Les règles de confidentialité des données se répandent dans le monde entier et deviennent plus strictes

Les entreprises, en particulier celles des secteurs hautement réglementés tels que les services financiers, les soins de santé et le gouvernement – et celles qui opèrent dans plusieurs pays – sont confrontées à un nombre croissant de réglementations sur la confidentialité des données.

Ces règles régissant la manière dont les données doivent être stockées, utilisées et partagées peuvent être accablantes pour les départements de cybersécurité et de gestion des risques à court de ressources, c’est pourquoi les organisations doivent prendre des mesures pour mieux gérer leurs opérations de conformité.

Depuis 2018, année où le règlement général sur la protection des données (RGPD) de l’Union européenne est entré en vigueur, il y a eu une augmentation constante de ce type de réglementations, a déclaré Enza Iannopollo, analyste principale chez Forrester Research.

“Notre recherche compte environ 100 pays dans le monde qui ont mis en place une certaine forme de règles de confidentialité ou de sécurité des données”, a déclaré Iannopollo. “On peut dire que ces règles sont également devenues plus strictes.”

Dans l’UE, les règles sur l’intelligence artificielle et la gouvernance des données actuellement en préparation contiennent également des exigences qui ont un impact sur la manière dont les informations personnelles sont collectées, traitées et partagées.

Législation et réglementation américaines

Plusieurs États américains, notamment la Californie avec son California Consumer Privacy Act (CCPA), ont promulgué des lois sur la confidentialité. “Trente-cinq des 50 États américains ont au moins envisagé une réglementation sur la confidentialité des données”, a déclaré Ryan O’Leary, directeur de recherche, confidentialité et technologie juridique au cabinet de recherche International Data Corp.

Les nouvelles modifications attendues du CCPA donnent à la Californie plus de pouvoir d’exécution par le biais d’une agence d’État distincte et mettent fin à une exemption pour les employés, a déclaré O’Leary. “Auparavant, en vertu du CCPA, les données des employés étaient exemptées de faire l’objet de demandes de droits sur les données”, a-t-il déclaré. “Ce ne sera plus le cas bientôt.”

La réglementation la plus importante actuellement, la loi américaine sur la confidentialité et la protection des données, retient l’attention de la plupart des acteurs de la protection de la vie privée, mais semble moins susceptible d’être adoptée par le Congrès, a déclaré O’Leary. Et si ce n’est pas le cas, cela “laissera un vide au niveau fédéral et continuera de permettre aux États de créer un environnement réglementaire disparate sans plancher fédéral”, a-t-il déclaré.

4,2 zettaoctets de données, et en croissance

Le défi de la conformité continue de croître avec l’essor du commerce numérique. “En 2020, il y avait 4,2 zettaoctets de données stockées par an dans le monde”, a déclaré O’Leary. “Ce volume continue d’augmenter et auparavant, de nombreuses entreprises pensaient que les données étaient précieuses et essayaient d’en consommer le plus possible. Cependant, ces données contiennent désormais une quantité importante de risques et leur volume est écrasant.”

Les données qui font partie de l’expansion des affaires mondiales ajoutent également au défi. “Pour les organisations qui opèrent dans plusieurs zones géographiques, le défi de définir une approche globale de la conformité à la confidentialité est particulièrement pertinent”, a déclaré Iannopollo.

Le RGPD et la Cour de justice de l’UE “ont essentiellement statué que le transfert de données de l’UE vers les États-Unis sans garanties importantes n’est pas autorisé”, a déclaré O’Leary. “Il y aura une diplomatie importante [needed] avant que les transferts de données puissent commencer à se produire sans une amélioration rigoureuse de la part des entreprises. Ces réglementations sont extrêmement détaillées et il n’y a pas encore de partie prenante claire. Est-ce contrôlé par la sécurité ? IL? Juridique? Conformité? La réponse est maintenant oui. Tous ont un intérêt. »

“Nettoyer le placard de données”

La question préoccupante pour les efforts de conformité n’est pas seulement le volume de règlements, mais le manque d’uniformité au sein des règlements, a déclaré O’Leary. En conséquence, a-t-il déclaré, il y a un certain nombre de choses que les équipes de conformité doivent prendre en compte lors de l’évaluation de leurs besoins en matière de conformité.

Cela inclut de savoir quelles lois s’appliquent à l’organisation, quel est son appétit pour le risque par rapport au coût de la conformité et comment elle peut au mieux élaborer un programme de conformité complet.

“Les organisations doivent identifier les données qui relèvent du champ d’application des règles”, a déclaré Iannopollo. “La découverte et la classification des données sont fondamentales ici. En fait, les organisations doivent savoir quelles données elles doivent protéger et où elles se trouvent. C’est simple à dire, mais complexe à faire en pratique. C’est une étape cruciale pour construire des programmes de confidentialité solides. “

Les entreprises doivent également constituer des équipes multifonctionnelles comprenant une expertise juridique ainsi que des experts en sécurité et en informatique, a déclaré Iannopollo.

Une autre approche à considérer, bien qu’elle puisse être contre-intuitive pour de nombreuses entreprises, consiste à réduire les volumes de données. “La suggestion que j’ai toujours est la minimisation des données”, a déclaré O’Leary. “Il n’est pas nécessaire de sur-collecter des données – c’est risqué et imprudent. Vous devez nettoyer votre armoire de données. Vous devez savoir du mieux que vous pouvez où tout se trouve et qui y accède et l’utilise.”

Parallèlement à l’accent mis sur la minimisation des données, les organisations devraient améliorer leurs capacités en matière de découverte et de cartographie des données, a déclaré O’Leary. “Il existe un nombre important de partenaires technologiques et de fournisseurs de services qui possèdent une immense expertise et peuvent vous aider à la maîtriser”, a-t-il déclaré.

Leave a Comment