Limitation de finalité conforme à OpenAI

Jun 20, 2023
Share

Vous enregistrez un appareil IoT, vous vous abonnez à un service de vidéo à la demande ou vous organisez un voyage. Ces activités collectent des données. informations personnelles identifiablesCertaines de ces activités, comme l'enregistrement de l'objet connecté, utilisent les données qu'il a reçues pour générer des informations supplémentaires sur vos mouvements, votre fréquence cardiaque et les calories brûlées. Ces nouvelles données sont ensuite associées à votre identité, permettant ainsi de vous identifier précisément.

En tant que particulier, vous pouvez vous demander quand s'arrête la collecte de vos données. Au sein d'une organisation, vous pouvez vous interroger sur l'utilisation de ces données pour mieux servir vos clients. Sans contrôle, les données continuent de s'accumuler indéfiniment. Elles peuvent être utilisées à de multiples fins par quiconque y a accès.

Mais des garde-fous encadrent la collecte et l'utilisation des données. Ces garde-fous sont exprimés par le principe de « limitation des finalités ».

Contexte relatif à la limitation de la finalité

Limites de l'objectif Le principe selon lequel les informations personnelles collectées à une fin donnée ne peuvent être utilisées à d'autres fins est également connu sous le nom de «but commercialEt comme de nombreux principes inscrits dans les lois, il a fait l'objet d'interprétations différentes de la part de ceux qui le définissent.

Il existe aussi des exceptions. Selon Article 5 du RGPD(1)(b), le traitement ultérieur des données personnelles peut être autorisé lorsque la raison n’est pas « incompatible avec les finalités initiales » et qu’il est destiné à des « fins d’archivage d’intérêt public ». Le RGPD n’est pas la seule loi à prévoir des solutions de contournement ou à tenter de définir ce principe. La limitation des finalités se retrouve dans de nombreuses lois, cadres et normes relatifs à la protection des données, même si la formulation et l’interprétation exactes du principe varient.

  • Règlement général sur la protection des données (RGPD) - Les informations personnelles doivent être collectées à des fins spécifiques, explicites et légitimes et ne doivent pas être traitées ultérieurement d'une manière incompatible avec ces fins.
  • NIST Cadre de protection de la vie privée – les organisations doivent identifier les finalités de la collecte et de l’utilisation des renseignements personnels identifiables.
  • Commission fédérale du commerce (FTC) Loi, Section 5 - les organisations doivent divulguer leurs pratiques de collecte de données, y compris les fins auxquelles elles collectent et utilisent les PII.

La plateforme de sécurité des données de Cyera, basée sur l'IA, permet de comprendre la finalité.

La collecte et la finalité d'utilisation des données n'ont jamais été aussi simples. En intégrant Azure OpenAI intégré à la plateforme de sécurité des données CyeraNous analysons automatiquement les accès utilisateurs et mettons en évidence l'objectif de certains types d'utilisateurs.

En matière de contrôle d'accès, consulter la liste des utilisateurs autorisés à accéder aux données est un bon début. Mais lorsque vous examinez des noms d'utilisateur tels que « Utilisateur marketing », savez-vous vraiment qui ils sont et pourquoi ils accèdent aux données ?

Nous distinguons les utilisateurs « marketing » humains des utilisateurs machines. Dans le cas d'un utilisateur machine, nous décrivons la finalité de son accès. Ceci est possible car les utilisateurs machines fournissent des services dans le cloud que notre modèle OpenAI capture et décrit dans un langage compréhensible par l'humain.

Voici quelques exemples de la manière dont nous décrivons les finalités pour lesquelles les utilisateurs de machines accèdent aux données :

  • Le service EU-OLM a pour objectif la gestion et la personnalisation des systèmes de gestion de l'apprentissage en ligne dans la région de l'UE.
  • L'objectif de Dynamics-powerbi est de créer et de gérer des rapports et des tableaux de bord Power BI.
  • L'objectif de l'utilisateur marketing est de générer et de distribuer des brochures d'entreprise.
  • Le service Microsoft365 a pour but de gérer et de personnaliser les applications Microsoft Dynamics 365 dans la région de l'UE.
  • Le service de géo-ingénierie a pour vocation de fournir des services de cartographie et d'analyse géographique.
Représentation visuelle des risques et des mesures de protection liés à l'utilisation et à la conformité des données OpenAI

Cyera vous permet d'analyser les métadonnées des utilisateurs sans avoir à vous connecter à vos différents comptes cloud pour récupérer ces informations. De plus, les objectifs sont facilement compréhensibles par tous, sans nécessiter l'intervention d'un technicien pour interpréter les raisons pour lesquelles l'utilisateur accède aux données.

Conclusion

Face à l'augmentation du volume de données personnelles collectées, le respect du principe de limitation des finalités devient primordial. La plateforme de sécurité des données de Cyera, basée sur l'IA, vous aide à vous conformer aux exigences de limitation des finalités en analysant les accès utilisateurs et en identifiant la finalité du traitement dans certains cas.

Cyera adopte une approche de sécurité centrée sur les données, évaluant l'exposition de vos données au repos et en cours d'utilisation et appliquant de multiples niveaux de défense. Grâce à une analyse approfondie et globale de votre environnement de données, Cyera est la seule solution permettant aux équipes de sécurité de localiser leurs données, d'identifier les risques et d'intervenir immédiatement pour y remédier et garantir la conformité, sans perturber l'activité.

Pour en savoir plus sur la façon dont le modèle de plateforme de sécurité des données basé sur l'IA de Cyera peut vous aider à obtenir plus facilement des informations précieuses, planifier une démonstration aujourd'hui.

Share