Confidentialité des données. Dès la conception.
Les avantages d’un monde connecté – plus d’innovation, de croissance et de prospérité – se mesurent lorsque les individus sont certains que les données collectées sont gérées et analysées de manière responsable.
“Puisque les données deviennent la ressource clé de l’entreprise, la sécurité et la protection des données deviennent primordiales.”
Stuart BermanIT security architect at Steelcase
Les petites actions peuvent avoir de grandes conséquences
Chaque jour, nous communiquons des informations personnelles en échange de services numériques. Un achat en ligne, l’utilisation d’un moteur de recherche ou le téléchargement d’une application suffisent à Google, Facebook, Apple, Amazon et d’autres pour recueillir des données sur nous, sur ce que nous achetons, avec qui nous interagissons en ligne.
Beaucoup y voient un échange raisonnable de données contre des services qui simplifient la vie, la rendent plus intéressante et plus amusante. D’autres vivent moins bien ce compromis. Et pourtant, tous souhaitent que leurs données personnelles restent privées et sécurisées.
“La protection des données au travail concernait jusqu’à maintenant la confidentialité audio, la confidentialité visuelle, la confidentialité géographique et la confidentialité des informations, dont les individus estiment avoir besoin”, explique Melanie Redman, Senior Design Researcher chez Steelcase.
“Ce qui a changé, c’est la façon dont nous appréhendons la protection des données. Aujourd’hui, nous pensons à la confidentialité des données et à la confidentialité psychologique, car notre perception de la vie privée a une incidence sur l’ensemble des autres expériences que nous faisons. La confidentialité est plus contextuelle au sein de travail, plus personnelle et un sujet de plus en plus important dans l’entreprise.”
La confidentialité dans un monde connecté
La confidentialité n’est pas un problème nouveau pour Steelcase. L’entreprise mène des recherches sur le respect de la confidentialité dans l’environnement de travail depuis plus de vingt ans, et a commencé à étudier les questions de confidentialité numérique il y a trois ans.
“Les entreprises ont émis des hypothèses sur la confidentialité numérique, mais ces hypothèses n’avaient jamais été testées. On supposait que les individus étaient prêts à partager des données personnelles en échange de services, tels que naviguer sur le Web ou se connecter avec d’autres personnes via les réseaux sociaux, et qu’ils seraient prêts à faire la même chose au travail. En d’autres termes, ils permettraient la collecte de données en échange de services professionnels. Nous avons eu envie de tester ces hypothèses”, explique Redman.
Steelcase a interrogé 3 000 personnes à travers le monde sur les problèmes de la confidentialité au travail. Il en ressort un élément majeur : les attitudes des employés à l’égard de la confidentialité sont remarquablement cohérentes quelle que soit le pays, le genre et l’âge. Cela remet en question les notions communément admises sur la confidentialité, comme penser que les jeunes, qui partagent constamment des informations sur les réseaux sociaux, se préoccupent moins de la protection des données. Il se trouve que les attitudes en matière de confidentialité ne varient pas selon l’âge ; elles varient selon le type d’entreprise et selon les modes de travail.
Les attitudes à l’égard de la confidentialité diffèrent, par exemple, en fonction du degré de mobilité d’un employé, de la facilité avec laquelle il adopte une nouvelle technologie ou du niveau de collaboration qu’implique son travail.
Deux dimensions de la confidentialité ont été mises en avant : la première est de pouvoir contrôler la stimulation et la distraction, conséquences des espaces de travail ouverts et de l’utilisation d’appareils mobiles. Il est difficile de trouver du calme, du temps pour soi et plus difficile encore de se déconnecter du travail. Le contrôle de la stimulation peut être accompli au sein de l’espace de travail et Steelcase connaît de nombreuses stratégies pour aider les entreprises à offrir à leurs employés des espaces pour s’isoler, se reposer et se régénérer.
La seconde est le contrôle des informations. La prolifération des données et la facilité accrue avec laquelle on peut les agréger et en tirer de la valeur Font qu’il est plus difficile de contrôler qui a accès à nos informations et l’utilisation qui en est faite. La perte de contrôle de nos données est une cause d’anxiété car le contrôle est essentiel au maintien de la confidentialité.
“Le monde est de plus en plus numérique et axé sur les données et nous entrons rapidement dans un futur où tout sera connecté. Puisque les données deviennent la ressource clé de l’entreprise, la sécurité et la protection des données deviennent primordiales”, explique Stuart Berman, architecte de la sécurité informatique Steelcase.
Pour garantir la collecte, l’analyse et la gestión responsables des données, Steelcase conçoit tous ses produits technologiques selon des normes strictes en matière de confidentialité et de sécurité. “Nous savons à quel point il est important pour les entreprises et les particuliers de garder le contrôle de leurs données. Ainsi, avant de développer un produit numérique, Nous établissons des principes de confidentialité et de sécurité dès la conception”, explique Barbara Hiemstra, ingénieur confidentialité.
Faites connaissance avec l’ingénieur confidentialité de Steelcase
Failles de sécurité d’envergure, utilisateurs de réseaux sociaux qui identifient, protègent et sécurisent les données contre les cyberattaques: les réalités du monde connecté ont conduit à une profession émergente, l’ingénieur confidentialité. C’est en effet un poste de plus en plus répandu dans les entreprises du Web et de services et de conseils en informatique. Barbara Hiemstra fait partie des premiers ingénieurs confidentialité dans l’industrie du mobilier de bureau.
“Je fais partie de l’équipe de sécurité informatique qui interagit avec des chercheurs, des designers, des développeurs de logiciels, des experts juridiques et d’autres intervenants pour veiller à ce que la confidentialité fasse partie intégrante du processus de conception. Nous recommandons des technologies améliorant la protection des données afin de réduire les risques, nous effectuons des évaluations des risques liés à la confidentialité et nous intégrons la protection des données dans le cycle de vie du logiciel”, explique Barbara Hiemstra.
Son équipe sensibilise également les utilisateurs à la cyber-hygiène : adopter des comportements individuels pour maintenir une présence en ligne « saine » (sécurisée). Cela inclut la maintenance du mot de passe, les mises à jour des logiciels et des antivirus, les sauvegardes de données et d’autres stratégies. Le contenu est mis à la disposition des concessionnaires Steelcase qui, à leur tour, peuvent l’offrir aux clients.
“Le Big Data est un outil génial, mais il s’accompagne d’une grande responsabilité.”
Conception centrée sur l’utilisateur
Cette approche découle du processus de conception centrée sur l’utilisateur de Steelcase pour le développement de nouveaux produits. “Nous ne créons pas un siège, par exemple, en conjecturant sur les besoins du client. Nous lui parlons d’abord, nous allons sur le terrain, nous observons les modes de travail, les problèmes existants. Nous tirons des conclusions de ces observations et nous concevons et développons des produits à partir de là. Pour les produits numériques, c’est la même chose”, explique Stuart Redman.
L’un des premiers produits numériques de Steelcase, lancé en 2017, est Workplace Advisor. Il recueille des données sur l’occupation de l’espace de travail afin d’aider les entreprises à mieux l’utiliser et à créer des environnements plus efficaces.
“Nous sommes totalement transparents sur les données clients collectées par Workplace Advisor: comment nous les utilisons et comment nous les sécurisons. Nous voulons que nos clients comprennent parfaitement le processus”, précise Shawn Hamacher, avocat general adjoint chez Steelcase.
“La protection des données dès la conception signifie que nous l’intégrons au produit. On n’essaie pas de le verrouiller après. La confidentialité est dans l’ADN de chaque produit numérique.”
Pour protéger la confidentialité des données collectées par Workplace Advisor, Steelcase utilise la plate-forme Microsoft Azure IoT. En outre, Workplace Advisor fera l’objet d’un contrôle en conformité pour vérifier qu’il respecte les normes SOC 2 (Service Organization Controls) développées par l’American Institute of Certified Public Accountants (Comité des normes d’audit de l’AICPA). Steelcase doit présenter à ses clients qui utilisent Workplace Advisor des audits et des rapports prouvant que les contrôles ont été réalisés.
Une norme mondiale
Les normes de confidentialité évoluent. L’Europe a récemment établi un texte de référence sur la protection des données personnelles dans le monde. Le GDPR, règlement général sur la protection des données, est entré en vigueur en mai. Il renforce et unifie la protection des données pour tous les citoyens européens. Steelcase se conformera au GDPR pour tous ses clients de produits numériques, non seulement en Europe mais dans le monde entier.
“C’est la norme la plus stricte au monde en matière de confidentialité et de sécurité des données et Nous l’appliquons pour toutes les données clients. Que vous soyez basés en Europe, en Asie, en Afrique, en Amérique du Nord ou du Sud, tous nos produits numériques seront conformes au GDPR”, explique Berman.
“Nous voulons que nos clients comprennent que la confidentialité et la sécurité, dès la conception, impliquent une transparence sur notre fonctionnement, sur notre mode de collecte et d’utilisation des données, et les moyens déployés pour les proteger”, ajoute Hamacher. “Il n’y a pas de confidentialité sans sécurité. La confidentialité commence par la sécurisation des données.”
La même chose s’applique à tous les produits numériques Steelcase, y compris Steelcase Find, une application mobile qui aide les individus à localizer rapidement les espaces de travail et les collègues, facilitant ainsi la connexion et la collaboration, essentielles à l’innovation.
“Attentes élevées et exigences rigoureuses ont toujours fait partie du développement chez Steelcase”, précise Steve Rodden, responsable de l’équipe de développement des produits Smart+. “Nous avons l’habitude des directives, des normes de qualité et des questions de conformité pour nos produits. Nous voulons non seulement répondre aux normes de base, mais nous voulons également être excellents dans ces domaines, de façon à établir des normes de conception, d’ingénierie et de fabrication encore plus élevées. C’est la même chose avec les produits numériques. Nous souhaitons jouer un rôle de premier plan en matière de confidentialité et de sécurité des données. Il a donc été facile pour nous de prendre la décision de définir des normes strictes en matière de confidentialité et de sécurité des données dans le cadre de notre processus de développement.”
L’entreprise fonctionne sur des données. Chaque fois que nous échangeons des informations pour un produit numérique, nous aidons à alimenter la nouvelle économie mondiale. Les utilisateurs doivent pouvoir faire confiance aux entreprises, être sûrs qu’elles sont totalement transparentes sur la manière dont elles collectent, stockent et analysent ces données.
“Il est important que nos clients comprennent que la communication quotidienne de données en échange de services reposent sur une base de confidentialité et de sécurité”, dit Shawn Hamacher. “Nous avons garanti la qualité de nos produits pendant plus de cent ans et cela ne va pas changer parce que c’est un produit numérique. Tout est une question de confiance.”