5 Normes de conformité des données et comment les respecter

Les entreprises d'aujourd'hui détiennent énormément plus de données qu'auparavant, et cela signifie qu'elles ont de nombreuses responsabilités liées à la façon dont ces informations sont stockées, partagées, protégées et utilisées.

Les récents scandales qui ont frappé des entreprises telles que Facebook et Cambridge Analytica illustrent clairement ce qui peut se passer si les données sont utilisées à mauvais escient.Il est donc clair que toute entreprise peut subir de graves dommages à sa réputation si elle ne échoue dans sa tâche de maintenir la confidentialité des informations.

En outre, les entreprises doivent prendre en compte la perspective de sanctions financières si elles agissent de manière imprudente ou contraire à l'éthique. En effet, le nombre et la complexité des réglementations que les entreprises sont tenues de respecter a considérablement augmenté au cours des dernières années et les autorités essaient de reprendre le contrôle des énormes quantités de données désormais stockées sur les serveurs et dans le cloud à travers le monde. Le montant des amendes infligées pour des infractions a également augmenté, ce qui démontre l'importance de ce thème.

Outre les principales règles générales de protection des données dont toute entreprise doit être consciente, il existe également une série de problèmes de conformité spécifiques au secteur que les entreprises devront prendre en compte.

Qu'est-ce que la conformité des données ?

La conformité des données fait référence à toutes les normes qu'une entreprise doit suivre afin de garantir la protection contre la perte, le vol et l'utilisation abusive des données numériques sensibles qu'elle possède ; il s'agit généralement de données à caractère personnel et de données financières.

Ces règles se présentent sous plusieurs formes. Il peut s'agir de normes sectorielles, régionales, nationales ou même supranationales telles que le RGPD, mais celles-ci précisent généralement quels types de données doivent être protégés, quels processus sont considérés comme acceptables en vertu de la législation et quelles sont les sanctions contre les entreprises qui ne respectent pas ces règles.

Il est important de ne pas confondre la conformité des données avec la sécurité des données. On fait souvent un amalgame entre ces deux processus en pensant qu'ils sont interchangeables,, mais ce n’est pas le cas. Bien qu'ils poursuivent les mêmes objectifs, c'est-à-dire minimiser et gérer les risques auxquels les entreprises sont exposées, la conformité garantit uniquement que vous respectiez les normes minimales prescrites par la loi. La sécurité des données, quant à elle, couvre tous les processus, procédures et technologies qui définissent la manière dont vous traitez les données sensibles et dont vous les protégez.

Ce n'est pas parce que vous répondez aux normes de conformité, que vous respectez celles de sécurité, et si faire le strict minimum peut vous garantir une protection juridique en cas de violation de données, cela ne vous épargnera pas les nombreuses autres conséquences d'un incident en matière de sécurité, tel que des pertes financières et l'atteinte à la réputation.

RGPD

Le RGDP représente l'une des normes les plus récentes et les plus étendues ; il s'agit du Règlement général sur la protection des données (RGPD) de l'Union européenne, qu'il a été difficile d'ignorer au cours de l'année dernière. Entré en vigueur le 25 mai 2018, il établit une série de règles concernant le droit que les personnes ont de savoir quelles données les entreprises détiennent sur elles, la manière dont les entreprises doivent traiter ces données ainsi que des règles plus strictes sur le signalement des violations.

Ces normes ne s'appliquent pas uniquement aux entreprises basées en Europe. En faisant affaire avec toute personne soumise à la juridiction de l'UE, vous êtes tenu de respecter les dispositions du RGPD. Bien qu'il existe de nombreuses règles au sein de cette norme, on peut les résumer en trois principes de base ; obtenir le consentement, minimiser la quantité de données que vous détenez et garantir les droits des personnes concernées.

Cela peut sembler une tâche ardue, mais la première étape que toute entreprise doit entreprendre pour s'assurer qu'elle respecte le RGPD est de désigner une personne qui supervise ses activités. Ce rôle, délégué à la protection des données, est obligatoire dans certaines organisations qui utilisent de grandes quantités de données, et le travail de cette personne consiste à superviser la stratégie de protection des données et sa mise en œuvre pour assurer la conformité avec les exigences du RGPD.

HIPAA

HIPAA, ou plus formellement le Health Insurance Portability and Accountability Act de 1996, définit la manière dont les organisations américaines qui traitent les soins de santé et les données médicales des individus doivent garantir la sécurité et la confidentialité de ces dossiers.

Étant donné que ces détails font partie des dossiers les plus sensibles qu'une organisation détient, les sanctions en cas de non-protection de ces données peuvent être sévères. En 2018, par exemple, le fournisseur d'assurance Anthem a accepté de payer une amende de 16 millions de dollars après qu'une attaque de piratage ait révélé les données sur la santé de près de 79 millions de personnes.

Le HIPAA exige que toutes les données électroniques de santé soient limitées uniquement aux personnes qui ont des raisons valables de les consulter ; le cryptage et des contrôles d'accès sévères sont donc indispensables. Les normes s'appliquent aux dossiers non seulement lorsqu'ils se trouvent dans la base de données, mais également lorsqu'ils sont partagés. Des mesures doivent donc également être prises pour garantir que les activités telles que les courriels et les transferts de fichiers sont entièrement surveillées, protégées et contrôlées.

Une caractéristique clé de l'HIPAA est l'obligation de pistes d'audit complètes qui détaillent chaque interaction qu'une personne a avec ces données. Cela signifie que le logiciel de gestion des logs est un outil essentiel pour le personnel informatique qui souhaite assurer le respect de ces réglementations. Cet outil garantit que des données complètes sont automatiquement conservées à chaque fois qu'un fichier est consulté ou modifié ; il peut également aider à alerter les organisations de toute faille de sécurité potentielle dès qu'elles se produisent.

PCI DSS

Pour les entreprises qui traitent les informations financières de leurs clients, la norme de sécurité de l’industrie des cartes de paiement (Payment Card Industry Data Security Standard ou PCI DSS) est un élément essentiel de tout processus de conformité, car elle définit des règles concernant la manière dont les entreprises traitent et protègent les données des titulaires de carte telles que les numéros de carte de crédit.

Contrairement aux autres sur cette liste, la PCI DSS n'est pas un ensemble de règles mandaté par le gouvernement, mais un ensemble de règles sectorielles. Toutefois, cela ne le rend pas moins importante, car toute entreprise jugée non conforme à ses règles peut faire face à des amendes salées, ou même avoir des relations avec des banques ou des processeurs de paiement résiliés, ce qui rend très difficile pour les entreprises d'accepter les paiements par carte.

Même si les entreprises utilisent des services tiers pour gérer les paiements par carte, ce qui est le cas de nombreuses d'entre elles, grandes et petites, il incombe toujours au commerçant de garantir la sécurité de toutes les données de carte de crédit ou de débit qu'il recueille, transmet ou stocke.

Les étapes exactes que les entreprises devront entreprendre varient en fonction du nombre de transactions qu'elles traitent réellement - celles qui ont de plus grandes bases de clients devront faire face à des exigences beaucoup plus strictes ; mais en fin de compte, les normes PCI DSS exigent des entreprises qu'elles assurent un certain niveau de sécurité.

Heureusement, le Conseil des normes de sécurité de l'industrie des cartes de paiement définit une série d'étapes détaillant ce que les entreprises doivent faire pour respecter ces normes. Les 12 exigences essentielles vont de la mise en place d'un pare-feu adéquat pour protéger les données des titulaires de carte (première exigence) aux tests réguliers des systèmes et des processus (exigence 11) ; il ne devrait donc y avoir aucune excuse pour ne pas avoir un plan clair en place pour répondre à ces normes.

SOX

La loi Sarbanes-Oxley de 2002 (SOX) vise à protéger contre toute répétition des scandales comptables des entreprises qui ont submergé des sociétés comme Enron il y a quelques années. Cette norme traite plus de rapports financiers que de protection des données, et certains professionnels de l'informatique peuvent la rejeter, la considérant comme moins importante que certaines des autres réglementations auxquelles ils doivent faire face.

Cela n'est toutefois pas le cas et les services informatiques ont un rôle clair à jouer pour garantir que ces exigences soient respectées. Pour commencer, ils doivent fournir une assistance au PDG et au directeur financier en s'assurant qu'ils reçoivent des rapports en temps réel sur les états financiers de l'entreprise. Cela prévoit la mise en place de systèmes permettant d'automatiser les rapports et de configurer des alertes pouvant être déclenchées lorsque des événements clés se produisent et nécessitent une attention particulière.

Les équipes informatiques doivent également s'assurer que toutes les données sont correctement conservées. Par conséquent, des sauvegardes efficaces et opportunes des principaux systèmes de gestion des informations et des documents sont essentielles pour rester en conformité avec ces réglementations. Cependant, ils doivent également s'assurer d'avoir une visibilité complète sur chaque partie du patrimoine numérique de leur entreprise pour que cela soit efficace.

Les feuilles de calcul, les e-mails, les messages instantanés, les appels téléphoniques enregistrés et les transactions financières devront tous être conservés pendant au moins cinq ans au cas où les auditeurs en auraient besoin, il est donc essentiel que les bons systèmes de gestion soient en place.

Enfin, le travail des professionnels de l'informatique lorsqu'ils se conforment à la SOX est de s'assurer que la tenue des registres et l'audit se déroulent le mieux possible. Les outils permettant d'automatiser les flux de travail, de gérer et de surveiller le flux de données et d'archiver et de récupérer rapidement les données auront tous un rôle clé à jouer à cet égard.

CCPA

Le California Consumer Privacy Act, ou CCPA, a été promulgué en 2018 et est entré en vigueur le 1er janvier 2020. Il s'agit de l'une des protections les plus strictes pour les consommateurs auxquelles de nombreuses entreprises basées aux États-Unis doivent faire face. Ce règlement a été décrit comme l'équivalent californien du RGPD et, bien qu'il ne soit pas aussi exigeant que le RGPD dans des domaines tels que les exigences en matière de rapports, il est à certains égards encore plus strict que son homologue européen.

Par exemple, il adopte une vision plus ample de la définition de données privées, comprenant toute donnée à partir de laquelle des inférences peuvent être tirées pour créer un profil client et qui reflète "les préférences, les caractéristiques, les tendances psychologiques, les prédispositions, le comportement, les attitudes, l'intelligence, les capacités et les aptitudes d'une personne".

La conformité au CCPA n'est pas nécessaire pour toutes les entreprises. Celui-ci ne s'applique qu'aux entreprises dont les revenus annuels bruts dépassent 25 millions de dollars ; celles qui achètent, reçoivent ou vendent les données personnelles d'au moins 50 000 consommateurs, ménages ou appareils ; ou les entreprises qui tirent 50% ou plus de leurs revenus annuels de la vente des données personnelles des consommateurs.

Bien qu'il exclue de nombreuses petites entreprises de son champ d'action, presque toutes les moyennes et grandes entreprises interagissant avec des clients basés en Californie sont couvertes. Cela peut le rendre plus pertinent que le RGPD pour de nombreuses entreprises américaines, car si certaines organisations ont choisi de cesser complètement de faire des affaires en Europe pour éviter ce règlement, il peut être beaucoup plus difficile pour elles de contourner le CCPA, car elles n'ont pas besoin d'être basées en Californie, ni même d'avoir une présence physique dans cet État, pour tomber sous ses dispositions.

Les amendes potentielles pour les violations de données peuvent atteindre 7 500 dollars par dossier - et étant donné que de nombreuses importantes violations de données ces dernières années ont compromis des dizaines, voire des centaines de millions de dossiers, le coût de la non-conformité pourrait croître rapidement.