Que feriez-vous si quelqu'un essayait de voler vos données personnelles en utilisant les lois sur la protection de la vie privée des données — qui sont censées protéger les informations personnelles des gens — d'une manière nouvelle mais néfaste ?

Sans étapes robustes de vérification d'identité lors du traitement d'une demande d'accès aux données d'une personne, les entreprises peuvent divulguer involontairement leurs informations sensibles aux mauvaises personnes.

Vérification de l'identité des consommateurs pour traiter les demandes de confidentialité des données

La vérification d'identité a été reconnue comme une faiblesse majeure dans le processus de demande de données personnelles ou de consommateur proposé par certaines lois sur la protection de la vie privée des données pour donner aux gens accès aux informations personnellement identifiables (PII) que les entreprises détiennent sur eux.

L'Association internationale des professionnels de la protection de la vie privée (IAPP), la plus grande communauté mondiale d'information sur la protection de la vie privée, a souligné les problèmes associés à la vérification d'identité à la page 28 de son rapport sur les fournisseurs de technologies de la vie privée récemment publié le 15 avril 2020.

En Californie, le procureur général a proposé des amendements à l'article 4 du règlement de la California Consumer Privacy Act (CCPA) pour renforcer les protections de vérification d'identité lors du traitement des demandes des personnes pour accéder, transférer ou supprimer leurs données personnelles. Le règlement proposé stipule que :

« Dans la mesure du possible, faire correspondre les informations d'identification fournies par le consommateur aux informations personnelles du consommateur déjà détenues par l'entreprise, ou utiliser un service de vérification d'identité tiers qui se conforme à cette section. »

- CCPA, Article 4. Vérification de la demande, 999.323. b.1

Une solution : Externaliser la vérification d'identité

L'année dernière, j'ai assisté à ma première conférence IAPP (Privacy. Security. Risk. 2019), et j'ai parcouru le hall des stands des fournisseurs en posant cette question aux cadres de plusieurs fournisseurs de logiciels de gestion de la vie privée des données : Comment effectuez-vous la vérification d'identité avant de traiter une demande d'accès aux données personnelles ou de consommateur ?

La réponse la plus courante était de l'externaliser à un fournisseur tiers.

En relation : Un guide complet de la gestion de la vie privée des données →

Nous avons donc créé une nouvelle catégorie sur G2.com : logiciel de vérification d'identité, qui peut vérifier les identités en utilisant un certain nombre d'approches différentes, y compris des documents d'identité basés sur des photos, des données biométriques comme des selfies en direct, et des vérifications de vérification par rapport à des bibliothèques d'identité connues, telles que les registres publics.

Mais les entreprises veulent-elles vraiment acheter une autre licence logicielle pour réaliser la vérification d'identité ? Leurs utilisateurs sont-ils même prêts à fournir plus de données personnelles, comme une photo d'un permis de conduire ou d'un passeport (dont des copies peuvent facilement être obtenues sur les marchés noirs) pour accéder aux données personnelles sensibles que l'entreprise détient sur eux ?

Et les entreprises sont-elles même prêtes à supporter les risques de stocker des données sensibles supplémentaires d'une personne ?

Une autre solution : Utiliser les propres données de l'entreprise pour vérifier l'identité de la personne

Une nouvelle approche pour résoudre ce problème consiste à utiliser les données que l'entreprise possède déjà sur l'individu pour vérifier son identité. C'est une idée novatrice qui ne nécessite aucune licence supplémentaire pour être réalisée. Le fournisseur de gestion de la vie privée des données, DataGrail, fournit un exemple de cette méthode novatrice de vérification d'identité avec leur Smart Verification, comme indiqué dans un communiqué de presse d'avril 2020.

Un scénario typique de vérification d'identité réussi utilisant les propres données de l'entreprise pourrait ressembler à ceci :

Une personne remplit un formulaire de demande d'accès aux données personnelles (DSAR) en demandant une copie de ses données.
L'entreprise lui envoie un e-mail automatisé avec un lien pour vérifier qu'elle a accès au compte de messagerie qu'elle a fourni sur le formulaire DSAR.
En utilisant le lien, l'entreprise présente maintenant à l'utilisateur le(s) numéro(s) de téléphone que l'entreprise a en dossier. Ils doivent désigner un numéro de téléphone pour recevoir un SMS avec un code, ou un appel téléphonique avec un code de vérification vocal. À cette étape, le demandeur ne peut fournir aucun autre numéro de téléphone pour recevoir ces codes de confirmation ; seuls les numéros de téléphone que l'entreprise a en dossier peuvent être utilisés.
Après avoir reçu le SMS ou l'appel vocal et entré le code sur le site Web, ils sont finalement présentés avec une question de défi de connaissance. Cela pourrait être quelque chose que l'entreprise sait sur l'utilisateur, comme : « Quel était le numéro d'article du produit que vous avez commandé en dernier chez notre entreprise ? »
Lorsqu'ils répondent avec succès à la question de défi de connaissance, leur identité est considérée comme "vérifiée" par trois méthodes différentes (le lien e-mail, le code SMS ou vocal, et la question de défi de connaissance), et le traitement de leur demande de données personnelles ou de consommateur peut se poursuivre.

En relation : Comment authentifier les travailleurs à distance dans un modèle de sécurité Zero Trust →

Dans le cas d'un scénario de vérification d'identité non réussi, un pirate ou une personne non autorisée ne pourrait pas procéder à l'une des trois étapes mentionnées ci-dessus.

Ce scénario est particulièrement utile dans les cas où la personne demandant l'accès à ses données n'a pas de compte utilisateur avec l'entreprise.

G2 Grid® pour Logiciel de gestion de la vie privée des données

Si vous avez des comptes utilisateurs, CIAM est une option

La CCPA permet aux entreprises d'utiliser des comptes protégés par mot de passe existants pour traiter les demandes d'accès, de transfert ou de suppression.

« Si une entreprise maintient un compte protégé par mot de passe avec le consommateur, l'entreprise peut vérifier l'identité du consommateur par le biais des pratiques d'authentification existantes de l'entreprise pour le compte du consommateur, à condition que l'entreprise suive les exigences de la section 999.323. L'entreprise doit également exiger qu'un consommateur se réauthentifie avant de divulguer ou de supprimer les données du consommateur. »

- CCPA, Article 4. Vérification de la demande, 999.324. a

Les entreprises qui ont des comptes utilisateurs en libre-service peuvent intégrer des formulaires de demande d'accès aux données ou de demande de consommateur pour accéder directement à leurs données sensibles au sein des applications du compte utilisateur. Pour fournir une méthode d'authentification de l'identité de l'utilisateur à la fois fluide et sécurisée, les entreprises peuvent utiliser des logiciels de gestion de l'identité et de l'accès des clients (CIAM).

Les outils CIAM aident les entreprises à authentifier et à gérer les identités et les préférences des clients telles que le consentement ou les préférences de contact à grande échelle. De nombreuses solutions CIAM offrent des fonctionnalités avancées d'authentification multi-facteurs telles que les notifications push sur les appareils mobiles, les biométries ou les codes QR pour l'authentification, qui sont considérées comme plus sécurisées que les codes à usage unique envoyés aux comptes de messagerie ou par SMS. La dernière fonctionnalité activée sur certains outils CIAM est l'authentification sans mot de passe, qui améliore grandement la sécurité pour l'entreprise qui n'a plus besoin de stocker des mots de passe. Cela réduit les frictions pour l'utilisateur final qui peut désormais profiter d'une expérience client améliorée.

En relation : Le guide ultime de l'authentification sans mot de passe →

L'identité est le maillon manquant dans l'écosystème de confiance

L'« Écosystème de confiance » est souvent décrit comme un tabouret à trois pieds composé de sécurité, de confidentialité et de conformité. Pour rendre ce tabouret encore plus sécurisé, cependant, les entreprises ajoutent un « pied » supplémentaire appelé identité.

Étant donné la valeur monétaire que les réglementations sur la protection de la vie privée des données ont attribuée aux données sensibles et personnellement identifiables, s'assurer que ces données restent entre de bonnes mains en vérifiant et en authentifiant les identités est maintenant plus important que jamais. Nous pouvons nous attendre à voir un nombre croissant d'entreprises d'identité s'impliquer dans les solutions de confidentialité et vice-versa, en particulier en ce qui concerne la gestion du consentement des utilisateurs.

MMC

Merry Marwig, CIPP/US

Merry Marwig is a senior research analyst at G2 focused on the privacy and data security software markets. Using G2’s dynamic research based on unbiased user reviews, Merry helps companies best understand what privacy and security products and services are available to protect their core businesses, their data, their people, and ultimately their customers, brand, and reputation. Merry's coverage areas include: data privacy platforms, data subject access requests (DSAR), identity verification, identity and access management, multi-factor authentication, risk-based authentication, confidentiality software, data security, email security, and more.

Explorer d'autres articles G2

Meilleur logiciel d'intelligence commerciale pour les petites entreprises

Alternative plus simple à VMware HCI

Quel outil de marketing d'influence est le plus efficace ?

Quel logiciel de conformité de sécurité les entreprises technologiques recommandent-elles ?

Le problème flagrant de la vérification des identités des consommateurs