. L’un des plus intéressants d’entre eux est un Catégorie émergente connue sous le nom de Dataware.
L’intégration sans copie encourage le découplage des données à partir de solutions numériques spécifiques, et les avantages de cette intégration sont clairs et quantifiables. L’élimination des copies qui en résulte permet à un ensemble de données d’alimenter un nombre illimité d’applications avec des schémas enrichis grâce à une véritable collaboration de données. L’élimination des copies offre également l’avantage d’éliminer les données point à point iComme les services informatiques le savent bien, il s’agit d’une tâche qui peut drainer jusqu’à la moitié du budget informatique. Et compte tenu des préoccupations concernant les violations quasi quotidiennes de la confidentialité des données, ce cadre « zéro copie » permet d’automatiser la protection des données avec un ensemble unique de contrôles d’accès universellement appliqués qui sont définis au niveau des données, qui ne sont pas érodés par des contrôles spécifiques à la solution ou par des copies résultant de l’intégration de données traditionnelle. Il permet également une auditabilité précise des données et une gouvernance décentralisée des données.
Il y a un brassage complexe impliqué: nouvelles technologies, normes émergentes, exigences réglementaires, pratiques d’exploitation, application de la loi, etc. Mais il y a aussi un point de départ logique : toutes les parties prenantes reconnaissent qu’un contrôle significatif des données ne peut commencer que par l’élimination des silos et des copies.
La législation européenne et étatique – et les amendes massives qui en découlent – ont contribué à consacrer la confidentialité des données en tant que principe de fonctionnement. Mais étant donné que nous vivons une grande partie de notre vie à travers les canaux numériques, est-il fantaisiste d’aller plus loin? De plus en plus, les données que nous générons en tant que citoyens et consommateurs créent un modèle qui connaît chacun de nous encore mieux que nous ne nous connaissons nous-mêmes. Cette réalité fait du contrôle et de la propriété de nos données un très bon candidat pour un droit humain moderne.
Peut-être qu’avec cette conviction comme fondement, nous entendrons moins parler des violations de la vie privée et plus des bonnes affaires.