Diriger avec une mentalité axée sur la sécurité

Alors que les cybermenaces augmentent chaque jour, la façon de différencier votre entreprise est de prendre de l'avance sur les problèmes de confidentialité et de sécurité, affirme Ann Cavoukian.





4 mars 2020

Réalisé en partenariat avec Sécurité Microsoft

À mesure que la technologie se développe rapidement, le nombre de problèmes de sécurité et de confidentialité ne fera que croître. Dans cet épisode, nous examinons comment les entreprises peuvent intégrer la cybersécurité dans leurs stratégies commerciales, au lieu de se démener pour réagir en cas de violation.

Même avec un danger imminent, l'invitée d'aujourd'hui, l'experte en cybersécurité Ann Cavoukian, affirme que les entreprises ferment les yeux sur les problèmes de sécurité et de confidentialité jusqu'à ce qu'il soit trop tard. Cavoukian est directeur exécutif du Global Privacy and Security by Design Centre, ainsi que chercheur principal du Ted Rogers Leadership Center de l'Université Ryerson. Elle a travaillé en étroite collaboration avec le gouvernement du Canada ainsi qu'avec des entreprises privées sur la meilleure façon de se défendre contre les attaques de sécurité.

Cavoukian dit également que la vie privée est vitale pour notre société et une forme indispensable de liberté, et que des développements tels que la technologie de reconnaissance faciale sont parmi les violations les plus flagrantes de cette liberté.



Business Lab est hébergé par Laura Ruma, directrice des idées, la division de publication personnalisée de MIT Technology Review. L'émission est une production de MIT Technology Review, avec l'aide à la production de Collective Next. La musique est de Merlean, d'Epidemic Sound.

Afficher les notes et les liens

Anne Cavoukian , Université Ryerson

Confidentialité mondiale et sécurité dès la conception



Microsoft présente le Dr Ann Cavoukian sur la confidentialité et votre entreprise, Youtube

Dr Ann Cavoukian – Protection de la vie privée dès la conception, Youtube

La confidentialité d'abord sera-t-elle la nouvelle norme ? Une entrevue avec le gourou de la confidentialité, le Dr Ann Cavoukian, par Hessie Jones, Forbes



Dr. Ann Cavoukian : Pourquoi les grandes entreprises devraient-elles développer de manière proactive la confidentialité ? par Hessie Jones, Forbes

Transcription complète

Laurier Ruma : De MIT Technology Review, je m'appelle Laurel Ruma, et voici Business Lab, l'émission qui aide les chefs d'entreprise à donner un sens aux nouvelles technologies qui sortent du laboratoire et arrivent sur le marché.

Les menaces de sécurité sont partout. C'est pourquoi Microsoft Security compte plus de 3 500 experts en cybercriminalité surveillant en permanence les menaces pour vous aider à mieux protéger votre entreprise. microsoft.com/cybersecurity .

Notre sujet aujourd'hui est la sécurité et la confidentialité, mais plus spécifiquement la conception de vos produits et de votre entreprise avec une mentalité de sécurité et de confidentialité. Nous explorerons également comment la réglementation gouvernementale des données continuera d'affecter les organisations, ainsi que le retrait, car la confidentialité est une forme de liberté.

Deux mots pour vous, reconnaissance faciale.

Mon invitée est la Dre Ann Cavoukian, spécialiste de la protection de la vie privée et, pendant trois mandats, elle a été commissaire à l'information et à la protection de la vie privée pour l'Ontario, Canada. Actuellement, le Dr Cavoukian est directeur exécutif du Global Privacy and Security by Design Center, ainsi que chercheur principal du Ted Rogers Leadership Center de l'université Ryerson. Le Dr Cavoukian a créé le cadre de protection de la vie privée dès la conception et a plaidé, et gagné, pour son inclusion dans diverses réglementations gouvernementales, y compris le RGPD. Ann, merci de me rejoindre sur Business Lab.

Anne Cavoukian : Ah, mon plaisir. Merci de m'avoir invité.

Laurier  : Alors, pour commencer, pourquoi la confidentialité et la sécurité sont-elles si importantes pour vous personnellement ?

Anne : La vie privée est le fondement de notre liberté. Vous ne pouvez pas avoir de sociétés libres et démocratiques sans une base solide de vie privée. Et nous le savons. Regardez l'histoire. Ce n'est pas un hasard si l'Allemagne est le premier pays au monde en matière de protection de la vie privée et des données. Ce n'est pas par hasard qu'ils ont dû endurer les abus du Troisième Reich, et quand cela s'est terminé, ils ont dit plus jamais ça. Jamais plus nous ne permettrons à l'État de nous priver de notre liberté et de notre vie privée. Et ils s'y sont tenus. Lorsque j'étais commissaire à la protection de la vie privée, j'ai assisté à plusieurs conférences en Allemagne. Chaque conférence a commencé avec une référence à cette époque et ils ont développé ce terme appelé autodétermination informationnelle, selon lequel ce devrait être l'individu qui détermine le sort de ses informations personnelles et ils le considèrent comme une valeur si importante. Ils l'ont inscrit dans leur constitution en 1983.

Laurier : C'est étonnant. Pouvez-vous imaginer que cela se produise en Amérique du Nord?

Anne : Eh bien, nous y travaillons. Il y a eu une telle acceptation de la surveillance. Jusqu'à récemment, au cours des deux dernières années, tous les sondages d'opinion publique (Pew Research, etc.) se situaient à 90 centile pour les inquiétudes concernant la vie privée, 90 % très préoccupés par leur vie privée, 92 % préoccupés par la perte de contrôle sur leurs informations personnelles. Donc, les gens s'exercent à ce sujet et ils veulent retrouver leur vie privée et il y a un tel déficit de confiance en ce moment dans la société, à la fois en termes de secteur privé et de secteur public. Donc, je pense que nous allons commencer à voir des changements à cet égard. Je demande aux gens, vous ne pouvez pas abandonner, n'abandonnez jamais. Nous devons toujours avancer vers nos objectifs et nous pouvons le faire.

Laurier : Est-ce pour cela que vous travaillez si étroitement avec les gouvernements ? Parce que certaines entreprises, consommateurs et citoyens peuvent en fait considérer les gouvernements comme la troisième façon de fournir une sorte de structure, de cadre et de réglementation ?

Anne : Absolument. La réglementation sera essentielle dans certains domaines comme la reconnaissance faciale et d'autres dont nous pouvons parler. Mais je veux aussi mettre les gens en garde. Le gouvernement doit également être contrôlé en termes d'utilisation non autorisée des informations personnelles. Ce n'est pas comme si les gouvernements étaient complètement protecteurs de la vie privée. Pas du tout. Au cours de mes trois mandats à titre de commissaire à la protection de la vie privée, un parti politique différent gouvernait à chacun des mandats; et avant de devenir le gouvernement, ils étaient tous intéressés par la vie privée et voulaient protéger les consommateurs et les citoyens et la vie privée était primordiale. Puis ils sont devenus le gouvernement et tout a changé. Ensuite, ils ont voulu contrôler l'information et y avoir accès et l'utiliser dans leur intérêt. Donc, je mets en garde les gens contre le secteur privé et le secteur public.

Laurier  : Pouvez-vous décrire de manière générale les différences que vous voyez entre la confidentialité et la sécurité ?

Anne : Laisse moi être clair. Bien que la confidentialité englobe un ensemble de protections plus large que la seule sécurité, à l'ère des attaques quotidiennes de cybersécurité et des violations de données, si vous ne disposez pas d'une base solide de sécurité de bout en bout avec une protection complète du cycle de vie, vous ne ne pas avoir d'intimité. Et j'aime toujours me débarrasser de l'état d'esprit à somme nulle de la confidentialité par rapport à la sécurité. Une absurdité totale. Vous avez besoin de confidentialité associée à la sécurité, à la confidentialité et à la sécurité pour tout protéger et vous devez avoir les deux. C'est une proposition absurde que vous puissiez avoir l'un contre l'autre. C'est le modèle que j'essaie de promouvoir; et je travaille avec des entreprises et des entreprises de cybersécurité pour montrer comment nous pouvons améliorer la confidentialité grâce à la sécurité en offrant la protection des données la plus solide, le cryptage de bout en bout et la protection du cycle de vie complet. Nous devons avoir cela. Ensuite, cela vous permet d'avoir un sens de confidentialité, de contrôler vos informations.

La vie privée n'est pas une question de secret. C'est une question de contrôle personnel, que vous décidiez comment vous voulez que vos informations soient utilisées et à qui vous souhaitez qu'elles soient divulguées. Vous devez être dans le siège du conducteur et vous ne pouvez le faire que si vous avez une base solide de sécurité.

Laurier : Donc, formellement, la confidentialité et la sécurité dès la conception est cette mentalité de bout en bout des produits de construction, ainsi que des organisations ?

Anne : Oui, exactement. C'est pourquoi j'ai appelé mon organisation le Privacy and Security by Design Center. Je voulais que les gens comprennent qu'ils doivent être mariés ensemble, c'est essentiel. Et je fais ce travail évidemment depuis longtemps. Nous commençons maintenant à voir des avancées ; et l'année dernière, je devrais ajouter, Tim Berners-Lee, le créateur du Worldwide Web, il est devenu public et il a dit [en paraphrasant] Je suis dévasté par ce que j'ai créé sur le Web. C'est devenu le pot de miel centralisé pour les informations personnelles que les entreprises contrôlent - Google et Facebook - et donnent à des tiers, inconnus, sans aucune autorisation. Il a dit: 'Je suis dévasté de m'en éloigner. Je crée un modèle décentralisé. Son modèle s'appelle Solid mais le fait est qu'il a lancé le mouvement de décentralisation.

Voyez quand vos données sont décentralisées, conservées sous votre contrôle dans une enclave sécurisée dans le cloud par exemple ou ailleurs, puis vous décidez comment vous voulez qu'elles soient utilisées et avec qui vous voulez qu'elles soient partagées. Tant que vous avez le contrôle, la confidentialité est intacte. Et c'est vers ce modèle que nous allons de plus en plus, c'est ce modèle décentralisé où l'individu pourra exercer un plus grand contrôle sur ses informations personnelles. Il leur appartient, les individus, pas aux entreprises ou aux gouvernements.

Laurier : Ainsi, une fois que les individus commenceront à pouvoir faire ces choix, les entreprises devront réagir et leurs systèmes de données seront nécessairement décentralisés également.

Anne : Oui, et ils répondront favorablement car (donc comme vous le savez, je fais du privacy by design) un certain nombre d'entreprises sont de plus en plus certifiées pour le privacy by design. Et ce que je leur dis, c'est : lorsque vous êtes certifié pour la confidentialité dès la conception, criez-le sur tous les toits, dites à vos clients jusqu'où vous allez pour protéger leurs informations personnelles. Et ce que cela fait, c'est établir des relations d'affaires de confiance. La confiance qui s'effrite revient et ce que les entreprises m'ont dit, c'est que lorsqu'il y a une utilisation secondaire des informations personnelles auxquelles elles aimeraient avoir accès, lorsqu'elles retournent vers leurs clients, on leur dit toujours 'Oui, vous pouvez avoir l'information. Je vous donne mon consentement pour l'utiliser à cette fin. Ils adorent ça parce qu'ils acquièrent un avantage concurrentiel et qu'ils récoltent simplement les récompenses de la fidélité et attirent de nouvelles opportunités. C'est une proposition gagnant-gagnant.

Laurier  : Alors, quels sont les problèmes courants auxquels les entreprises sont confrontées avec la confidentialité et la sécurité fusionnées ici ?

Anne : L'un des problèmes est que la sécurité a tendance à être très sous-financée, ce qui est une folie de la part de n'importe qui. Donc, invariablement, des violations de données surviennent et des infractions à la vie privée, puis ils font un nettoyage. Et souvent il y a des poursuites judiciaires et de nos jours il y a des recours collectifs. Ainsi, le coût d'ignorer la sécurité est tout simplement fou. C'est la plus grosse erreur que vous puissiez faire en tant qu'entreprise. Donc, je dis aux entreprises, ne soyez pas frugaux en matière de sécurité ou de confidentialité, car tout d'abord, vous n'aurez aucune confidentialité sans une base solide de sécurité. Et une fois que vous avez cela avec le cryptage de bout en bout, les pare-feu, tout en place, la confidentialité est beaucoup plus facile à gérer car vous pouvez dire à vos clients, à vos citoyens : 'Nous avons les protections les plus solides en place pour protéger vos données et maintenant, nous voulons nous assurer que vous avez le contrôle de vos données afin que vous puissiez vraiment bénéficier de la confidentialité que nous vous avons promise et que vous devez avoir, doit être sous votre contrôle.' Puis, de plus en plus, elle devient une organisation plus forte, elle grandit et elle ne souffre pas des violations de données et des poursuites qui surviendraient autrement.

Laurier : En parlant de violations de données et de poursuites judiciaires, qui, comme vous l'avez dit, sont quotidiennes, voire hebdomadaires, pourquoi les entreprises ne font-elles pas plus attention à la sécurité ? Pourquoi cela continue-t-il?

Anne : C'est une si bonne question. Je n'ai aucune idée vraiment. Je ne le comprends pas. Ils y pensent, je suppose comme un facteur de coût, bien sûr, il en coûte beaucoup moins cher pour sécuriser les données qu'une fois que vous rencontrez la violation de données et que vous devez faire face à un recours collectif, je vous assure. Donc, une partie de cela est une courbe d'apprentissage. Il n'a pas été au premier plan de l'attention des conseils d'administration et des cadres supérieurs jusqu'à récemment avec toutes les violations massives. Donc, je pense que vous allez voir un changement à venir. Cela n'arrive pas assez vite, mais c'est ce à quoi nous nous attaquons de plus en plus et j'ai appris la semaine dernière que les conseils d'administration s'intéressent maintenant beaucoup plus directement à la sécurité et à la confidentialité qu'ils ne l'étaient par le passé. Donc, je suis l'éternel optimiste. Nous n'abandonnons jamais. J'espère que cette tendance changera très bientôt.

Laurier : Pensez-vous qu'il y aura plus de pression de la part des consommateurs qui s'attendent à ce type de contrôle et de responsabilité ?

Anne : Absolument. Je parle beaucoup en public et je parle également à des groupes de consommateurs et dans le passé, je devais leur expliquer pourquoi ils devraient se soucier de leur vie privée et protéger leurs données et les choses de cette nature. Maintenant, comme l'année dernière, je n'ai plus rien à expliquer. Ils viennent me voir avec les questions : 'Dites-moi comment je peux accroître la confidentialité et la sécurité'. Qu'est-ce que j'ai à faire avec les entreprises et avec les gouvernements pour m'expliquer ? » C'est très gratifiant en fait de voir ce changement.

Et honnêtement, l'une des premières choses que je leur dis, 'Si vous magasinez en ligne ou que vous allez dans un magasin hors ligne, faites ce que je fais.' La première chose que je fais, et je le fais poliment après avoir payé, et souvent [le greffier] vous demandera votre code postal ou d'autres informations. Je dirai : 'Oh, partagez-vous cela avec d'autres tiers ou auriez-vous besoin de mon consentement chaque fois que vous voulez le faire ?' Le greffier avec qui vous traitez n'en a aucune idée. Ils iront chercher le gérant, le gérant viendra. Une fois que le responsable verra que vous vous intéressez à la confidentialité, il ou elle dira : 'Oh, bien sûr que vous vous souciez de la confidentialité'. Nous nous assurerons que vos données sont protégées. Nous monterons les murs. Nous ne le partagerons avec aucun tiers. C'est presque comme si vous deviez leur faire part de vos préoccupations en matière de confidentialité et qu'ils sauraient quoi faire. Ce n'est souvent pas fait automatiquement.

Laurier : C'est une idée très intéressante. J'aime ça. Avez-vous d'autres conseils pour que les gens gardent leur vie privée privée ?

Anne : L'une des choses que vous ne devriez jamais faire en termes d'utilisation de vos données que vous avez régulièrement partagées avec des personnes, je suis sûr que vous en avez entendu parler récemment, Clearview AI, cette horrible entreprise, à mon avis, qui gratte tellement de nombreuses images faciales sur Internet, 3,9 milliards d'images faciales sur Facebook, Instagram et des vidéos YouTube.

Ce que je dis aux gens quand vous mettez une photo, par exemple, sur Facebook--et je ne vais pas dire aux gens de quitter Facebook parce qu'ils ne le feront pas--mais ce que je dis, c'est : 'Mettez la murs autour de lui, indiquez clairement que vous ne voulez le partager qu'avec votre nombre limité d'amis et de famille. Facebook, croyez-le ou non, a des mesures de protection de la vie privée très solides que vous pouvez invoquer. Personne ne les connaît. Lors de la conférence CES à Vegas en janvier, je regardais un panel et la personne de Facebook, le responsable de la confidentialité, a déclaré: 'Oh, bien sûr, nous suivons la confidentialité dès la conception'. Nous avons des mesures de protection des prix très fortes. Ma mâchoire est tombée, mais le fait est qu'il est là, mais vous devez le chercher et le trouver. Alors, recherchez les mesures de protection de la vie privée les plus solides sur l'une des applications ou des sites Web que vous utilisez et invoquez-les immédiatement. C'est ce que j'exhorte les gens à faire.

Laurier : Excellent, d'excellents conseils.

La cybersécurité ne consiste pas seulement à arrêter les menaces que vous voyez, il s'agit d'arrêter celles que vous ne pouvez pas voir. C'est pourquoi Microsoft Security emploie plus de 3 500 experts en cybercriminalité et utilise l'IA pour aider à anticiper, identifier et éliminer les menaces afin que vous puissiez vous concentrer sur la croissance de votre entreprise et que Microsoft Security puisse se concentrer sur sa protection. En savoir plus sur microsoft.com/cybersecurity

Laurier : Donc, pour revenir quelques années en arrière, pourquoi le RGPD était-il nécessaire ? Quelle était la construction autour de lui?

Anne : C'est une très bonne question. L'Europe a toujours ouvert la voie en termes de lois sur la confidentialité et de protection des données les plus strictes. Et ils pouvaient voir que l'inquiétude montait de plus en plus en termes d'accès non autorisé à vos données [avec] une surveillance utilisant ces données et le suivi de vos activités et que cela devenait de plus en plus large. Et comme je l'ai dit, les racines de toutes les violations de la vie privée en Allemagne, etc., ils s'en soucient très profondément, alors ils voulaient créer une loi très, très forte sur la protection des données personnelles, ce qu'ils ont fait. Et à mon plus grand plaisir, ils y ont inclus mon cadre de confidentialité par conception.

Confidentialité des données dès la conception, protection des données dès la conception et confidentialité par défaut. Laisse-moi expliquer. Confidentialité par défaut. C'est énorme. C'est le deuxième de mes sept principes fondamentaux de protection de la vie privée dès la conception. La confidentialité par défaut est à l'opposé du cadre existant en grande partie dans la plupart des pays du monde où vous, le consommateur, êtes censé rechercher toutes les conditions d'utilisation et tout le jargon juridique de la politique de confidentialité pour trouver la case de désactivation qui dit, 'N'utilisez pas mes informations à d'autres fins que l'objectif principal auquel j'ai consenti.'

Maintenant, soyons réalistes. La vie est courte, personne n'a le temps de faire ça. Il faut en fait des heures pour le faire, donc personne ne le fait. Ce n'est pas parce qu'ils ne se soucient pas de leur vie privée. C'est juste une attente ridicule. La confidentialité par défaut renverse cela sur sa tête et dit: «Vous n'avez pas à rechercher la confidentialité. Nous vous le donnons automatiquement. C'est le réglage par défaut. Nous ne pouvons utiliser vos informations personnelles qu'aux fins pour lesquelles vous nous les avez fournies et pour lesquelles vous avez consenti à l'objectif principal de la collecte de données. Au-delà de cela, nous ne pouvons pas l'utiliser pour autre chose. Et si une utilisation secondaire survient en cours de route pour laquelle nous aimerions utiliser vos informations, nous devons revenir vers vous et demander votre consentement positif pour l'utiliser pour cette utilisation secondaire.

C'est incroyable. Les gens adorent ça. Les consommateurs, les particuliers adorent ça et les entreprises qui font ça adorent aussi parce qu'ils m'ont dit que lorsqu'ils vont demander un consentement secondaire pour une utilisation secondaire, ils l'obtiennent toujours parce qu'ils ont construit cette relation d'affaires de confiance avec leur clients. Cela devient un gagnant-gagnant. C'est donc ce vers quoi j'aimerais attirer l'attention des gens. Et le RGPD est, croyez-moi, bien plus qu'une simple protection de la vie privée dès la conception. Mais j'ai cette citation, j'en ai fait une diapositive à partir de Ère de l'information il y a quelques années, qui disait que si vous respectez la confidentialité dès la conception, vous êtes conforme au RGPD. Je t'assure que tu dois faire beaucoup plus. Mais cela vous montre la mentalité associée à la protection de la vie privée dès la conception selon laquelle il s'agit de la forme la plus élevée de protection de la vie privée. Et que si vous le suivez, vous avez de bonnes chances d'être en conformité avec le RGPD, donc j'exhorte les gens à le faire.

Laurier : Qu'en est-il du California Consumer Privacy Act (CCPA). Ce n'est pas le RGPD, mais c'est une première étape pour un grand État américain pour s'attaquer en quelque sorte aux problèmes de confidentialité et de données ?

Anne : Absolument.

Laurier : Comment intègrent-ils le privacy by design ?

Anne : Je ne vais pas suggérer qu'ils intègrent la confidentialité dès la conception, mais je tiens à applaudir la Californie. Comme vous l'avez dit, ils sont les premiers, ouvrant la voie à d'autres États à avoir une réglementation très stricte en matière de protection de la vie privée, qui a été largement inexistante en ce qui concerne le secteur privé aux États-Unis et ils donnent le ton. Il contient des mesures de protection de la vie privée très strictes et nous allons de l'avant. Et donc, je félicite vraiment la Californie d'avoir pris l'initiative sur cette mesure et d'autres. Par exemple, diverses villes de Californie, San Francisco, San Diego et un certain nombre d'autres, Oakland, interdisent carrément la reconnaissance faciale de la part de la police, des forces de l'ordre et des services municipaux, etc. C'est incroyable, une interdiction pure et simple de parce qu'ils reconnaissent tous les problèmes inhérents qui y sont associés et qu'ils ont ouvert la voie en faisant cela et maintenant d'autres États suivent, le Massachusetts suit, le Texas l'examine et d'autres aussi, la Californie doit être applaudie pour avoir pris les devants en matière de confidentialité .

Laurier : Eh bien maintenant nous sommes dans ce sujet de la reconnaissance faciale. Quelles sont les implications sur la vie privée derrière, je veux dire que je ne veux pas dire que c'est évident, mais…

Anne : Non. Il y en a tellement et je vais commencer par là, votre image faciale est votre biométrie la plus sensible. Ainsi, les données biométriques sont avant tout très sensibles, mais votre image faciale est la plus sensible car une fois compromise, vous ne pouvez pas la récupérer. Et lorsque j'étais commissaire à la protection de la vie privée, plusieurs victimes d'usurpation d'identité sont venues me demander mon aide pour rétablir leur identité. Ils ont dit : Ces entreprises prétendent toutes que j'ai accumulé toutes ces accusations et que ce n'était pas moi. C'est quelqu'un d'autre qui a volé mon identité. C'est un cauchemar d'essayer d'effacer votre nom une fois que votre identité a été compromise. Et permettez-moi de vous signaler le taux élevé d'inexactitude avec la reconnaissance faciale.

Au Royaume-Uni, en Grande-Bretagne, la police l'utilise régulièrement avec tout son nombre massif de caméras de vidéosurveillance. Il y a deux mois, on notait qu'il y avait un taux de faux positifs de 81% de la part de la police britannique. 81 % de faux positifs signifient que 81 % des correspondances par reconnaissance faciale étaient non seulement incorrectes, mais qu'elles identifiaient à tort les citoyens respectueux des lois comme les méchants, les personnes d'intérêt. Essayez d'effacer votre nom, comme je l'ai dit, c'est un cauchemar. 81 %, et je vous donne l'estimation la plus prudente. Il y a deux semaines, il y avait un autre chiffre, 96% inexact, faux positifs. Je ne l'utilise pas simplement parce que les gens ne me croiront pas. 81% est réel et solide. Alors, imaginez essayer d'effacer votre nom. Donc, mis à part le fait qu'ils ne devraient pas collecter ces informations de toute façon sans votre consentement ou un préavis quelconque, qui est inexistant, c'est aussi très inexact, c'est ridicule. Donc, nous devons, je l'espère, mettre une sorte d'interdiction sur l'utilisation de la reconnaissance faciale en termes de développements réglementaires.

Laurier  : Pensez-vous que c'est parce que [la reconnaissance faciale] est une technologie si naissante que les entreprises sont en train de prendre de l'avance, dans le sens où, eh bien, testons-la dans le monde réel parce que vous allez la tester autrement, c'est en quelque sorte la raison pour laquelle Clearview AI a procédé et l'a fait comme ils l'ont fait. Donc, c'est en quelque sorte ce modèle d'échec rapide de la Silicon Valley.

Anne : C'est peut-être le cas, mais il y a déjà un recours collectif massif contre Clearview AI. Et ce que je n'aime pas tant dans la position du PDG de Clearview AI, c'est que même si ces informations sont disponibles et accessibles au public, [il dit], nous ne faisons que les supprimer. Ce n'est pas disponible publiquement. Oui, cela peut être sur un forum public, comme un forum de médias sociaux, comme Facebook ou quelque chose du genre. Mais malheureusement, les personnes qui n'ont pas réfléchi [comment] protéger les informations, mais elles n'ont jamais été destinées à une utilisation publique massive de la manière dont Clearview AI les met à la disposition des forces de l'ordre du monde entier. C'est comme si nous étions probablement tous sur ces clichés électroniques que la police a maintenant et auxquels ils peuvent se comparer. C'est comme ça. Il est absurde que la grande majorité de ces images, je parie, bien plus de 99% soient tous des citoyens respectueux des lois, mais maintenant nos images faciales ont été capturées pour toujours. C'est totalement inacceptable.

Laurier : Et cela apporte également l'aspect sécurité de la sécurisation de ces données biométriques très sensibles, donc ce n'est pas seulement évidemment la reconnaissance faciale, c'est aussi les empreintes digitales, n'est-ce pas ? Parce que les gens les utilisent de plus en plus pour ouvrir des appareils. Comment les entreprises sécurisent-elles ces données et préconiseriez-vous une deuxième couche, une couche de sécurité différente pour les données biométriques ?

Anne : Laissez-moi vous parler de la forme de protection la plus solide pour les données biométriques. C'est ce qu'on appelle le cryptage biométrique. Il a été développé il y a des années par le Dr George Tomko et il fonctionne de cette façon. Votre empreinte biométrique, votre image faciale, ce n'est pas ce qui est capturé dans la base de données. Ce qui est capturé, ce sont vos informations cryptées biométriquement et autre chose, un code PIN à cent chiffres, un excellent mot de passe, peu importe. Cela devient crypté grâce à l'utilisation de votre biométrie, que ce soit votre visage ou votre doigt, peu importe. Et c'est ce qui est retenu. La beauté de cela est que s'il y a un piratage massif de la cybersécurité et qu'ils pénètrent d'une manière ou d'une autre dans les données cryptées biométriquement, qu'obtiennent-ils ? Ils n'obtiennent pas votre biométrie, ils obtiennent votre code PIN à cent chiffres crypté biométriquement qui n'a pas de sens ou autre chose. Données absurdes. C'est beau. Il protège votre biométrie à 100% mais l'utilise toujours en termes d'authentification ou d'identification que vous recherchez. C'est un gagnant-gagnant. Alors, je vous donne ça comme exemple. Il existe des moyens d'utiliser les avantages de la biométrie et d'autres moyens de protection de la vie privée et de la sécurité. C'est ce que nous devons développer et vraiment explorer.

Laurier : Donc, la sécurité d'abord, la confidentialité d'abord, l'éthique d'abord parce que nous assistons à un changement de mentalité assez massif, n'est-ce pas ?

Anne : Nous sommes. Et j'ai en fait une diapositive à ce sujet lorsque je le fais dans mes discours, parce que d'une manière ou d'une autre, les gens pensent que l'éthique est en quelque sorte distincte de la vie privée et de la sécurité. Absurdité. L'éthique a toujours fait partie de la vie privée. Et je vous ramène en 1980 lorsque le code de pratiques équitables en matière d'information a été élaboré, qui sont des principes qui ont formé pratiquement toutes les lois sur la protection de la vie privée dans le monde. Et j'ai en fait cherché cela - la signification de l'éthique dans le Dictionnaire anglais d'oxford -- parce que je voulais voir exactement comment ils le définissent. Et ils l'ont défini de plusieurs manières, un traitement équitable des données, etc., capturé dans un code moral, capturé dans un code relatif à l'information. Alors, je les oriente vers le Code des pratiques équitables en matière d'information, qui traite de la confidentialité et de la protection des données.

Une longue façon de dire que l'éthique est absolument essentielle mais est une composante inhérente de la vie privée, suggérer le contraire est une folie. Je suis actuellement en train de préparer un nouveau cours que je vais enseigner en plus du privacy by design. J'enseigne un cours sur la confiance dès la conception, qui traite de l'éthique et de la confiance. Ils sont entrelacés et bien sûr, le traitement et l'utilisation équitables des données sont essentiels à leur application, mais ceux-ci ont toujours été des locataires centraux de la confidentialité et de la protection des données. Donc, je vais vous ramener dans les années 80, puis vous ramener là où nous en sommes.

Laurier : C'est fantastique. Et je pense que ce que nous avons appris aujourd'hui, c'est que l'autodétermination informationnelle est l'une des choses les plus importantes que vous puissiez faire, non seulement en tant que consommateur, mais en tant qu'employé d'une entreprise, ainsi qu'une entreprise. [Et pour] simplement plaider en faveur de cela, car cela affecte évidemment tout le monde, car vous aussi, vous êtes un consommateur.

Anne : Vous l'avez parfaitement capturé. Vraiment, c'est l'essentiel et j'ai toujours applaudi les Allemands pour avoir développé ce terme, l'autodétermination informationnelle. Il le cloue. Vous pouvez déterminer le sort de vos informations personnelles et l'une des raisons pour lesquelles c'est si important est que le contexte est essentiel. Vous seul connaissez le contexte associé à vos données, leur sensibilité ou leur absence. Je dis aux gens, écoutez, la vie privée n'est pas une religion. Vous voulez donner vos informations, soyez mon invité. Tant que vous prenez cette décision et que vous vous demandez si c'est sensible ou non ou quoi que ce soit. L'autodétermination informationnelle le saisit parfaitement.

Laurier : Ann, merci beaucoup de nous rejoindre aujourd'hui sur le Business Lab. Cela a été une discussion fantastique.

Anne : Ça m'a fait plaisir, Laurel. Merci beaucoup de m'avoir invité à le faire.

Laurier : C'était le Dr Ann Cavoukian, directrice exécutive du Global Privacy and Security by Design Center, à qui j'ai parlé depuis Cambridge, Massachusetts, siège du MIT et du MIT Technology Review, qui surplombe la rivière Charles. Merci également à notre partenaire, Microsoft Security

C'est tout pour cet épisode de The Business Lab. Je suis votre hôte, Laurel Ruma. Je suis le directeur d'Insights, la division de publication personnalisée de MIT Technology Review. Nous avons été fondés en 1899 au Massachusetts Institute of Technology et vous pouvez nous trouver dans des imprimés, sur le Web et lors de dizaines d'événements en direct chaque année dans le monde. Pour plus d'informations sur nous et sur le salon, veuillez consulter notre site Web à l'adresse technologyreview.com. L'émission est disponible partout où vous obtenez vos podcasts. Si vous avez apprécié cet épisode, nous espérons que vous prendrez un moment pour nous évaluer et nous donner votre avis. Business Lab est une production de MIT Technology Review. Cet épisode a été produit par Collective Next. Merci pour l'écoute.

Les menaces de sécurité sont partout. C'est pourquoi Microsoft Security compte plus de 3 500 experts en cybercriminalité surveillant en permanence les menaces pour vous aider à protéger votre entreprise. Plus d'informations sur microsoft.com/cybersecurity.

cacher