Découverte des lois et réglementations sur la confidentialité des données
Objectifs de formation
Une fois cette unité terminée, vous pourrez :
- Expliquer l’importance de la confidentialité des données
- Décrire la façon dont les lois sur la confidentialité s’appliquent à votre organisation
- Décrire les attentes des clients en matière de confidentialité
Présentation de la confidentialité
En tant que professionnel de la sécurité, il est important de rester informé des lois les plus récentes sur la confidentialité applicables à votre organisation, en particulier si cette dernière traite les données à caractère personnel de ses clients. Pourquoi est-ce si important ? S’assurer que les données de vos clients et de vos employés sont protégées est primordial pour établir et maintenir la confiance. Dans ce module, nous allons passer en revue les outils permettant de mettre en œuvre un programme de confidentialité efficace.
Si votre organisation stocke et traite les données des clients, ceux-ci vous font confiance pour protéger, utiliser et traiter leurs données en toute sécurité, conformément aux lois applicables. Ces données peuvent inclure des données à caractère personnel telles que des informations de contact, de santé ou financières, ou des informations commerciales telles que des données de dépenses, de marketing ou d’analyse.
Quel que soit le type de données que vous traitez ou stockez, il est important de les protéger. En plus du traitement ou du stockage des données client, votre organisation est responsable de ses propres données, y compris des informations sur les clients potentiels, des renseignements sur les employés, des données financières, etc.
Alors, comment vous assurez-vous que ces données sont protégées ? Pour commencer, vous devez connaître et respecter les lois en vigueur en matière de confidentialité. Nous entrerons ici dans les détails de ces lois sur la confidentialité. Pour documenter la conformité aux lois en vigueur en matière de confidentialité et vous protéger, vous et vos clients, il est judicieux de mettre en place des accords lorsque vous collectez des données client. Ces accords doivent détailler la manière dont votre organisation assurera la sécurité et la confidentialité des données de ses clients. Par exemple, la plupart des compagnies aériennes internationales sont tenues d’indiquer sur leur site Web public comment elles protègent la confidentialité d’un client, quelles données elles collectent, et pourquoi et comment ces données sont collectées, utilisées, évaluées, protégées et stockées.
Pourquoi la confidentialité est importante
Revenons un instant en arrière et examinons le concept de confidentialité et ce qu’il signifie. La confidentialité concerne la manière dont une information (ou une donnée) doit être gérée et protégée selon son importance relative.
La confidentialité des données est devenue un sujet brûlant ces dernières années en raison de failles de sécurité et de préoccupations concernant la manière dont les entreprises utilisent les données client qu’elles collectent. Les préoccupations en matière de confidentialité des données sont particulièrement importantes pour les entreprises de certains secteurs tels que la finance et la santé. Ces secteurs contiennent des informations sensibles et sont généralement très réglementés. Ils sont également de plus en plus ciblés par les cyberattaques, qui, si elles aboutissent, peuvent entraîner non seulement la perte de ces données, mais également la perte de confiance des consommateurs.
Prenons un exemple. Lorsque vous demandez une carte de crédit, vous devez généralement fournir votre nom, votre date de naissance, votre adresse, votre numéro d’identification émis par un gouvernement et votre revenu annuel. C’est un grand volume d’informations ! Ces informations sont non seulement utilisées pour vérifier votre identité, mais elles permettent également à la société émettrice de la carte de crédit de vérifier votre historique de crédit. Elles sont considérées comme vos données à caractère personnel et la société émettrice de la carte de crédit est tenue de mettre en place des mesures de sécurité afin de les protéger.
Dans cet exemple, la confidentialité signifie que la société de carte de crédit est responsable de la protection de vos informations personnelles contre toute divulgation non autorisée, qu’elle est transparente sur la manière dont elle utilise vos données à caractère personnel, qu’elle utilise les données conformément aux lois en vigueur et que vous acceptez l’utilisation de vos données dans un certain but.
Terminologie de la confidentialité
Avant de nous intéresser de plus près aux lois sur la confidentialité, passons en revue quelques définitions de base.
Données client : informations qu’un client fournit lorsqu’il interagit avec une entreprise, que ce soit via un site Web, une application mobile, les réseaux sociaux, etc.
Personne concernée : personne dont les données à caractère personnel sont collectées, détenues ou traitées.
Données à caractère personnel : données qui sont directement attribuables à une personne concernée et qui peuvent identifier une personne, comme un nom, une adresse personnelle ou un identifiant personnel (par exemple, un numéro de passeport).
Données à caractère personnel sensibles : certains types de données personnelles sont considérées comme sensibles et sont soumises à une réglementation plus stricte. Celles-ci peuvent porter notamment sur l’ethnie, l’origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, les données génétiques, les données biométriques, les données concernant la santé ou les données concernant la vie sexuelle ou l’orientation sexuelle d’une personne.
Traitement : toute opération ou ensemble d’opérations sur des données (par exemple, accès, collecte, enregistrement, récupération, copie, stockage, divulgation, diffusion, etc.).
Responsable du traitement : entité qui détermine les finalités et les moyens du traitement des données à caractère personnel.
Sous-traitant : personne ou entité qui traite des données à caractère personnel pour le compte d’un responsable du traitement.
Dépositaire (ou gestionnaire) : la personne responsable de la garde, du transport et du stockage des données, ainsi que de la mise en œuvre des règles métier.
Autorité de protection des données (APD) : autorités nationales chargées de la protection des données et de la vie privée, ainsi que de la surveillance et de l’application de la réglementation en matière de protection des données au sein de l’Union.
Votre organisation peut agir à la fois en tant que sous-traitant et en tant que responsable du traitement, selon la situation et les données concernées. Pour comprendre les rôles de sous-traitant et de responsable du traitement, il est utile de réfléchir à la répartition des responsabilités entre les parties. Vos clients peuvent être à la fois des responsables du traitement et des sous-traitants. Cependant, votre organisation agit toujours en tant que sous-traitant lorsqu’un client vous soumet des données et en tant que responsable du traitement lorsque vous déterminez les moyens et finalités du traitement des données.
Lois sur la confidentialité
Selon l’endroit où votre organisation opère, vous devrez peut-être respecter les lois sur la confidentialité propres au pays. Si votre organisation opère à l’échelle mondiale, il est important de mettre en œuvre les exigences de la politique en vigueur dans le pays d’activité. Par exemple, si votre organisation opère au Japon, vous êtes soumis à sa Loi sur la protection des informations personnelles.
Les lois sur la confidentialité existent pour protéger les données à caractère personnel des individus. Elles régissent également la manière dont les données à caractère personnel peuvent et ne peuvent pas être utilisées. Examinons de plus près les éléments couverts par les lois sur la confidentialité :
- si les données à caractère personnel peuvent être collectées et traitées ;
- quelles informations doivent être fournies sur les pratiques de traitement des données et comment ;
- qui peut accéder aux données à caractère personnel et les utiliser ;
- comment elles peuvent être traitées ;
- comment elles doivent être sécurisées ;
- quand supprimer ou modifier les données ;
- qui est autorisé à transporter ou à avoir la garde des données ;
- où et comment elles peuvent être transférées vers d’autres pays ;
- comment les incidents de sécurité sont traités ;
- quels sont les droits des personnes concernées relativement à leurs données à caractère personnel.
À l’échelle mondiale, il existe deux types de lois sur la confidentialité : globales (applicables à tous les secteurs d’activité) et sectorielles (applicables à des secteurs d’activité spécifiques). Aux États-Unis, le gouvernement fédéral a toujours adopté une approche sectorielle. Par exemple, il existe la loi américaine HIPAA (Health Insurance Portability and Accountability Act), qui régit la confidentialité des soins de santé et protège les données relatives à l’état de santé d’un individu (appelées données médicales personnelles).
La seule loi nationale américaine sur la protection de la vie privée qui existe est la loi COPPA (Children’s Online Privacy Protection Act), qui régit la manière dont les entreprises en ligne peuvent collecter et utiliser des données sur les enfants de moins de 13 ans.
En l’absence d’une loi nationale exhaustive sur la protection de la vie privée, plusieurs États ont pris l’initiative d’adopter leur propre législation en la matière, dont les suivants :
- Californie - California Privacy Rights Act (CPRA)
- Virginie - Virginia Consumer Data Protection Act (VCDPA)
- Connecticut - Connecticut Data Privacy Act (CTDPA)
- Utah - Utah Consumer Privacy Act (UCPA)
- Colorado - Colorado Privacy Act (CPA)
Ces États ont récemment adopté leur propre législation sur la protection de la vie privée ou sont en train de l’élaborer. De nombreux autres États envisagent de faire de même. En adoptant leurs propres lois sur la confidentialité, ces États protègent eux-mêmes leurs administrés.
Pour sa part, l’Union européenne (UE) et l’Espace économique européen (EEE) adoptent une approche plus globale à travers le Règlement général sur la protection des données (RGPD). Le RGPD est la législation de l’UE et de l’EEE sur la protection de la confidentialité et s’applique à tous les responsables du traitement et sous-traitants, quel que soit leur secteur d’activité. Cependant, il existe également des lois sectorielles en Europe, comme pour le secteur des télécommunications.
Bien qu’il ne s’agisse pas d’une liste exhaustive, plusieurs autres pays à travers le monde, dont le Japon, l’Australie, la Chine, le Canada, le Brésil, l’Argentine, l’Inde, l’Afrique du Sud, etc., appliquent leurs propres lois sur la confidentialité ou travaillent à leur mise en place. Même si chaque pays peut avoir sa propre législation, la plupart des lois sur la confidentialité à travers le monde reposent sur les mêmes principes fondamentaux.
- Équité et transparence
- Limitation des finalités
- Minimisation des données
- Précision
- Suppression et rétention des données
- Sécurité
- Responsabilité
- Droits individuels
- Transferts internationaux
- Analyses d’impact relatives à la confidentialité des données
Nous allons aborder ces principes de façon plus détaillée dans l’unité suivante.
Contrats clients et accords de niveau de service
Au-delà de se conformer aux lois sur la confidentialité, les organisations intègrent des engagements de confidentialité dans les contrats clients ou les accords de niveau de service (SLA). Ces engagements détaillent la manière dont votre organisation peut utiliser les données à caractère personnel, y compris en application de la loi en vigueur.
Certifications et normes internationales de confidentialité
En plus des lois sur la confidentialité, votre organisation peut également être tenue de se conformer à certaines certifications et normes qui imposent des exigences de confidentialité exhaustives. Ces certifications et normes varient selon le secteur d’activité, mais en voici un certain nombre :
-
L’Organisation internationale de normalisation et la Commission électrotechnique internationale (ISO/CEI) 27001/27018, qui fournissent des exigences pour les systèmes de gestion de la sécurité des informations et pour la protection des informations personnelles identifiables (PII) dans les Clouds publics ayant le rôle de responsables du traitement des PII.
-
Les rapports SOC (contrôle d’organisation de service), qui aident les entreprises à instaurer la confiance dans leurs processus et contrôles des prestations de services.
-
La certification TRUSTe, qui permet aux organisations de démontrer des pratiques responsables conformes aux normes de responsabilité en matière de confidentialité.
-
La norme 27701 de l’Organisation internationale de normalisation et de la Commission électrotechnique internationale (ISO/CEI), qui est une extension des normes ISO/CEI 27001 et ISO/CEI 27002 relatives à la gestion des informations confidentielles. Elle fournit des directives concernant le traitement des PII et aide les organisations à établir, à mettre en œuvre, à maintenir et à améliorer en continu leur système de gestion des informations confidentielles (PIMS).
Politiques de confidentialité
Votre organisation doit respecter les engagements pris envers les clients lorsque vous collectez des données à caractère personnel auprès de personnes physiques. En outre, vous devez avoir mis en place une déclaration de confidentialité sur votre site Web public, qui décrit les types de données que vous collectez auprès des utilisateurs de vos sites Web, et comment vous utilisez et partagez ces données. Les engagements que vous prenez dans cette déclaration de confidentialité doivent être similaires à ceux que vous prenez dans les contrats que vous signez avec vos clients. Il en va de même pour les politiques de confidentialité internes et les communiqués aux employés qui détaillent la manière dont vous collectez, utilisez, partagez et traitez leurs données.
Conclusion
Vous avez maintenant une meilleure connaissance des concepts, des lois et des attentes des clients en matière de confidentialité. Dans l’unité suivante, nous présenterons les principes de la confidentialité et comment vous pouvez les appliquer pour protéger votre organisation.
Ressources
-
Trailhead : Règles de base du droit européen en matière de protection de la vie privée
-
Trailhead : Règles de base de la loi californienne sur la confidentialité des consommateurs
-
Site externe : Texte du RGPD de l’UE
-
PDF : Texte de la loi HIPAA
-
Site externe : UE : À qui s’applique la législation relative à la protection des données ?
-
PDF : UE : Le RGPD : nouvelles opportunités, nouvelles obligations
-
Site externe : Groupe de la Banque mondiale : Lois sur la protection des données et la confidentialité
-
Site externe : Reuters : Les lois américaines sur la confidentialité des données entreront dans une nouvelle ère en 2023
-
Site externe : NIST : Cadre de confidentialité