Les principes clés de la protection des données (dans l’UE et l’Amérique du Nord)

Il ne fait aucun doute que de nos jours, une entreprise génère de grandes quantités de données qui doivent être déplacées, analysées et stockées en toute sécurité. Étant donné qu'une grande partie de ces données concerne la vie privée des utilisateurs et des clients, diverses lois et réglementations ont été créées pour appliquer des pratiques de protection rigoureuses. Si ces réglementations varient beaucoup d'un pays à l'autre, le concept sous-jacent reste le même : assurer la sécurité des données tout en les gardant à la disposition des utilisateurs autorisés lorsqu'ils en ont besoin.

Les points abordés dans cet article :

• Qu'est-ce que la protection des données ?
• Protection des données aux États-Unis
• Protection des données au Canada
• Protection des données dans l'UE
• Les 7 principes de la protection des données (RGPD)
• Solutions de protection des données

Qu'est-ce que la protection des données ?

La protection des données est le concept de sauvegarde des données importantes contre leur corruption, leur compromission et leur perte. Il ne s'agit pas seulement d'une protection passive, mais aussi de processus de restauration et de récupération des données en cas d’événement rendant les données inaccessibles ou inutilisables. La protection des données couvre également les questions de conformité aux exigences légales ou réglementaires.

Outre la sécurité, la protection des données inclue l'accès autorisé aux données. Il est évident que l'on ne peut pas simplement supprimer les données importantes ou les enfermer dans un coffre-fort impénétrable. Les données sont destinées à être utilisées, et les données protégées doivent être accessibles aux utilisateurs autorisés lorsqu'elles leurs sont nécessaires.

En gros, l'idée moderne de la protection des données recouvre trois grandes catégories : la protection traditionnelle des données, comme le backup; la sécurité des données et la défense contre les failles ; et la confidentialité des données.

Le premier principe de la protection des données

Le principe premier de la protection des données est de mettre en place des méthodologies et des technologies pour protéger les données, tout en les rendant accessibles en toutes circonstances aux utilisateurs autorisés.

Au-delà de cette règle de base, la protection des données devient très précise en fonction des régions concernées. Diverses lois et réglementations gouvernementales ajoutent des couches et des détails à cet objectif général, en prenant en considération une multitudes de problèmes de cybersécurité et le respect de la vie privée.

Nous allons maintenant explorer la protection des données telle qu'elle est définie dans différentes régions.

Principes de protection des données aux États-Unis

Contrairement à certaines régions, notamment l'Union européenne, les États-Unis ne disposent pas d'une loi fédérale complète régissant la vie privée et le traitement des données ou des informations personnelles. Au lieu de cela, les entreprises aux États-Unis doivent naviguer dans un amalgame de lois fédérales et étatiques qui réglementent la collecte, le traitement, la divulgation et la sécurité des informations personnelles.

En outre, certaines industries, telles que les soins de santé et la finance, sont réglementées selon des modalités propres à leur secteur.

En raison de la nature décentralisée des lois américaines sur la protection des données, les responsables du traitement des données doivent se tenir au courant de ces diverses lois et se préparer à une évolution probable de la réglementation américaine en matière de données.

Jetons un coup d'œil rapide aux principales lois sur la protection des données actuellement en vigueur :

HIPAA

La Health Insurance Portability and Accountability Act of 1996 (HIPAA) est une loi fédérale qui établit des normes pour protéger certaines informations personnelles relatives à la santé contre toute divulgation sans le consentement ou la connaissance du patient.

La règle de confidentialité de l'HIPAA, proposée par le ministère américain de la santé et des services sociaux (US Department of Health and Human Services), est entrée en vigueur en 2003 et régit l'utilisation et la divulgation d'informations personnelles protégées dans le cadre du traitement, du paiement et du fonctionnement des soins de santé.

La règle de sécurité HIPAA est également entrée en vigueur en 2003, qui traite spécifiquement des dossiers médicaux électroniques. Cette règle précise les mesures de protection administratives, physiques et technologiques requises pour respecter la conformité.

FCRA

Le Fair Credit Reporting Act (FCRA) est une loi fédérale qui régit les agences de renseignements sur les consommateurs et leurs procédures concernant la confidentialité, l'exactitude, la pertinence et la bonne utilisation des données personnelles.

Les informations personnelles réglementées par la FCRA sont liées aux rapports de crédit et aux rapports sur les consommateurs vendus dans le but de déterminer l'éligibilité à un emploi, de souscrire un crédit ou une assurance, et à certaines autres fins décrites dans la FCRA.

La FCRA comprend également plusieurs types de protections des consommateurs, notamment le droit de connaître son propre score de crédit et le droit de savoir ce que contient le dossier qu'une agence de renseignements sur les consommateurs tient à son sujet.

GLBA

La Gramm-Leach-Bliley Act of 2002 (GLBA) est une loi fédérale qui réglemente principalement la collecte, l'utilisation, la divulgation et la protection des informations personnelles privées recueillies par les institutions financières.

COPPA

La Children’s Online Privacy Protection Act (COPPA) est une loi fédérale qui impose des exigences aux sites web destinés aux enfants de moins de 13 ans et aux opérateurs de sites web ou de services en ligne qui collectent sciemment des informations personnelles auprès d'enfants de moins de 13 ans. Les opérateurs concernés par la COPPA doivent divulguer certaines informations dans leur politique de confidentialité et obtenir le consentement des parents avant de collecter certains types d'informations auprès d'enfants de moins de treize ans.

FERPA

Le Family Educational Rights and Privacy Act (FERPA) est une loi fédérale qui concerne la protection des dossiers scolaires des étudiants. La FERPA s'applique à tout établissement public ou privé d'enseignement primaire, secondaire ou postsecondaire, ainsi qu'aux agences d'éducation locales ou d'État qui reçoivent des fonds dans le cadre de certains programmes du ministère américain de l'éducation.

La FERPA donne aux parents et aux étudiants admissibles un plus grand contrôle sur leurs dossiers scolaires, et interdit aux établissements d'enseignement de divulguer des informations personnellement identifiables dans les dossiers scolaires sans un consentement écrit.

TCPA

La Telephone Consumer Protection Act (TCPA) est une loi fédérale qui régit les appels de télémarketing, les appels automatiques, les appels enregistrés et les messages textuels automatisés, ainsi que les télécopies non sollicitées. La TCPA énonce également des exigences techniques pour les télécopieurs, les composeurs automatiques et les systèmes de messagerie vocale, ainsi que la façon d'identifier les utilisateurs de ces équipements.

Loi sur la protection de la vie privée (Privacy Act)

La Privacy Act of 1974 est une loi fédérale qui s'applique essentiellement aux agences, aux entrepreneurs et aux employés du gouvernement fédéral. La loi sur la protection de la vie privée restreint la divulgation des informations personnelles conservées par les agences gouvernementales et accorde aux individus des droits d'accès accrus aux dossiers des agences conservés sur eux-mêmes. Cette loi établit également un code de pratiques équitables en matière d'information, avec des exigences légales pour la collecte, la sécurité et la diffusion des dossiers personnels.

Principes de protection des données au Canada

Les lois sur la protection des données au Canada sont semblables à celles des États-Unis car elles consistent en un ensemble complexe de lois fédérales et provinciales. Comme aux États-Unis, certaines de ces lois régissent des réglementations de secteurs spécifiques. Certaines lois prévoient des obligations de notification et de déclaration dans le cas d'une violation des données personnelles.

Les principales lois sur la protection des données au Canada sont les suivantes :

• Fédéral : Personal Information Protection and Electronic Documents Act 2000 (PIPEDA)
• Colombie-Britannique : Personal Information Protection Act (BC PIPA)
• Alberta : Personal Information Protection Act (AB PIPA)
• Québec : Act Respecting the Protection of Personal Information in the Private Sector (Quebec Private Sector Act)

Le Canada a également adopté une loi anti-spam, la Canada's Anti-Spam Legislation (CASL), qui concerne les activités de marketing électronique telles que la collecte de données et l'envoi massif d'e-mails.

Principes de protection des données dans l'Union européenne

L'Union européenne dispose actuellement du cadre de protection des données le plus complet au monde. Le règlement général sur la protection des données (RGPD) promulgué en 2018 sert de cadre juridique à la protection des données et à la vie privée pour chaque État membre.

Cette législation complexe affecte également toute entreprise effectuant des échanges commerciaux avec l'UE et est assortie d'amendes et de sanctions sévères pour assurer sa conformité. Le RGPD est conçu pour protéger les données sensibles des citoyens de l'UE et leur donner plus de contrôle sur la façon dont elles sont consultées et utilisées. Les exigences comprennent des contrôles sur les transferts internationaux de données et les droits des citoyens à la suppression des données.

Nous examinerons le RGPD plus en détail dans la section suivante.

Les 7 principes de la protection des données (RGPD)

1. Légalité, équité et transparence

Article 5(1)(a) du RGPD : « Les données à caractère personnel sont traitées de manière licite, loyale et transparente à l'égard de la personne concernée ("licéité, loyauté, transparence") »

Précise que les organisations doivent s'assurer que leurs méthodes de collecte de données respectent la loi et que leur utilisation soit transparente pour les personnes dont les données sont collectées.

2. Limitation de l'objet

Article 5(1)(b) du RGPD : « Les données à caractère personnel sont collectées pour des raisons déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de façon incompatible avec ces finalités; le traitement ultérieur à des fins d'archivage dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques n'est pas considéré comme incompatible avec les raisons initiales. »

Stipule que les organisations ne doivent recueillir des données personnelles que dans un but défini et déclaré. Ils doivent définir le but et l'objectif et ne collecter des données que pendant le temps nécessaire pour atteindre ces objectifs.

La collecte et le traitement des données effectués à des fins de recherche historique, scientifique ou statistique, ou pour des raisons d'intérêt public, bénéficient d'une plus grande liberté.

3. Minimisation des données

Article 5(1)(c) : « Les données à caractère personnel sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données). »

Les organisations ne devraient conserver que la plus petite quantité de données nécessaires à leurs besoins. La collecte de données « supplémentaires » dans l'espoir qu'elles soient utiles plus tard n'est pas autorisée.

4. Exactitude

Article 5(1)(d) : « Les données à caractère personnel doivent être exactes et, si nécessaire, mises à jour; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, au regard des finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans délai ("exactitude") »

Les données personnelles collectées doivent être adaptées à la finalité déclarée, mais aussi exactes et à jour. Les informations permettant d'identifier une personne doivent être vérifiées régulièrement, et les informations inexactes doivent être corrigées ou supprimées.

5. Limitations de la conservation des données

Article 5(1)(e) : « Les données à caractère personnel sont conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire aux buts pour lesquelles elles sont traitées; les données à caractère personnel peuvent être conservées pendant des périodes plus longues dans la mesure où elles seront traitées uniquement à des fins d'archivage dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, sous réserve de la mise en œuvre des mesures techniques et organisationnelles appropriées requises par le RGPD afin de préserver les droits et libertés des personnes ("limitation de la conservation"). »

Une fois l'objectif de la collecte de données atteint, ces données doivent être supprimées. S'il existe une raison acceptable de conserver les informations, par exemple qu'elles peuvent être utilisées pour l'intérêt public ou la recherche historique, l'organisation doit fixer et justifier une période de conservation.

6. Intégrité et confidentialité

Article 5(1)(f) : « Les données à caractère personnel sont traitées d'une façon qui garantit une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dommages accidentels, au moyen de mesures techniques ou organisationnelles appropriées ("intégrité et confidentialité"). »

Toute information collectée doit être conservée en toute sécurité. Votre organisation doit s'assurer que des mesures adéquates de protection des données sont mises en place pour sauvegarder les informations personnelles. Il est primordial de respecter la cybersécurité.

7. Responsabilité

Article 5(2) : « Le contrôleur doit être responsable et être en mesure de démontrer la conformité avec les autres principes de protection des données [the other data protection principles]»

Cela signifie que les organisations doivent assumer la responsabilité des données qu'elles conservent et montrer qu'elles respectent tous les autres principes. Les organisations doivent être en mesure de documenter et de prouver leur adhésion à ces pratiques.

Cela peut impliquer :

Se tenir au courant des pratiques en matière de protection des données

Création d'un poste de délégué à la protection des données (DPD) ou de responsable de la conformité

Établir un inventaire des données personnelles

Réalisation d'évaluations d'impact sur la protection des données et d'audits de cybersécurité

NinjaOne et la protection des données

Des fonctionnalités telles que Ninja Data Protection sont conçues pour aider les entreprises et les fournisseurs informatiques à faire face à la complexité des réglementations en matière de protection des données.

• Sauvegarde d’image système complète
• Sauvegarde de documents, de fichiers et de dossiers
• Gestion de terminaux
• Patch Management (gestion des correctifs)
• Bitdefender Advanced Threat Security
• Une défense complète contre les ransomwares

Conclusion

La protection des données est le processus de sécurisation des informations contre la compromission ou la corruption. C'est peut-être un défi pour de nombreuses organisations, mais c'est essentiel dans le monde moderne où les données ont une grande valeur et où les cybermenaces se multiplient.

Les utilisateurs finaux et les fournisseurs de services informatiques doivent veiller à ce que des mesures de sécurité strictes soient mises en place et à ce que la conformité soit maintenue dans les régions ou les secteurs où elle est requise. Le choix des bonnes solutions et des bons partenaires peut être vital pour faire face à la complexité de la protection des données.