(mise à jour) Selon le cabinet Gartner, plusieurs menaces s'additionnent en matière de confidentialité des données : les violations de données, le cloud computing, les services associés à de la géolocalisation. Elles conduisent toutes les organisations, et au moins la moitié d'entre elles, à revoir leurs politiques de confidentialité d'ici la fin 2012. Ces questions vont même dominer l'agenda des responsables de la sécurité dans les deux ans à venir, soutient le Gartner.

Carsten Casper, directeur de recherches au Gartner, souligne que « en 2010, les organisations en général et les entreprises en particulier ont connu de nouvelles menaces sur les données personnelles et privées, alors que les budgets affectés à ces problèmes sont restés sous pression. En 2011 et 2012, ces programmes sont restés en sous investissement chronique, nécessitant la création de postes de responsables spécialisés aptes à construire et entretenir de solides relations en interne avec : les instances de direction, les RH, la sécurité informatique, les développeurs d'application. Autre nécessite pour ces responsables : se lier avec les autorités de réglementation et la communauté de défense ».

Cinq points essentiels relatifs à la sécurité

Toujours selon Gartner, ces responsables devront se confronter  à cinq points essentiels dans leur politique de confidentialité :

- La violation des données continue d'être une préoccupation majeure.

La plupart des contrôles existent déjà si la gestion de la sécurité fonctionne correctement. Les entreprises devraient néanmoins mieux compartimenter les renseignements personnels, restreindre l'accès et le chiffrement des données lors de leur transmission à travers les réseaux publics, chiffrer les données sur des appareils portables, et crypter les données de stockage pour les protéger. Ce sujet ne devrait donc pas consommer plus de 10 % du temps d'un responsable de la confidentialité des données.

- Les services basés sur de la géolocalisation reposent la question de l'exploitation des données personnelles de manière inédite.

Les données de géolocalisation peuvent venir du GPS, de la tour cellulaire la plus proche, des points d'accès sans fil, des informations de positionnement en intérieur, les identifiants des compteurs intelligents et les adresses IP. Chacun de ces cas évolue rapidement et de manière spécifique.

Aller au delà de la collecte des données

Or, les fournisseurs en sont restés à la « collecte » d'information, sans cerner leur « utilisation », ils compilent de vastes quantités d'informations, souvent sans un plan clair de ce qu'il faut faire avec. Ce qui viole un principe fondamental de la confidentialité: collecter des informations uniquement dans le but pour lequel vous avez besoin.

Les responsables consacreront, selon Gartner, 5 à 25 % de leur temps sur les services fournis en fonction de la localisation de l'utilisateur.

- Le cloud computing et la notion de confidentialité ne font pas bon ménage.

Et le Gartner d'expliquer que les lois sur la confidentialité s'appliquent et se limitent à un pays alors que le cloud par définition ignore les frontières nationales. Les entreprises doivent ainsi se concentrer sur l'emplacement de l'entité juridique du fournisseur, et non sur les emplacements physiques de ses centres d'opération.