Un des sujets les plus brûlants dans la gestion de la confidentialité des données en 2020 est l'automatisation, en particulier la découverte et la classification automatisées des données.
Fin juin 2020, deux grands fournisseurs de logiciels de confidentialité des données ont annoncé des investissements ou des partenariats dans la technologie de découverte de données : OneTrust a acquis la solution logicielle de découverte et de classification des données, Integris Software, tandis que TrustArc et BigID, une entreprise de découverte et d'intelligence des données utilisant l'apprentissage automatique, ont annoncé leur partenariat officiel. Ces initiatives visent à renforcer la découverte et la classification automatiques des données pour les logiciels de gestion des programmes de confidentialité.
Les fournisseurs de confidentialité des données se concentrent sur l'automatisation
Les annonces mettant en avant les fonctionnalités d'automatisation de ces fournisseurs n'étaient pas surprenantes après les nouvelles d'autres entreprises technologiques de confidentialité des données misant gros sur l'automatisation.
En juin 2020, Ethyca a annoncé avoir levé 13,5 millions de dollars lors d'un financement de série A pour continuer à améliorer son nouvel outil de confidentialité des données automatisé en libre-service. Plus tôt dans l'année, en février 2020, SECURITI.ai a été nommé la « startup la plus innovante » lors du concours RSA Conference Innovation Sandbox, bien connu dans le domaine de la cybersécurité, pour leur produit de confidentialité alimenté par l'IA, PRIVACI.ai, qui automatise la conformité à la confidentialité des données en utilisant la découverte automatique des données et l'automatisation robotique via leur produit Auti. Il convient de noter que BigID a également remporté le prix 2018 pour la protection de la confidentialité et des données personnelles.
Les entreprises ne sont toujours pas prêtes pour le CCPA
Pourquoi les entreprises investissent-elles dans la découverte et la classification automatisées des données et pourquoi précisément maintenant ? C'est parce qu'un nombre croissant d'entreprises sont tenues responsables des violations de la confidentialité liées aux données sensibles des utilisateurs. Auparavant, de nombreuses grandes entreprises devaient seulement se soucier de traiter correctement les données des résidents de l'Union européenne en vertu des règles du Règlement général sur la protection des données (RGPD) de l'UE, entrées en vigueur en 2018. Désormais, beaucoup de ces entreprises doivent également faire face à la confidentialité des données des Américains en ce qui concerne la California Consumer Privacy Act (CCPA), la loi californienne la plus complète sur la confidentialité des consommateurs, qui est entrée en vigueur le 1er janvier 2020 et est devenue exécutoire le 1er juillet 2020.
Le CCPA permet aux résidents de Californie de savoir quelles données une entreprise collecte sur eux, de refuser la vente de ces données et de supprimer les données, entre autres droits. Dans une enquête menée en 2019 par l'International Association of Privacy Professionals (IAPP) en collaboration avec OneTrust, environ la moitié des répondants s'attendaient à être prêts pour le CCPA lorsque la loi est entrée en vigueur. Dans les mois précédant le jour où la loi est devenue exécutoire, les entreprises ont essayé de se conformer à la loi ; il est probable que beaucoup s'efforcent de localiser réellement toutes les données concernées après avoir essayé de comprendre l'étendue des données que leurs entreprises conservent.
Découverte de données manuelle versus automatisée
Comment les entreprises procèdent-elles pour trouver des données sensibles dans leurs systèmes ? Actuellement, il existe trois façons pour les entreprises de mener une découverte de données sensibles : en les recherchant manuellement, en automatisant le processus ou en combinant les deux.
Découverte de données manuelle
La méthode de découverte de données sensibles manuelle est une approche axée sur les processus qui nécessite que les employés de l'entreprise, généralement ceux du département informatique, remplissent manuellement des enquêtes ou des feuilles de calcul indiquant où les données sensibles sont stockées.
Ce processus peut être à la fois fastidieux et laborieux, c'est pourquoi certains fournisseurs de logiciels de gestion de la confidentialité des données proposent des modèles d'enquête préconstruits et des outils de gestion des flux de travail pour administrer cette tâche ardue. Un problème avec cette méthode est que les résultats sont rapidement obsolètes ; les résultats restent vrais et pertinents uniquement jusqu'à la date à laquelle ces enquêtes ont été complétées. Les erreurs humaines, l'incomplétude due à une connaissance fragmentée du paysage des données, y compris les tiers qui utilisent les données, et d'autres problèmes peuvent également affecter l'intégrité de ce processus.
Découverte de données automatisée
La découverte de données sensibles automatisée est une approche axée sur la technologie qui se connecte aux bases de données d'une entreprise, aux applications et à d'autres référentiels de données pour explorer, identifier et classer automatiquement les données sensibles.
Un inconvénient de cette méthode serait les magasins de données qui ne sont pas facilement connectés à cet outil, tels que les référentiels de données non standard ou hérités. Certains fournisseurs surmontent cette limitation en construisant des API personnalisées pour se connecter aux applications héritées d'une entreprise. L'avantage est qu'une fois ces connexions établies, les résultats de la découverte automatique des données devraient être toujours à jour, dynamiques et facilement capables d'automatiser le processus de demande d'accès aux données pour l'accès, la suppression ou la portabilité. Beaucoup de ces outils peuvent trouver à la fois des données structurées et non structurées, ainsi que rechercher dans plusieurs formats de fichiers.
De manière réaliste, une entreprise utiliserait une combinaison de solutions axées sur les processus et sur la technologie pour obtenir une compréhension précise de l'endroit où se trouvent les données sensibles.
| En savoir plus : Un guide complet de la gestion de la confidentialité des données → |
La découverte de données automatisée pour aider à la vérification d'identité du CCPA
Une autre raison pour laquelle de nombreuses entreprises peuvent envisager d'utiliser la découverte de données automatisée est d'assister leur processus de vérification d'identité avant de répondre à une demande d'accès aux données ou à une demande de consommateur pour accéder, transférer ou supprimer leurs données personnelles. Actuellement, de nombreuses entreprises utilisent des outils de vérification d'identité tiers pour authentifier l'identité d'un utilisateur, mais un amendement plus récent à l'article 4 du CCPA suggère que les entreprises peuvent utiliser leurs propres données pour valider l'identité de l'utilisateur.
« Chaque fois que cela est possible, faites correspondre les informations d'identification fournies par le consommateur aux informations personnelles du consommateur déjà conservées par l'entreprise, ou utilisez un service de vérification d'identité tiers qui se conforme à cette section. » - CCPA, Article 4. Vérification de la demande, 999.323. B.1
Le paysage de la découverte de données manuelle versus automatisée
En mars 2020, nous voulions voir quelles entreprises offraient la découverte automatique des données, la découverte manuelle des données, ou celles qui ne spécifiaient pas. Il convient de noter que certains produits offrent à la fois des fonctionnalités de découverte de données manuelle et automatisée.
Sur les 57 produits que nous avions listés dans la catégorie logiciels de gestion de la confidentialité des données en mars 2020, seulement 19 produits offraient explicitement la découverte automatique des données. Lorsque nous avons revisité la liste des produits de gestion de la confidentialité des données en juillet 2020, nous avions ajouté 10 produits logiciels supplémentaires pour un total de 67 solutions logicielles de gestion de la confidentialité des données sur le site de G2. Parmi ces 67 produits, 27 offrent désormais la découverte automatique des données.
Pour aider les acheteurs de logiciels de gestion de la confidentialité des données à déterminer quel logiciel serait le meilleur pour eux, offrant soit la découverte manuelle soit la découverte automatisée des données, nous ajouterons une case à cocher d'attributs à cette catégorie indiquant quels produits offrent quelle fonctionnalité. Cet attribut de découverte de données deviendra visible une fois que la catégorie aura six produits sur la grille G2 et que chacun de ces six produits aura 10 avis ou plus pour les logiciels de gestion de la confidentialité des données, selon la méthodologie de notation de la grille de G2.
En conclusion : l'automatisation est là pour rester
Pour les entreprises dont les modèles commerciaux reposent sur l'utilisation de données sensibles des consommateurs, ajouter des outils de découverte de données automatisée pour trouver leurs données sensibles serait un ajout bienvenu à leur mélange actuel de SaaS, au lieu de surcharger leurs professionnels de l'information avec des enquêtes manuelles et d'autres demandes axées sur les processus. Étant donné le nombre d'investissements dans la découverte et la classification automatisées des données, ainsi que la cartographie automatisée des données que nous avons vus jusqu'à présent en 2020, nous croyons à long terme que la découverte automatisée est la voie de l'avenir.
Vous voulez en savoir plus sur Logiciel de gestion de la confidentialité des données ? Découvrez les produits Gestion de la confidentialité des données.
Merry Marwig, CIPP/US
Merry Marwig is a senior research analyst at G2 focused on the privacy and data security software markets. Using G2’s dynamic research based on unbiased user reviews, Merry helps companies best understand what privacy and security products and services are available to protect their core businesses, their data, their people, and ultimately their customers, brand, and reputation. Merry's coverage areas include: data privacy platforms, data subject access requests (DSAR), identity verification, identity and access management, multi-factor authentication, risk-based authentication, confidentiality software, data security, email security, and more.
