Comment les entreprises utilisent nos données, mais les protègent aussi

Les entreprises disposent avec nos données d’un immense potentiel avec lequel elles peuvent développer des produits et des applications. En même temps, elles doivent elles aussi prendre leurs responsabilités et protéger nos données. Notre auteur met en lumière les défis auxquels doit répondre une protection moderne des données dans l’entreprise et qui deviennent un facteur de réussite.

La plupart des organisations se demandent actuellement comment tirer davantage profit de leurs données. Une nouvelle vie est insufflée aux données grâce à l’intelligence artificielle. Pour les algorithmes d’apprentissage automatique, il est facile de découvrir les modèles cachés dans les données, qui surpassent nos règles commerciales et notre intuition humaine.

Si seulement il n’y avait pas la protection des données..

Avant que les entreprises puissent exploiter ce potentiel commercial inexploité, plusieurs défis doivent être surmontés. L’un des plus grands obstacles est l’utilisation conforme à la loi de la protection des données. Ainsi, les bases légales ont été adaptées en Suisse et à l’étranger au cours des dernières années. Cela permet de combler le vide législatif, car des industries entières ont surgi de terre au cours des vingt dernières années, dont les modèles commerciaux reposent principalement sur l’exploitation incontrôlée de nos données. Mais l’époque de la ruée vers l’or des données touche à sa fin. Car comme l’a déjà dit Tim Cook, le CEO d’Apple : « Si une entreprise est construite sur la tromperie des utilisateurs, sur l’exploitation des données, sur des choix qui ne sont pas des choix du tout, alors elle ne mérite pas nos louanges. Elle mérite d’être réformée »

« Si une entreprise est construite sur la tromperie des utilisateurs, sur l’exploitation des données, sur des choix qui ne sont pas des choix en soi, alors elle ne mérite pas nos louanges. Elle mérite d’être réformée » Tim Cook, PDG d’Apple

Depuis 2018, le RGPD régit la protection des données au sein de l’UE. Les infractions au règlement de base entraînent d’importantes sanctions financières. La liste des entreprises sanctionnées se lit comme un « Who’s Who » du monde numérique et peut être extraite de l’un des trackers d’application[1]. Rien que contre Google, des amendes d’une valeur totale de 160 millions d’euros ont été prononcées en France et en Espagne au cours des neuf derniers mois. En Suisse, la nouvelle loi sur la protection des données entrera en vigueur en septembre prochain et de nombreuses entreprises se préparent depuis longtemps déjà à ces adaptations. La loi protège la vie privée des citoyens et leur accorde, entre autres, le droit de décider comment leurs données peuvent être traitées par les entreprises en dehors de leur utilisation initiale. L’interprétation juridique de la protection des données entraîne de nombreuses incertitudes au sein d’une organisation qui souhaite rester conforme à la loi, des retards dans les décisions relatives à l’utilisation des données et un numéro d’équilibriste entre le besoin d’innover et celui d’être en conformité avec la loi.

L’influence de la protection des données va toutefois au-delà de la conformité à la loi et est devenue une caractéristique de base de la satisfaction des clients. Elle est supposée par les clients et son absence entraîne une rupture de confiance qui se répercute directement sur la relation commerciale. Certaines entreprises, comme Apple, vont même plus loin dans la protection des données et l’utilisent activement comme un facteur de différenciation par rapport à la concurrence, comme le montre bien le spot publicitaire ci-dessous :

Investir dans la protection des données

Le fait que la protection des données soit devenue un impératif commercial pour les entreprises du monde entier et une composante essentielle de la confiance des clients a entraîné un plus que doublement du budget moyen consacré à la protection des données au cours des deux dernières années, figure 1.[3]

Figure 1 : Dépenses pour la protection des données (source : Cisco)

Bien que les investissements dans la protection des données aient fortement augmenté, de nombreuses institutions ne concentrent toujours pas suffisamment leurs efforts sur l’élimination des vulnérabilités. Cela s’explique en grande partie par le manque de compétences technologiques nécessaires pour évaluer les risques existants et accumulés en matière de protection des données.

Souvent, l’équipe de protection des données est contrainte de maintenir les processus existants qui ne sont pas conformes à la loi, car ils sont considérés comme des processus de maintien de l’activité et ne peuvent donc pas être remplacés facilement. Un exemple est le test de logiciels avec des données clients réelles qui n’ont pas été suffisamment ou pas du tout anonymisées. L’utilisation de données clients réelles pour le test de logiciels est malheureusement encore un phénomène très répandu et est dû au fait que les technologies établies pour l’anonymisation réduisent fortement la qualité des données et faussent ainsi les résultats des tests.

Risque et innovations

Cependant, lorsqu’il s’agit de projets innovants, la tolérance au risque des responsables de la protection des données change de manière spectaculaire. Les risques connus pour la protection de la vie privée et les faiblesses des technologies établies de protection de la vie privée ont un impact négatif sur le potentiel de réussite des innovations pilotées par les données. Cela conduit à une mort massive des innovations qui souhaitent tirer un nouveau potentiel de revenus des données ou de toute initiative inter-organisationnelle ou intersectorielle visant à analyser les données en commun. Les victimes se trouvent par exemple dans la recherche médicale, où des connaissances importantes pourraient être obtenues par la mise en relation des données des patients, ou dans la lutte contre le blanchiment d’argent et d’autres délits financiers, où un meilleur partage des données permettrait de développer de meilleurs modèles prédictifs pour la prévention de la fraude.

Le tableau dressé est sombre :

• Les lois sur la protection des données deviennent plus strictes ;
• les clients seront moins regardants en cas de violation de la protection des données ;
• la pression pour obtenir davantage de données est plus forte ; et
• les outils que nous utilisons depuis des années dans le domaine de la protection des données présentent de nombreux points faibles et sont donc utilisés de manière très limitée.

Y a-t-il un espoir d’exploiter le potentiel des données clients sans porter atteinte à la vie privée de nos clients ? La réponse est clairement « oui ».

2. Partie suivante avec la technologie de protection des données

Une deuxième partie suivra prochainement sur ce thème. Il y sera question des nouvelles technologies de protection des données qui visent à concilier la protection de la vie privée et le besoin des entreprises d’utiliser les données de manière rentable.

Un CAS pour l’utilisation de l’IA dans les entreprises

La deuxième édition du CAS AI for Business de la HESB Gestion enseigne comment exploiter le potentiel de l’intelligence artificielle dans sa propre entreprise. Ce cursus offre une introduction fortement axée sur la pratique à l’intelligence artificielle (AI) et à l’apprentissage automatique (ML) pour les cadres sans connaissances techniques. Il aide les spécialistes et les cadres de l’économie, de l’administration et des organisations à but non lucratif à mieux évaluer le potentiel de l’IA et à communiquer efficacement avec les Data Scientists. Plus d’informations et inscription.

Références

1. [1] https://www.enforcementtracker.com
2. [2] https://www.inc.com/justin-bariso/tim-cook-may-have-just-ended-facebook.html
3. [3] Étude comparative sur la protection des données CISCO 2022