/
/

Les principes clĂ©s de la protection des donnĂ©es (dans l’UE et l’AmĂ©rique du Nord)

banniÚre de protection des données

Il ne fait aucun doute que de nos jours, une entreprise gĂ©nĂšre de grandes quantitĂ©s de donnĂ©es qui doivent ĂȘtre dĂ©placĂ©es, analysĂ©es et stockĂ©es en toute sĂ©curitĂ©. Étant donnĂ© qu’une grande partie de ces donnĂ©es concerne la vie privĂ©e des utilisateurs et des clients, diverses lois et rĂ©glementations ont Ă©tĂ© créées pour appliquer des pratiques de protection rigoureuses. Si ces rĂ©glementations varient beaucoup d’un pays Ă  l’autre, le concept sous-jacent reste le mĂȘme : assurer la sĂ©curitĂ© des donnĂ©es tout en les gardant Ă  la disposition des utilisateurs autorisĂ©s lorsqu’ils en ont besoin.

Les points abordés dans cet article :

  • Qu’est-ce que la protection des donnĂ©es ?
  • Protection des donnĂ©es aux États-Unis
  • Protection des donnĂ©es au Canada
  • Protection des donnĂ©es dans l’UE
  • Les 7 principes de la protection des donnĂ©es (RGPD)
  • Solutions de protection des donnĂ©es

Qu’est-ce que la protection des donnĂ©es ?

La protection des donnĂ©es est le concept de sauvegarde des donnĂ©es importantes contre leur corruption, leur compromission et leur perte. Il ne s’agit pas seulement d’une protection passive, mais aussi de processus de restauration et de rĂ©cupĂ©ration des donnĂ©es en cas d’évĂ©nement rendant les donnĂ©es inaccessibles ou inutilisables. La protection des donnĂ©es couvre Ă©galement les questions de conformitĂ© aux exigences lĂ©gales ou rĂ©glementaires.

Outre la sĂ©curitĂ©, la protection des donnĂ©es inclue l’accĂšs autorisĂ© aux donnĂ©es. Il est Ă©vident que l’on ne peut pas simplement supprimer les donnĂ©es importantes ou les enfermer dans un coffre-fort impĂ©nĂ©trable. Les donnĂ©es sont destinĂ©es Ă  ĂȘtre utilisĂ©es, et les donnĂ©es protĂ©gĂ©es doivent ĂȘtre accessibles aux utilisateurs autorisĂ©s lorsqu’elles leurs sont nĂ©cessaires.

En gros, l’idĂ©e moderne de la protection des donnĂ©es recouvre trois grandes catĂ©gories : la protection traditionnelle des donnĂ©es, comme le backup; la sĂ©curitĂ© des donnĂ©es et la dĂ©fense contre les failles ; et la confidentialitĂ© des donnĂ©es.

Le premier principe de la protection des données

Le principe premier de la protection des données est de mettre en place des méthodologies et des technologies pour protéger les données, tout en les rendant accessibles en toutes circonstances aux utilisateurs autorisés.

Au-delà de cette rÚgle de base, la protection des données devient trÚs précise en fonction des régions concernées. Diverses lois et réglementations gouvernementales ajoutent des couches et des détails à cet objectif général, en prenant en considération une multitudes de problÚmes de cybersécurité et le respect de la vie privée.

Nous allons maintenant explorer la protection des donnĂ©es telle qu’elle est dĂ©finie dans diffĂ©rentes rĂ©gions.

Principes de protection des donnĂ©es aux États-Unis

Contrairement Ă  certaines rĂ©gions, notamment l’Union europĂ©enne, les États-Unis ne disposent pas d’une loi fĂ©dĂ©rale complĂšte rĂ©gissant la vie privĂ©e et le traitement des donnĂ©es ou des informations personnelles. Au lieu de cela, les entreprises aux États-Unis doivent naviguer dans un amalgame de lois fĂ©dĂ©rales et Ă©tatiques qui rĂ©glementent la collecte, le traitement, la divulgation et la sĂ©curitĂ© des informations personnelles.

En outre, certaines industries, telles que les soins de santé et la finance, sont réglementées selon des modalités propres à leur secteur.

En raison de la nature décentralisée des lois américaines sur la protection des données, les responsables du traitement des données doivent se tenir au courant de ces diverses lois et se préparer à une évolution probable de la réglementation américaine en matiÚre de données.

Jetons un coup d’Ɠil rapide aux principales lois sur la protection des donnĂ©es actuellement en vigueur :

HIPAA

La Health Insurance Portability and Accountability Act of 1996 (HIPAA) est une loi fédérale qui établit des normes pour protéger certaines informations personnelles relatives à la santé contre toute divulgation sans le consentement ou la connaissance du patient.

La rĂšgle de confidentialitĂ© de l’HIPAA, proposĂ©e par le ministĂšre amĂ©ricain de la santĂ© et des services sociaux (US Department of Health and Human Services), est entrĂ©e en vigueur en 2003 et rĂ©git l’utilisation et la divulgation d’informations personnelles protĂ©gĂ©es dans le cadre du traitement, du paiement et du fonctionnement des soins de santĂ©.

La rÚgle de sécurité HIPAA est également entrée en vigueur en 2003, qui traite spécifiquement des dossiers médicaux électroniques. Cette rÚgle précise les mesures de protection administratives, physiques et technologiques requises pour respecter la conformité.

FCRA

Le Fair Credit Reporting Act (FCRA) est une loi fĂ©dĂ©rale qui rĂ©git les agences de renseignements sur les consommateurs et leurs procĂ©dures concernant la confidentialitĂ©, l’exactitude, la pertinence et la bonne utilisation des donnĂ©es personnelles.

Les informations personnelles rĂ©glementĂ©es par la FCRA sont liĂ©es aux rapports de crĂ©dit et aux rapports sur les consommateurs vendus dans le but de dĂ©terminer l’Ă©ligibilitĂ© Ă  un emploi, de souscrire un crĂ©dit ou une assurance, et Ă  certaines autres fins dĂ©crites dans la FCRA.

La FCRA comprend Ă©galement plusieurs types de protections des consommateurs, notamment le droit de connaĂźtre son propre score de crĂ©dit et le droit de savoir ce que contient le dossier qu’une agence de renseignements sur les consommateurs tient Ă  son sujet.

GLBA

La Gramm-Leach-Bliley Act of 2002 (GLBA) est une loi fĂ©dĂ©rale qui rĂ©glemente principalement la collecte, l’utilisation, la divulgation et la protection des informations personnelles privĂ©es recueillies par les institutions financiĂšres.

COPPA

La Children’s Online Privacy Protection Act (COPPA) est une loi fĂ©dĂ©rale qui impose des exigences aux sites web destinĂ©s aux enfants de moins de 13 ans et aux opĂ©rateurs de sites web ou de services en ligne qui collectent sciemment des informations personnelles auprĂšs d’enfants de moins de 13 ans. Les opĂ©rateurs concernĂ©s par la COPPA doivent divulguer certaines informations dans leur politique de confidentialitĂ© et obtenir le consentement des parents avant de collecter certains types d’informations auprĂšs d’enfants de moins de treize ans.

FERPA

Le Family Educational Rights and Privacy Act (FERPA) est une loi fĂ©dĂ©rale qui concerne la protection des dossiers scolaires des Ă©tudiants. La FERPA s’applique Ă  tout Ă©tablissement public ou privĂ© d’enseignement primaire, secondaire ou postsecondaire, ainsi qu’aux agences d’Ă©ducation locales ou d’État qui reçoivent des fonds dans le cadre de certains programmes du ministĂšre amĂ©ricain de l’Ă©ducation.

La FERPA donne aux parents et aux Ă©tudiants admissibles un plus grand contrĂŽle sur leurs dossiers scolaires, et interdit aux Ă©tablissements d’enseignement de divulguer des informations personnellement identifiables dans les dossiers scolaires sans un consentement Ă©crit.

TCPA

La Telephone Consumer Protection Act (TCPA) est une loi fĂ©dĂ©rale qui rĂ©git les appels de tĂ©lĂ©marketing, les appels automatiques, les appels enregistrĂ©s et les messages textuels automatisĂ©s, ainsi que les tĂ©lĂ©copies non sollicitĂ©es. La TCPA Ă©nonce Ă©galement des exigences techniques pour les tĂ©lĂ©copieurs, les composeurs automatiques et les systĂšmes de messagerie vocale, ainsi que la façon d’identifier les utilisateurs de ces Ă©quipements.

Loi sur la protection de la vie privée (Privacy Act)

La Privacy Act of 1974 est une loi fĂ©dĂ©rale qui s’applique essentiellement aux agences, aux entrepreneurs et aux employĂ©s du gouvernement fĂ©dĂ©ral. La loi sur la protection de la vie privĂ©e restreint la divulgation des informations personnelles conservĂ©es par les agences gouvernementales et accorde aux individus des droits d’accĂšs accrus aux dossiers des agences conservĂ©s sur eux-mĂȘmes. Cette loi Ă©tablit Ă©galement un code de pratiques Ă©quitables en matiĂšre d’information, avec des exigences lĂ©gales pour la collecte, la sĂ©curitĂ© et la diffusion des dossiers personnels.

Principes de protection des données au Canada

Les lois sur la protection des donnĂ©es au Canada sont semblables Ă  celles des États-Unis car elles consistent en un ensemble complexe de lois fĂ©dĂ©rales et provinciales. Comme aux États-Unis, certaines de ces lois rĂ©gissent des rĂ©glementations de secteurs spĂ©cifiques. Certaines lois prĂ©voient des obligations de notification et de dĂ©claration dans le cas d’une violation des donnĂ©es personnelles.

Les principales lois sur la protection des données au Canada sont les suivantes :

Le Canada a Ă©galement adoptĂ© une loi anti-spam, la Canada’s Anti-Spam Legislation (CASL), qui concerne les activitĂ©s de marketing Ă©lectronique telles que la collecte de donnĂ©es et l’envoi massif d’e-mails.

Principes de protection des donnĂ©es dans l’Union europĂ©enne

L’Union europĂ©enne dispose actuellement du cadre de protection des donnĂ©es le plus complet au monde. Le rĂšglement gĂ©nĂ©ral sur la protection des donnĂ©es (RGPD) promulguĂ© en 2018 sert de cadre juridique Ă  la protection des donnĂ©es et Ă  la vie privĂ©e pour chaque État membre.

Cette lĂ©gislation complexe affecte Ă©galement toute entreprise effectuant des Ă©changes commerciaux avec l’UE et est assortie d’amendes et de sanctions sĂ©vĂšres pour assurer sa conformitĂ©. Le RGPD est conçu pour protĂ©ger les donnĂ©es sensibles des citoyens de l’UE et leur donner plus de contrĂŽle sur la façon dont elles sont consultĂ©es et utilisĂ©es. Les exigences comprennent des contrĂŽles sur les transferts internationaux de donnĂ©es et les droits des citoyens Ă  la suppression des donnĂ©es.

Nous examinerons le RGPD plus en détail dans la section suivante.

Les 7 principes de la protection des données (RGPD)

  1. Légalité, équité et transparence

Article 5(1)(a) du RGPD : « Les donnĂ©es Ă  caractĂšre personnel sont traitĂ©es de maniĂšre licite, loyale et transparente Ă  l’Ă©gard de la personne concernĂ©e (« licĂ©itĂ©, loyautĂ©, transparence ») »

PrĂ©cise que les organisations doivent s’assurer que leurs mĂ©thodes de collecte de donnĂ©es respectent la loi et que leur utilisation soit transparente pour les personnes dont les donnĂ©es sont collectĂ©es.

  1. Limitation de l’objet

Article 5(1)(b) du RGPD : « Les donnĂ©es Ă  caractĂšre personnel sont collectĂ©es pour des raisons dĂ©terminĂ©es, explicites et lĂ©gitimes et ne sont pas traitĂ©es ultĂ©rieurement de façon incompatible avec ces finalitĂ©s; le traitement ultĂ©rieur Ă  des fins d’archivage dans l’intĂ©rĂȘt public, Ă  des fins de recherche scientifique ou historique ou Ă  des fins statistiques n’est pas considĂ©rĂ© comme incompatible avec les raisons initiales. »

Stipule que les organisations ne doivent recueillir des donnĂ©es personnelles que dans un but dĂ©fini et dĂ©clarĂ©. Ils doivent dĂ©finir le but et l’objectif et ne collecter des donnĂ©es que pendant le temps nĂ©cessaire pour atteindre ces objectifs.

La collecte et le traitement des donnĂ©es effectuĂ©s Ă  des fins de recherche historique, scientifique ou statistique, ou pour des raisons d’intĂ©rĂȘt public, bĂ©nĂ©ficient d’une plus grande libertĂ©.

  1. Minimisation des données

Article 5(1)(c) : « Les données à caractÚre personnel sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données). »

Les organisations ne devraient conserver que la plus petite quantitĂ© de donnĂ©es nĂ©cessaires Ă  leurs besoins. La collecte de donnĂ©es « supplĂ©mentaires » dans l’espoir qu’elles soient utiles plus tard n’est pas autorisĂ©e.

  1. Exactitude

Article 5(1)(d) : « Les donnĂ©es Ă  caractĂšre personnel doivent ĂȘtre exactes et, si nĂ©cessaire, mises Ă  jour; toutes les mesures raisonnables doivent ĂȘtre prises pour que les donnĂ©es Ă  caractĂšre personnel qui sont inexactes, au regard des finalitĂ©s pour lesquelles elles sont traitĂ©es, soient effacĂ©es ou rectifiĂ©es sans dĂ©lai (« exactitude ») »

Les donnĂ©es personnelles collectĂ©es doivent ĂȘtre adaptĂ©es Ă  la finalitĂ© dĂ©clarĂ©e, mais aussi exactes et Ă  jour. Les informations permettant d’identifier une personne doivent ĂȘtre vĂ©rifiĂ©es rĂ©guliĂšrement, et les informations inexactes doivent ĂȘtre corrigĂ©es ou supprimĂ©es.

  1. Limitations de la conservation des données

Article 5(1)(e) : « Les donnĂ©es Ă  caractĂšre personnel sont conservĂ©es sous une forme permettant l’identification des personnes concernĂ©es pendant une durĂ©e n’excĂ©dant pas celle nĂ©cessaire aux buts pour lesquelles elles sont traitĂ©es; les donnĂ©es Ă  caractĂšre personnel peuvent ĂȘtre conservĂ©es pendant des pĂ©riodes plus longues dans la mesure oĂč elles seront traitĂ©es uniquement Ă  des fins d’archivage dans l’intĂ©rĂȘt public, Ă  des fins de recherche scientifique ou historique ou Ă  des fins statistiques, sous rĂ©serve de la mise en Ɠuvre des mesures techniques et organisationnelles appropriĂ©es requises par le RGPD afin de prĂ©server les droits et libertĂ©s des personnes (« limitation de la conservation »). »

Une fois l’objectif de la collecte de donnĂ©es atteint, ces donnĂ©es doivent ĂȘtre supprimĂ©es. S’il existe une raison acceptable de conserver les informations, par exemple qu’elles peuvent ĂȘtre utilisĂ©es pour l’intĂ©rĂȘt public ou la recherche historique, l’organisation doit fixer et justifier une pĂ©riode de conservation.

  1. Intégrité et confidentialité

Article 5(1)(f) : « Les donnĂ©es Ă  caractĂšre personnel sont traitĂ©es d’une façon qui garantit une sĂ©curitĂ© appropriĂ©e des donnĂ©es Ă  caractĂšre personnel, y compris la protection contre le traitement non autorisĂ© ou illicite et contre la perte, la destruction ou les dommages accidentels, au moyen de mesures techniques ou organisationnelles appropriĂ©es (« intĂ©gritĂ© et confidentialité »). »

Toute information collectĂ©e doit ĂȘtre conservĂ©e en toute sĂ©curitĂ©. Votre organisation doit s’assurer que des mesures adĂ©quates de protection des donnĂ©es sont mises en place pour sauvegarder les informations personnelles. Il est primordial de respecter la cybersĂ©curitĂ©.

  1. Responsabilité

Article 5(2) : « Le contrĂŽleur doit ĂȘtre responsable et ĂȘtre en mesure de dĂ©montrer la conformitĂ© avec les autres principes de protection des donnĂ©es [the other data protection principles]»

Cela signifie que les organisations doivent assumer la responsabilitĂ© des donnĂ©es qu’elles conservent et montrer qu’elles respectent tous les autres principes. Les organisations doivent ĂȘtre en mesure de documenter et de prouver leur adhĂ©sion Ă  ces pratiques.

Cela peut impliquer :

Se tenir au courant des pratiques en matiÚre de protection des données

CrĂ©ation d’un poste de dĂ©lĂ©guĂ© Ă  la protection des donnĂ©es (DPD) ou de responsable de la conformitĂ©

Établir un inventaire des donnĂ©es personnelles

RĂ©alisation d’Ă©valuations d’impact sur la protection des donnĂ©es et d’audits de cybersĂ©curitĂ©

NinjaOne et la protection des données

Des fonctionnalités telles que Ninja Data Protection sont conçues pour aider les entreprises et les fournisseurs informatiques à faire face à la complexité des réglementations en matiÚre de protection des données.

Conclusion

La protection des donnĂ©es est le processus de sĂ©curisation des informations contre la compromission ou la corruption. C’est peut-ĂȘtre un dĂ©fi pour de nombreuses organisations, mais c’est essentiel dans le monde moderne oĂč les donnĂ©es ont une grande valeur et oĂč les cybermenaces se multiplient.

Les utilisateurs finaux et les fournisseurs de services informatiques doivent veiller Ă  ce que des mesures de sĂ©curitĂ© strictes soient mises en place et Ă  ce que la conformitĂ© soit maintenue dans les rĂ©gions ou les secteurs oĂč elle est requise. Le choix des bonnes solutions et des bons partenaires peut ĂȘtre vital pour faire face Ă  la complexitĂ© de la protection des donnĂ©es.

Vous pourriez aussi aimer

PrĂȘt Ă  simplifier les aspects les plus complexes de l'informatique et de la sĂ©curitĂ© ?
×

Voir NinjaOne en action !

En soumettant ce formulaire, j'accepte la politique de confidentialité de NinjaOne.

Termes et conditions NinjaOne

En cliquant sur le bouton « J’accepte » ci-dessous, vous indiquez que vous acceptez les termes juridiques suivants ainsi que nos conditions d’utilisation:

  • Droits de propriĂ©tĂ©: NinjaOne possĂšde et continuera de possĂ©der tous les droits, titres et intĂ©rĂȘts relatifs au script (y compris les droits d’auteur). NinjaOne vous accorde une licence limitĂ©e pour l’utilisation du script conformĂ©ment Ă  ces conditions lĂ©gales.
  • Limitation de l’utilisation: Les scripts ne peuvent ĂȘtre utilisĂ©s qu’Ă  des fins personnelles ou professionnelles internes lĂ©gitimes et ne peuvent ĂȘtre partagĂ©s avec d’autres entitĂ©s.
  • Interdiction de publication: Vous n’ĂȘtes en aucun cas autorisĂ© Ă  publier le script dans une bibliothĂšque de scripts appartenant Ă , ou sous le contrĂŽle d’un autre fournisseur de logiciels.
  • Clause de non-responsabilitĂ©: Le texte est fourni « tel quel » et « tel que disponible », sans garantie d’aucune sorte. NinjaOne ne promet ni ne garantit que le script sera exempt de dĂ©fauts ou qu’il rĂ©pondra Ă  vos besoins ou attentes particuliĂšres.
  • Acceptation des risques: L’utilisation du script est sous votre propre responsabilitĂ©. Vous reconnaissez qu’il existe certains risques inhĂ©rents Ă  l’utilisation du script, et vous comprenez et assumez chacun de ces risques.
  • Renonciation et exonĂ©ration de responsabilitĂ©: Vous ne tiendrez pas NinjaOne pour responsable des consĂ©quences nĂ©gatives ou involontaires rĂ©sultant de votre utilisation du script, et vous renoncez Ă  tout droit ou recours lĂ©gal ou Ă©quitable que vous pourriez avoir contre NinjaOne en rapport avec votre utilisation du script.
  • EULA: Si vous ĂȘtes un client de NinjaOne, votre utilisation du script est soumise au contrat de licence d’utilisateur final qui vous est applicable (End User License Agreement (EULA)).