Le 1er janvier 2020, la nouvelle loi californienne sur la protection des consommateurs (CCPA – California Consumer Privacy Act) est entrée en vigueur, donnant aux résidents de l’État un plus grand contrôle sur l’utilisation et la vente de leurs données personnelles.
Dans cet article, nous examinons les exigences de la CCPA en matière de sécurité des données pour les entreprises et les conséquences de la non-conformité à cette loi.
Qu’est-ce que la loi californienne sur la protection des consommateurs ?
La Californie a déjà adopté certaines des lois les plus strictes des États-Unis en matière de protection de la vie privée des consommateurs, mais avec la CCPA, ce concept va un peu plus loin.
La CCPA a été assimilée au Règlement général sur la protection des données (RGPD) de l’Union européenne, car elle donne aux résidents californiens des droits similaires sur les données personnelles collectées et utilisées par les entreprises.
La CCPA exige des entreprises d’informer les résidents californiens des catégories de données qu’elles collectent, avant ou au moment de la collecte. Ces derniers ont un droit d’accès à toutes leurs informations personnelles qui sont détenues par une entreprise et un droit de savoir avec qui ces données personnelles ont été partagées.
Ils ont également le droit de refuser et d’empêcher que leurs données personnelles soient vendues. Par ailleurs, ils peuvent demander que leurs données personnelles soient supprimées. Ils ont le droit à l’égalité des services et des prix et ne peuvent faire l’objet d’une discrimination ou se voir refuser des biens ou des services ou des niveaux de service s’ils choisissent de ne pas vendre leurs données personnelles.
Qui doit se conformer à la CCPA ?
Depuis le 1er janvier 2020, la CCPA s’applique à toutes les entreprises qui font des affaires avec des résidents de la Californie, peu importe le lieu où l’entreprise est basée, si l’une des conditions suivantes est remplie :
L’entreprise génère des revenus d’au moins 22696000 euros par an
La société recueille, achète, vend ou partage les données personnelles d’au moins 50 000 personnes
L’entreprise tire au moins 50 % de ses revenus de la vente de données à caractère personnel.
L’ACCP ne s’applique pas aux institutions d’assurance, aux agents et aux organisations de soutien, qui sont couverts par différentes lois des États.
Exigences de la CCPA en matière de sécurité des données
LA CCPA ne précise pas quelles mesures de sécurité doivent être mises en œuvre pour protéger les données personnelles des résidents de la Californie. Cependant, les entreprises ont le devoir de mettre en œuvre des mesures de sécurité raisonnables en fonction du niveau de risque, conformément aux autres lois de l’État.
Selon la CCPA, des sanctions peuvent être appliquées en cas de « violation de l’obligation de mettre en œuvre et de maintenir des procédures et des pratiques de sécurité raisonnables ».
Étant donné qu’une action en justice peut être engagée contre les entreprises en cas de violation de données personnelles, il est important que les entreprises veillent à ce que des mesures appropriées soient prises pour les protéger et pour empêcher la violation des données.
LA CCPA ne précise pas quels contrôles doivent être mis en œuvre ni ce qui constitue des « procédures et pratiques de sécurité raisonnables ».
Un rapport sur les atteintes à la protection des données de 2016, publié par le procureur général de Californie, constitue un bon guide. Il comprend une liste de 20 contrôles qui, selon le Centre pour la sécurité sur Internet (CIS), sont nécessaires pour se protéger contre les vecteurs de cyberattaques connus. Ces contrôles devraient donc servir de guide pour les exigences de la CCPA en matière de sécurité des données.
Comment TitanHQ peut vous aider à vous conformer aux exigences de la CCPA en matière de sécurité des données ?
L’email est le vecteur d’attaque le plus couramment utilisé pour le phishing et pour la diffusion de malwares. Des mesures de protection doivent donc être mises en place pour assurer la sécurité des systèmes de messagerie électronique.
Les attaques de phishing ont souvent un composant web où les informations d’identification sont récoltées, et de nombreux téléchargements de malwares se font via Internet. Les contrôles sur Internet sont par conséquent essentiels pour protéger les entreprises contre les cyberattaques et les violations de données.
En raison du risque d’attaque via la messagerie électronique et le web, la protection des emails et des navigateurs figure parmi les premières mesures recommandées par le CIS.
C’est un domaine dans lequel TitanHQ peut apporter son aide. Nous avons développé deux puissantes solutions de sécurité basées dans le cloud et qui peuvent vous aider à répondre aux exigences de la CCPA en matière de protection des données.
SpamTitan Email Security est une puissante solution de filtrage du spam qui protège les boîtes de réception de vos employés des menaces basées sur la messagerie électronique. SpamTitan intègre plusieurs couches de contrôles antispam et antiphishing, dont le Sender Policy Framework (SPF), le protocole Domain-based Message Authentication (DMARC), le Realtime Blackhole List (SURBL), l’analyse bayésienne, et bien d’autres. SpamTitan utilise deux moteurs antivirus pour bloquer les menaces de malwares connues et le sandboxing pour protéger contre les vulnérabilités et la perte de données liées aux attaques du type « zero day ».
WebTitan est une solution de filtrage DNS basée dans le cloud. Elle protège vos employés contre les menaces web et les attaques de phishing. Elle empêche également les utilisateurs de réseaux câblés et sans fil d’accéder à des sites web malveillants.
Ces solutions vous aideront à assumer vos responsabilités en matière de sécurité de la messagerie électronique et du web et à protéger votre organisation contre les attaques de phishing et de malwares et contre les téléchargements de ransomwares. Ensemble, ces solutions vous aideront à prévenir les coûteuses atteintes à la protection des données et à éviter les amendes de l’ACCP qui en résultent.
Sanctions en cas de non-respect de la CCPA
Chaque violation intentionnelle est passible d’une amende maximale jusqu’à environ 6 800 euros par dossier. Les violations involontaires sont passibles d’une amende jusqu’à environ 2 269 euros par dossier.
Il existe également une cause d’action privée au sein de l’ACCP. En cas d’atteinte à la protection de leurs données, les victimes peuvent intenter une action en justice pour une violation de la CCPA. Ceci peut impliquer le paiement de dommages-intérêts légaux de 90 à 680 euros pour chaque résident californien touché par la violation.
Il est également possible de demander des dommages-intérêts réels – le montant le plus élevé étant retenu – ainsi que d’autres mesures de redressement déterminées par les tribunaux. Les recours collectifs sont également autorisés en vertu de la CCPA. Et pour finir, sachez que le procureur général de Californie peut dans ce cas intenter une action en justice contre la société plutôt que d’autoriser l’introduction de poursuites civiles.
Les dangers des attaques de ransomware ont été démontrés lorsque plus de 5 000 patients en Californie ont définitivement perdu leurs dossiers médicaux stockés dans un établissement de soins de santé à la suite d’une attaque de ransomware.
Wood Ranch Medical de Simi Valley, en Californie, a subi l’attaque le 10 août 2019. Des ransomwares ont été déployés et exécutés sur ses serveurs, contenant les dossiers médicaux de 5 835 patients. L’attaque a causé des dommages permanents aux systèmes informatiques, et comme les copies de sauvegarde des dossiers des patients étaient également chiffrées, ils ont été définitivement perdus. On ne connait pas le montant exigé par les pirates pour qu’ils fournissent les clés de déchiffrement au cas où la rançon aurait été payée.
Sans les dossiers des patients et à cause du fait que l’organisation devait reconstruire totalement sa pratique médicale à partir de zéro, la décision a été prise de fermer définitivement l’établissement. Les patients ont été forcés de trouver d’autres prestataires de soins de santé et n’ont plus accès à leur dossier médical.
Il s’agit du deuxième fournisseur de soins de santé aux États-Unis qui a été forcé de fermer ses portes en raison d’une attaque de ransomware. Le Brookside ENT and Hearing Center de Battle Creek, au Michigan, a également fermé son cabinet cette année à la suite d’une attaque similaire. Dans cette affaire, les propriétaires de l’établissement ont refusé de payer la rançon, et les dossiers des patients étaient restés chiffrés. Ils ont été conscients qu’il n’était pas possible de reconstruire le cabinet à partir de zéro et ont annoncé leur retraite anticipée.
On ne sait pas exactement comment le ransomware a été installé dans chacun de ces incidents. Il n’est donc pas possible de déterminer les mesures qui auraient dû être mises en œuvre et améliorées pour prévenir les attaques. Toutefois, dans les deux cas, la récupération des fichiers à partir des sauvegardes n’était pas possible.
Le but d’une sauvegarde est de s’assurer qu’en cas de problème, les données seront récupérables. La récupération des fichiers peut prendre beaucoup de temps et nécessiter des temps d’arrêt en raison de l’attaque qui risque d’être coûteuse, mais les données ne seront pas perdues définitivement.
Afin de s’assurer que la récupération des fichiers est possible, les sauvegardes doivent être testées. Les fichiers peuvent être corrompus pendant le processus de sauvegarde et la restauration des données peut ne pas être possible. Si les sauvegardes ne sont pas testées pour s’assurer que les fichiers peuvent être restaurés, il ne sera pas possible de garantir leur restauration en cas de sinistre.
Ces incidents mettent également en lumière une autre règle fondamentale de la sauvegarde. En fait, il ne faut jamais stocker une seule copie de sauvegarde sur un ordinateur en réseau ou connecté à Internet.
En cas d’attaque de ransomwares, il est fort probable que les copies de sauvegarde sur les périphériques en réseau seront chiffrées et le seul moyen de les récupérer est de payer la rançon.
Là encore, il n’est pas certain que le paiement d’une rançon offre une garantie que les données seront récupérées. Les fichiers peuvent être corrompus par le processus de chiffrement/déchiffrement et les attaquants peuvent décider de ne pas fournir tout simplement les clés pour déchiffrer les fichiers.
Une bonne alternative que vous pouvez adopter pour prévenir de telles catastrophes est d’adopter la règle de sauvegarde 3-2-1. Cela signifie que 3 sauvegardes doivent être créées et être stockées sur 2 supports différents, avec 1 copie gardée en toute sécurité hors site sur un appareil qui n’est pas en réseau ou connecté à Internet.
Beaucoup de gens croient que seules les entreprises réglementées doivent conserver les e-mails et d’autres fichiers numériques. C’est une idée fausse et dangereuse. Les lois sur la conservation des données touchent la plupart des entreprises, qu’elles soient réglementées ou non.
Les lois que vous devez respecter dépendent du pays dans lequel vous exercez vos activités. Aux États-Unis, la liste des réglementations est longue : SOX, HIPPA, Franks-Dobbs, Gramm Leach Bliley, et même le USA Patriot Act. En Europe, il existe des lois spécifiques pour les pays membres de l’UE, ainsi que pour l’Union européenne dans son ensemble.
Saviez-vous que vous pourriez commettre un crime si vous supprimez un e-mail ? Vous réutilisez des supports de sauvegarde qui peuvent aller à l’encontre de la loi ? Faites cela avec une intention malveillante et vous risquez de purger 20 ans de prison aux États-Unis. Le défaut de produire des e-mails pour les vérificateurs peut également amener la SEC (Security and Exchange Commission) à imposer une amende aux entreprises financières.
Voici un résumé de certains des règlements particuliers et voici comment ils ont vu le jour. En raison du grand nombre d’organismes de réglementation et de règles qui se chevauchent, certaines organisations décident de tout conserver, et pour toujours. La raison est que certaines règles stipulent que le document A doit être conservé pour la période B et le document C doit être conservé pour la période D.
Les règlements peuvent encore se compliquer, car les différentes périodes et règles de conservation s’appliquent à différents types de données. Il est plus simple de supposer que vous avez besoin d’une copie inviolable et hors site de toutes les communications commerciales, des dossiers de paie et de santé, et des transactions comptables, et ce, pour toujours.
SOX
Après le scandale Enron aux États-Unis, le Congrès a adopté la loi Sarbanes-Oxley de 2002 pour faire en sorte que les entreprises démontrent la véracité de leurs états financiers. L’objectif était d’étayer l’affirmation « Tout va bien ici. Les affaires vont bien » avec des faits réels pour protéger les investisseurs contre la fraude (dans le cas d’Enron).
À cette fin, tout type de données comptables doit être conservé pendant 7 ans. Étant donné que les e-mails peuvent contenir des informations concernant les audits de la société et l’examen des états financiers réalisés par le comptable, ils doivent alors être conservés pendant cette période.
Les mesures prises dans le cadre de l’exploitation de l’entreprise sont également liées aux résultats financiers, de sorte qu’elles doivent être conservées pendant sept ans. Bref, le mieux serait donc de conserver tous vos e-mails pendant au moins 7 ans.
HIPAA
L’HIPAA est la Loi sur la transférabilité et la responsabilité en matière d’assurance maladie. Il a été adopté sous le mandat du président Clinton pour permettre aux Américains de conserver leur assurance maladie lorsqu’ils perdent leurs emplois. Cette cruelle partie du capitalisme a été remplacée par la nouvelle loi sur la santé du président Obama, mais les exigences de l’HIPPA en matière de paperasserie demeurent.
On pourrait penser qu’une loi appelée « assurance maladie… » s’adresserait uniquement aux professionnels de la santé. Bien au contraire, la loi s’applique aux discussions sur la santé de toute personne, y compris votre personnel. Il peut s’agir d’un employé qui demande un congé médical pour consulter un médecin ou pour s’occuper d’un enfant malade ; ou bien d’un parent vieillissant. Du moment que la communication se fait par e-mail, l’HIPPA exige que vous conserviez le message pendant six ans.
Les règles au Royaume-Uni
Watson et Hall ont passé en revue les règles en matière de détention de documents au Royaume-Uni. Leur matrice regroupe les exigences de communication et de conservation par secteur : finance, gouvernement, communication et conformité interentreprises.
Selon Watson et Hall, les entreprises basées au Royaume-Uni sont tenues de conserver les dossiers fiscaux pendant trois ans ; les messages texte sur téléphone cellulaire pendant un an (ce serait difficile) ; et les e-mails pendant un an, à moins que vous soyez une entreprise financière, auquel cas l’exigence est de six ans.
Les fournisseurs d’accès internet (FAI) et les entreprises hébergeant des sites web sont tenus de conserver un registre de leur activité sur internet pendant 4 jours et des informations sur la connexion Internet pendant un an.
Lois allemandes sur la conservation des données
Iron Mountain, l’entreprise américaine d’archivage de documents et de données informatiques, a dressé une liste pour l’Allemagne. En effet, les entreprises allemandes et les entreprises opérant en Allemagne sont tenues de conserver les communications commerciales pendant 6 ans et les données salariales et comptables pendant 10 ans.
Archivage des e-mails avec ArcTitan Cloud
Les exigences eDiscovery stipulent que les e-mails doivent être conservés et consultables pendant 6 ans. Par conséquent, il est important d’utiliser un système d’archivage d’e-mails – comme ArcTitan – qui donne aux utilisateurs un accès en ligne à ce qui est archivé hors ligne et hors site.
Il existe une alternative consistant à suivre un processus fastidieux pour restaurer des fichiers de données d’e-mails à partir d’une sauvegarde afin de rechercher ce qui pourrait être demandé à votre entreprise. Cependant, il s’agit d’un processus lourd et sujet aux erreurs.
ArcTitan inclut un navigateur en langage naturel via lequel vous pouvez rechercher dans les archives de votre messagerie électronique tous les éléments liés, par exemple, à « Fusion avec Acme Company ». Cet outil permet à votre entreprise de rester en conformité avec les réglementations en vigueur et de se conformer facilement aux exigences eDiscovery.
Le Règlement Général sur la Protection des Données (RGPD) est une nouvelle loi sur la confidentialité et la sécurité des données en Europe. Elle est entrée en vigueur le 25 mai 2018.
Voici quatre questions auxquelles nous allons tenter d’apporter quelques réponses et éclaircissements sur le sujet :
En quoi consiste le RGPD ?
Cette réglementation concerne-t-elle les entreprises américaines ?
Si c’est le cas, comment s’applique-t-il ?
Qu’est ce que les entreprises américaines doivent faire pour s’y conformer ?
Tout de suite, nous allons répondre de façon simple à l’une des questions susmentionnées : non seulement le RGPD s’applique aux entreprises américaines, mais si celles-ci font des affaires dans l’Union européenne (UE), cela pourrait leur coûter cher au cas où elles ne s’y conformeraient pas.
Qu’elles opèrent ou qu’elles servent des clients dans l’UE, ces entreprises doivent ainsi comprendre ce qu’elles doivent faire pour se préparer à cette nouvelle réalité.
Qu’est ce que le RGPD ?
Pour commencer, rappelons que le Parlement européen a adopté le RGPD en avril 2016. Il remplace une directive obsolète sur la protection des données qui date de 1995, car celle-ci ne réglementait généralement pas les entreprises basées en dehors de l’UE.
Le RGPD comporte de nombreuses dispositions, obligeant les entreprises à protéger les données personnelles ainsi que la vie privée des citoyens de l’UE pour toute transaction effectuée dans les États membres de l’UE.
Toutes les entreprises du monde entier qui ont des employés – ou qui font des affaires dans l’un des 28 États membres (Allemagne, Autriche, Belgique, Bulgarie, Croatie, Chypre, Danemark, Espagne, Estonie, Finlande, France, Grèce, Hongrie, Irlande, Italie, Lettonie, Lituanie, Luxembourg, Malte, Pays-Bas, Pologne, République tchèque, Roumanie, Royaume-Uni, Slovaquie, Suède et République Tchèque) – doivent donc se conformer à cette réglementation.
Et même si votre entreprise n’est pas basée dans l’UE et que vous avez des employés, des clients ou des sous-traitants basés dans un pays de l’UE ou citoyens de l’UE, elle doit aussi respecter les normes en matière de confidentialité des données, sous peine de sanctions sévères.
La pénalité pour non-conformité au RGPD pour les entreprises est de 20 000 000 euros (23 138 200 dollars) ou 4 % du chiffre d’affaires annuel global de l’entreprise pour l’exercice précédent (le plus élevé des deux montants étant retenu). S’il est avéré qu’une entreprise ne s’est pas conformée au RGPD, elle sera également soumise à des vérifications régulières et périodiques de la protection des données pour s’assurer que ses politiques et procédures sont mises à jour et que l’entreprise continue à se conformer au RGPD.
Qu’en est-il de la protection de la vie privée aux Etats-Unis ?
Certains d’entre nous se posent la question suivante : est-ce qu’il existe un équivalent américain du RGPD qui établit, au niveau local, la loi du pays concernant les cookies, le suivi des sites web et le respect de la vie privée des utilisateurs finaux ?
La réponse est non.
Les Etats-Unis n’ont rien de comparable au RGPD. Lorsqu’une entreprise collecte et traite les données personnelles des citoyens européens, c’est le RGPD qui entre en vigueur.
L’absence d’une réglementation fédérale portant sur la confidentialité des données ont poussé de nombreux États américains à légiférer localement afin de garantir aux consommateurs le droit de refuser que leurs données soient divulguées ou vendues à des tiers.
Prenons l’exemple de la loi californienne sur la protection de la vie privée des consommateurs, communément connue sous le nom de CCPA ou « California Consumer Privacy Act ». Cette norme est entrée en vigueur le 1er janvier 2020 et garantit aux citoyens de la Californie le droit d’accéder à leurs données ; le droit de refuser la vente de ces informations et le droit de demander leur suppression.
Le Nevada a également adopté sa propre loi sur la protection de la vie privée qui a pris effet le 1er octobre 2019. Même si cette loi est loin d’être aussi ambitieuse que la CCPA, elle donne néanmoins aux résidents du Nevada le droit de refuser la vente de leurs données à des tiers.
En matière de protection de la vie privée, il existe une certaine différence entre l’approche de l’UE et celle des Etats Unis. En général, les membres de l’UE perçoivent la vie privée comme un droit fondamental de l’homme où chaque individu est propriétaire de ses données. Par contre, les États-Unis ne la considèrent pas en tant que tel, et les entreprises considèrent qu’elles sont propriétaires des données personnelles qu’elles collectent.
C’est probablement pour cette raison que les États-Unis ont choisi de ne mettre en place aucune réglementation globale en matière de protection de la vie privée. Et lorsque le besoin s’en fait sentir, ils préfèrent plutôt créer des lois sur la protection de la vie privée en utilisant une approche sectorielle (santé, marketing, finances, etc.).
Mais, malgré ces approches fondamentalement différentes, les États-Unis tendent actuellement à se conformer au RGPD en réponse aux mesures imposées par l’UE.
Les entreprise américaines sont de plus en plus enclines à se conformer au RGPD
Une récente enquête menée par PricewaterhouseCoopers auprès de grandes multinationales américaines a montré que des efforts sont déjà en cours pour assurer le respect de cette réglementation européenne. Plus de la moitié des entreprises interrogées ont déclaré que la protection des données est désormais leur principale priorité, et 92 % d’entre elles ont déclaré que le respect de cette obligation est une priorité absolue cette année.
Le coût de la conformité est toutefois considérable. 77 % des entreprises sondées ont indiqué qu’elles prévoyaient dépenser plus d’un million de dollars pour se conformer à cette réglementation. L’un de leurs principaux postes de dépenses étant l’amélioration de leurs mesures de sécurité de l’information.
De nombreuses entreprises commencent à se demander comment le RGPD pourrait s’appliquer aux entreprises américaines. Une étude menée par NTT Security a révélé que trois quarts des entreprises américaines ignorent cette règlementation, car elles ne croient pas être concernées. L’ignorance pourrait s’avérer toutefois très coûteuse et, de surcroît, le temps presse.
Comment le RGPD s’applique-t-il aux sociétés américaines ?
L’objectif principal du RGPD est de donner aux citoyens de l’UE un plus grand contrôle sur la manière avec laquelle leurs données personnelles sont collectées, protégées et utilisées. Si la législation s’applique aux entreprises de l’UE, elle s’applique également à toute entreprise qui choisit de faire des affaires dans le territoire européen. Cela inclut toute entreprise en ligne qui possède un site web accessible aux citoyens de l’UE, au cas où ce site collecterait des données sur les utilisateurs.
Comme la définition des renseignements personnels comprend les identificateurs en ligne comme les cookies, le RGPD a donc des répercussions sur un grand nombre d’entreprises américaines.
Ce texte s’applique à toutes les entreprises qui font des affaires avec des personnes basées dans les États membres de l’UE, à l’exception des forces de l’ordre, ou lorsque des données sont collectées pour des activités de sécurité nationale.
Les sites e-commerce sont un excellent exemple d’une catégorie d’entreprises pouvant être situées en dehors de l’UE et qui peuvent être visées par le RGPD. Si une entreprise américaine, présente sur un site web, vend des produits à des citoyens de l’UE et expédie des articles en Europe depuis les États-Unis, elle doit respecter les normes stipulées dans le RGPD pour les données personnelles collectées dans le cadre de ce processus. Dans le cas contraire, elle risque une action coercitive avec des amendes potentielles à son encontre.
Sachez que le RGPD s’applique même si aucune transaction financière n’a lieu. C’est par exemple le cas lorsque l’entreprise américaine vend ou commercialise des produits via Internet à des citoyens de l’UE ; lorsque son site e-commerce possède un suffixe de domaine pour un pays de l’UE ou lorsqu’elle accepte la monnaie d’un pays de l’UE.
Pour continuer à exercer des activités commerciales dans l’UE, la plupart des entreprises devront donc mettre en œuvre des mesures supplémentaires de protection de la vie privée et adopter des stratégies de protection des données de bout en bout.
Que signifie exactement le terme « données personnelles » ?
Les lois américaines sur la notification des violations de données définissent ce terme comme le nom d’une personne accompagné d’un autre type d’informations d’identification telles qu’un numéro de sécurité sociale ou des informations sur un compte financier.
Pour l’UE, le sens d’une donnée personnelle va beaucoup plus loin. Selon la Commission nationale de l’informatique et des libertés (CNIL), elle peut être définie comme « toute information se rapportant à une personne physique identifiée ou identifiable ».
Les données personnelles peuvent ainsi inclure un large éventail d’informations (noms, adresses, numéros de téléphone, e-mails, informations bancaires, numéros de carte de crédit, informations médicales, messages sur les plateformes de médias sociaux, etc.
Même si des contrôles ont été mis en place pour assurer la sécurité des données personnelles que vous collectez, il peut s’avérer nécessaire de réviser vos systèmes afin de vous assurer que des protections suffisantes sont en place pour se conformer au RGPD.
Obligations des entreprises selon les termes du RGPD
Les entreprises doivent savoir où les données sont stockées et les employés doivent être formés pour s’assurer qu’ils sont conscients de leurs responsabilités quant à l’utilisation de ces données.
Les organisations devront fournir aux clients ainsi qu’aux visiteurs de site Web des renseignements détaillés sur la façon de collecter et d’utiliser les données. Le consentement doit être obtenu de l’utilisateur (ou bien du parent ou du gardien d’un mineur) avant la collecte des données.
Les entreprises doivent avoir une raison légitime et légale et se limiter au minimum d’informations nécessaires lorsqu’elles recueillent les données. Celles-ci doivent également être effacées lorsque l’objectif a été atteint.
Si leurs activités principales sont la collecte, le stockage ou le traitement des données, les organisations doivent nommer un délégué à la protection des données qui connaît bien le RGPD et qui en surveillera la conformité. Cette personne doit également avoir une connaissance approfondie de l’infrastructure organisationnelle et technique de l’entreprise. Par ailleurs, elles doivent mettre en œuvre des politiques, procédures et technologies appropriées pour garantir que les données des citoyens de l’UE puissent être effacées définitivement. Le droit à l’oubli (appelé « droit à l’effacement ») fait partie du droit à la liberté d’expression.
Consentement, droit à l’oubli et droit à l’effacement
La législation que le RGPD a remplacée n’exigeait pas l’effacement des données que lorsqu’elles causaient des dommages importants. Toutefois, à partir de l’année prochaine, un citoyen de l’UE peut demander que toutes les données collectées à son sujet soient effacées définitivement si les informations ne sont plus nécessaires aux fins pour lesquelles elles ont été initialement collectées.
Les données doivent également être effacées si le consentement concernant leur utilisation est retiré, ou encore si le traitement des données est considéré comme illicite et contreviennent au RGPD.
De nombreuses entreprises américaines ont déjà mis en place des technologies qui respecteront les exigences du RGPD, mais l’exigence relative au droit d’effacement pourrait poser problème.
Symantec a récemment mené une enquête qui a révélé que 9 entreprises sur 10 craignaient de ne pas être en mesure de se conformer à l’exigence du droit à effacement comme stipulé par le RGPD. Seulement 4 entreprises sur 10 disposent d’un système en place qui pourrait permettre de supprimer toutes les données collectées.
A ceux-ci s’ajoutent d’autres droits des personnes concernées comme les droits à la portabilité et d’opposition au traitement des données ; le droit d’information et de demande de copie des informations personnelles détenues par votre entreprise, etc.
Quelques conseils pour la mise en conformité avec le RGPD
Le respect du RGPD peut sembler difficile, mais en procédant étape par étape, votre organisation pourrait bientôt être sur la voie de la conformité.
Dans un premier temps, rappelez-vous que l’objectif n’est pas d’atteindre la conformité totale. Le simple fait de montrer un effort – comme l’élaboration d’un plan – pourrait déjà suffire à tenir les organes régulateurs à distance.
Ensuite, vous aller effectuer une évaluation des risques ; déterminer les éléments les plus risqués concernant le traitement des données personnelles que vous disposez et commencer à y travailler.
Surtout, ne paniquez pas !
Le RGPD est complexe et sa portée est grande. Il peut être difficile à gérer pour les entreprises, notamment les PME. L’astuce est de décomposer le processus en plusieurs éléments que vous pourrez gérer plus facilement, en accomplissant une petite tâche à la fois.
En fait, le processus de mise en conformité devrait être considéré comme une progression, plutôt qu’une liste de tâches à faire que vous devez rayer d’un seul coup.
Evaluez les risques
L’évaluation des risques est un bon point de départ. Cela vous permet d’identifier les domaines les plus vulnérables pour votre entreprise, c’est-à-dire ceux dans lesquels vous risquez d’enfreindre les règles du RGPD.
Ce faisant, vous allez classer par ordre de priorité les éléments à traiter en premier, en commençant par ceux qui sont les plus risqués. Par exemple, si votre sécurité est insuffisante, vous devriez renforcer vos défenses afin d’éviter les violations de données.
Lors de cette étape, il est plus judicieux de travailler avec un consultant en conformité avec le RGPD.
Comprenez les données et la raison pour laquelle vous les collectez
C’est aussi un élément important du RGPD. En fait, vous devez avoir une image complète des données collectées par votre organisation et les raisons pour lesquelles vous le faites. Assurez-vous que les consommateurs peuvent recevoir une copie de leurs données en cas de besoin, et que vous êtes en mesure de les supprimer ou de les modifier si leurs propriétaires le demandent. Par ailleurs, vous devez savoir comment les données sont stockées ; pourquoi elles sont utilisées et où elles sont partagées.
Établissez un programme de gouvernance formel
A ce stade, vous devriez avoir mis au point un processus interne de mise en conformité avec le RGPD. Par la suite, vous allez établir un programme de gouvernance formel qui vous aidera à démontrer vos efforts aux autorités de réglementation. La nomination d’un responsable de la protection des données pourrait être nécessaire pour superviser la collecte et le traitement des données.
Etant donné que la conformité au RGPD est un processus continu et que chaque texte de loi adopté ou proposé peut comporter d’autres exigences spécifiques, votre entreprise est donc censée faire beaucoup de choses. Mais n’oubliez pas que vous pouvez commencer à travailler à la mise en conformité même si vous ne connaissez pas encore tous les détails.
Ainsi, vous pouvez réduire votre risque d’enfreindre les textes stipulés par le RGPD. Dans le pire des cas, vous pourrez démontrer aux organes régulateurs que vous avez fait un effort de bonne foi pour protéger les données que vous avez collectées.
Le mot de la fin
Pour les entreprises américaines, la protection de la confidentialité des données personnelles des citoyens européens relève du bon sens, mais elle peut les aider à construire une marque de confiance.
En plus de la préparation au RGPD et la mise en œuvre des mesures d’application, votre entreprise devrait surveiller de près le Comité européen de la protection des données (CEPD), une institution qui remplace l’ancien groupe de l’article 29 et dont la mission principale est de veiller à l’application du RGPD dans tous les pays membres de l’UE.
Le CEPD pourrait publier de nouvelles directives ; des clarifications réglementaires supplémentaires et des documents d’orientations générales pour clarifier les dispositions européennes en matière de protection des données. Grâce à ces ressources, vous pourrez avoir une interprétation plus cohérente de vos droits et obligations.
Bien entendu, le RGPD n’est qu’une sorte de catalyseur qui a donné le coup d’envoi à de nombreuses lois mondiales sur la protection des données. Votre entreprise devrait donc suivre ces évolutions si elle veut prendre de l’avance, en investissant dans les flux de données dont vous disposez déjà.
Enfin, que votre organisation soit basée aux Etats-Unis, en Europe ou partout dans le monde, n’évitez pas la mise en conformité au RGPD et ne la remettez pas à demain. Commencez tout simplement !
Le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur depuis un mois maintenant et de nombreuses entreprises s’efforcent de se conformer à cette nouvelle réglementation, même si elles disposent encore de cinq ans pour se préparer et s’y conformer.
Les nouveaux règlements législatifs entraînent toujours des coûts supplémentaires et beaucoup d’initiatives de gestion. Cependant, ils offrent également de nouvelles opportunités pour les professionnels avertis, les entrepreneurs et les pirates informatiques.
Au fur et à mesure que les gestionnaires de dossiers de Niveau C discutent de l’impact du RGPD sur leur organisation, tandis que d’autres personnes évaluent les moyens d’en tirer des avantages financiers.
Le Délégué à la Protection des Données (DPD)
Si vous allez sur Indeed.co.uk et cherchez « Data Protection Officer », vous trouverez plus de 3 000 offres d’emploi, rien qu’en Angleterre.
En effet, les offres d’emploi de DPD sur le site de recherche d’emploi Indeed ont augmenté de plus de 700 % au cours des 18 derniers mois. Si vous avez la base de connaissances requise et les compétences décrites pour ce poste, alors le moment est propice pour vous y lancer.
L’article 37 du RGPD exige que les entreprises qui collectent ou traitent les données des citoyens de l’UE disposent d’un DPD. Selon l’Association internationale des professionnels de la protection de la vie (IAPP), plus de 28 000 DPD seront nécessaires en Europe et aux États-Unis et jusqu’à 75 000 dans le monde. La demande est particulièrement forte dans certains secteurs comme le marketing numérique, la finance, les soins de santé et la vente au détail.
De grandes sociétés technologiques comme Microsoft, Twitter, Facebook et Airbnb recrutent des DPD. Selon ITJobsWatch, le salaire moyen des professionnels intervenant dans le domaine du RGPD, y compris les DPD, s’élève à 71 584 euros par an. Le poste de DPD bénéficie d’un salaire médian de 106 500$. Aux États-Unis, un DPD peut toucher des salaires allant jusqu’à 150 000$.
L’article 37 du RGPD précise les pouvoirs exacts qu’un Délégué à la Protection des Données à caractère personnel doit détenir. Parmi tant d’autres, le niveau d’expertise du DPD « doit être déterminé notamment en fonction des traitements de données effectués et de la protection requise pour les données à caractère personnel traitées par le responsable ou le sous-traitant ». Cet article donne également un aperçu de certaines des responsabilités du DPD, à savoir :
Sensibiliser le responsable du traitement ou le sous-traitant et ses employés aux obligations qui leur incombent en matière de respect des règles du RGPD
Former le personnel chargé du traitement des données à une bonne hygiène en matière de cybersécurité
Surveiller la conformité au RGPD
Effectuer des vérifications et régler les problèmes éventuels de façon proactive
Servir de point de contact entre l’organisation et l’autorité de contrôle du RGPD
Servir de point de contact pour les demandes de renseignements des personnes concernant leurs données à caractère personnel et la manière dont elles sont utilisées, les pratiques en matière de protection des données et leurs droits personnels.
Tenir des registres complets de toutes les activités de traitement de données.
Le RGPD, une opportunité de piratage et d’augmentation des cyberattaques
Il existe un autre aspect du RGPD qui préoccupe les gestionnaires de fichiers de niveau C. Il s’agit de l’imposition éventuelle d’amendes en raison du manque de diligence raisonnable de la part d’une entreprise en matière de prévention ou de réaction contre l’atteinte à la protection des données personnelles d’un tiers.
Dans le cadre du RGPD, les entreprises peuvent se voir infliger des amendes allant jusqu’à 20 millions d’euros ou jusqu’à 4% de leur chiffre d’affaires annuel global pour les infractions les plus graves, le montant le plus élevé étant retenu.
Un palier inférieur impose une amende de 2% pour les infractions moins graves. Cependant, le grand public estime que de telles amendes devraient être substantielles afin de motiver les entreprises à prendre au sérieux leurs obligations en matière de protection des données personnelles. Cependant, l’ampleur colossale de ces amendes constitue une opportunité pour la communauté des pirates informatiques.
Les entreprises seront encouragées à effectuer régulièrement des tests d’intrusion par des pirates expérimentés, ou pirates white hat, qui peuvent fournir des informations sur la manière dont une personne malveillante pourrait violer leur infrastructure de stockage de données. À l’autre bout du spectre, les pirates informatiques aux intentions malveillantes reconnaîtront l’opportunité de cibler les entreprises conformes au RGPD.
Les pirates pourraient attaquer les entreprises dans le but de confisquer des données et imposer à la direction des frais d’extorsion afin de dissimuler l’infraction plutôt que de se voir infliger des amendes punitives qui pourraient se chiffrer en dizaines de millions de dollars. Comme avec les ransomwares, les cybercriminels essayeront de trouver l’endroit idéal où les entreprises seraient les plus susceptibles de payer volontiers la rançon pour éviter les amendes.
Les amendes potentielles liées aux infractions dont nous avons été témoins ces dernières années concernaient Equifax et Yahoo. Nous avons également vu des entreprises comme Uber travailler en coopération avec des pirates informatiques pour dissimuler les failles et les faire disparaître.
Le piratage d’Uber est l’exemple parfait de la façon dont les pirates pourraient tirer profit du RGPD. Suite au vol de données de plus de 57 millions de clients, les pirates ont fait chanter Uber, lequel a choisi de payer 750 000£ pour garder l’infraction secrète. Au regard du RGPD, Uber aurait enfreint la réglementation.
Une grande partie de l’attention médiatique autour du RGPD s’est concentrée sur les amendes potentielles, à savoir de 2 jusqu’à 4% du chiffre d’affaires global, mais moins sur les exigences de déclaration strictes définies par l’Organisation internationale du commerce ou (OIC). Les pirates pourront profiter de cette opportunité potentielle pour réaliser des gains rapides et substantiels.
La sécurité multicouche est la réponse
Aucune entreprise ne peut protéger ses données contre toutes les attaques possibles et garantir la sécurité des données qu’elle héberge. Ce que vous pouvez faire, c’est faire preuve de diligence raisonnable pour mettre en œuvre un plan de sécurité à plusieurs niveaux — y compris la couche vitale de protection DNS — pour combattre les attaques probables.
Deux des outils les plus efficaces dans l’arsenal de sécurité d’une entreprise sont les solutions de filtrage du courrier électronique et du contenu web. L’email continue d’être la principale méthode utilisée par les pirates informatiques pour lancer leurs sinistres attaques contre l’entreprise ciblée.
Le web occupe la deuxième place, derrière les pirates informatiques qui hébergent leurs propres sites de déploiement de malwares ou endommagent des sites légitimes avec des codes malveillants. Un pare-feu entreprise robuste est essentiel, ainsi que des pare-feu locaux activés sur tous vos périphériques, lesquels sont protégés avec une solution sécurité des nœuds d’extrémité.
Les opportunités se présentent sous de nombreuses formes. Non seulement les professionnels de la cybersécurité, mais aussi les pirates informatiques trouveront donc des récompenses potentielles avec le RGPD.
Les organisations de soins de santé sont la cible de hackers et des escrocs, et l’email est le vecteur d’attaque n° 1. 91% de toutes les cyberattaques commencent par un email de phishing.
Les chiffres du groupe de travail antiphishing indiquent que les utilisateurs finaux ouvrent 30% des emails de phishing qui arrivent dans leurs boîtes de réception.
Il est donc essentiel d’empêcher ces emails d’atteindre les boîtes de réception, tout comme il est essentiel de former les employés du secteur de la santé pour qu’ils soient davantage sensibilisés à la sécurité informatique.
Étant donné qu’un grand nombre d’atteintes à la protection des données dans les organismes de soins et de santé sont attribuables aux emails de phishing, ces établissements doivent donc mettre en place des moyens de défense robustes pour prévenir les attaques.
De plus, la sécurité des emails est un élément important de la conformité à la loi HIPAA. Le non-respect des règles de l’HIPAA sur la sécurité des emails est passible d’une sanction pécuniaire en cas d’atteinte à la protection des données.
La sécurité des emails est un élément important de la conformité à la HIPAA
Les règles de la HIPAA exigent que les organismes de soins et de santé mettent en œuvre des mesures de protection pour sécuriser les renseignements médicaux électroniques protégés afin d’assurer leur confidentialité, leur intégrité et leur disponibilité.
La sécurité des emails est un élément important de la conformité à l’HIPAA. Avec autant d’attaques sur les réseaux, à commencer par les emails de phishing, il est essentiel pour les organismes de soins et de santé de mettre en œuvre des mesures de protection contre l’hameçonnage afin de protéger leurs réseaux.
Le Bureau des droits civils du ministère de la Santé et des Services sociaux a déjà imposé des amendes aux organismes de soins de santé qui ont été victimes d’atteintes à la protection des données lorsque des employés ont été victimes d’emails de phishing. UW medicine a par exemple versé 750 000$ à l’Office for Civil Rights (OCR) à la suite d’une attaque liée à un malware lorsqu’un employé a répondu à un email de phishing. Le Metro Community Provider Network a également réglé une affaire de phishing pour 400 000$.
L’évaluation des risques est l’un des aspects de la conformité à la HIPAA en ce qui concerne la messagerie électronique. Elle devrait couvrir tous les systèmes, y compris les emails. Les risques doivent être évalués, puis gérés et réduits à un niveau approprié et acceptable.
Pour assurer la gestion du risque de phishing, il faut faire appel à la technologie et à la formation. Tous les emails devraient être acheminés par une passerelle email sécurisée, et il est essentiel que les employés reçoivent une formation pour les sensibiliser au risque de phishing et quant aux mesures à prendre au cas où ils recevraient un email suspect.
Comment sécuriser les emails, prévenir et identifier les attaques de phishing ?
De nos jours, les emails de phishing sont sophistiqués, bien écrits et très convaincants. Il est souvent difficile de les distinguer d’une communication légitime.
Cependant, il existe des mesures simples que tous les organismes de soins et de santé peuvent prendre pour améliorer la sécurité des emails.
Le simple fait d’adopter les mesures ci-dessous peut réduire considérablement le risque de phishing et la probabilité de subir une atteinte par courriel.
Bien que la désinstallation de tous les services de messagerie soit le seul moyen le plus sûr de prévenir les attaques de phishing, c’est loin d’être une solution pratique. La messagerie électronique est essentielle pour communiquer avec les membres du personnel, les intervenants, les associés d’affaires et même les patients.
Étant donné que les emails sont incontournables, les organismes de soin et de santé devraient prendre deux mesures pour mieux les sécuriser :
Implémentez une solution antispam tierce dans votre infrastructure de messagerie électronique
Sécuriser votre passerelle email est la mesure la plus importante à prendre pour prévenir les attaques de phishing qui ciblent votre entreprise. De nombreuses organisations de soins et de santé ont déjà ajouté une solution antispam pour empêcher les courriels non sollicités d’être livrés dans les boîtes de réception des utilisateurs finaux. Mais qu’en est-il des services de messagerie dans le cloud ?
Avez-vous déjà sécurisé votre passerelle de messagerie électronique Office 365 avec une solution tierce ? Vous devriez donc être protégé par le filtre antispam de Microsoft. Mais pour qu’un email malveillant n’atteigne pas les boîtes de réception des utilisateurs finaux, vous avez besoin de défenses plus solides.
SpamTitan s’intègre parfaitement à Office 365 et offre une couche de sécurité supplémentaire qui bloque les malwares connus et plus de 99,9% des spams.
Formez continuellement vos employés et ils deviendront des actifs de sécurité
Les utilisateurs finaux — la cause d’innombrables violations de données — représentent une épine dans le pied pour le personnel de sécurité informatique.
Ils sont un maillon faible et peuvent facilement défaire les meilleures défenses de sécurité. Toutefois, ils peuvent être transformés en actifs de sécurité et en une impressionnante dernière ligne de défense. C’est possible, mais il faut les former, et une seule séance de formation par an ne suffit pas.
La formation de l’utilisateur final est un élément important de la conformité HIPAA. Bien que ce texte ne précise pas sa fréquence, la formation devrait être un processus continu.
Le Bureau des droits civils du ministère de la Santé et des Services sociaux a récemment mis l’accent sur certaines pratiques exemplaires en matière de formation à la sécurité des emails dans son bulletin de juillet sur la cybersécurité. Il suggère que « le programme de formation d’une organisation devrait être un processus continu, évolutif et suffisamment souple pour informer les membres du personnel des nouvelles menaces à la cybersécurité et des mesures à prendre pour y faire face ».
La fréquence de la formation devrait être dictée par le niveau de risque auquel fait face une organisation. De nombreuses entités ont opté pour des sessions de formation semestrielles pour leur personnel, avec des bulletins d’information mensuels. Des mises à jour de sécurité ont également été envoyées par email, incluant des informations sur les dernières menaces telles que les nouvelles escroqueries par phishing et les techniques d’ingénierie sociale.
Par ailleurs, l’OCR a rappelé aux entités visées par la HIPAA qu’il n’y a aucune méthode de formation qui correspond à tous les employés.
Il est préférable de mélanger les méthodes et d’utiliser une variété d’outils de formation, comme la formation sur la TCC, les séances en classe, les bulletins d’information, les affiches, les alertes par courriel, les discussions d’équipe et les exercices de simulation d’attaques par emails de phishing.
Étapes simples pour vérifier les emails et identifier les escroqueries de phishing
Les employés du secteur de la santé peuvent réduire considérablement le risque de tomber dans une escroquerie par phishing en effectuant quelques vérifications. Avec la pratique, ces vérifications deviennent une seconde nature.
Passez la souris sur l’hyperlien dans l’email pour faire afficher et vérifier le vrai nom de domaine. Tout texte d’ancre, c’est-à-dire un texte pointant vers un autre URL que l’URL réel, doit être traité comme suspect jusqu’à ce que le nom de domaine réel soit identifié. Vérifiez également que l’URL de destination commence par HTTPS.
Ne répondez jamais directement à un email — cliquez toujours sur transférer. C’est un peu plus lent, mais vous verrez l’adresse email complète de la personne qui a envoyé le message. Vous pouvez ensuite comparer ce nom de domaine à celui utilisé par l’entreprise.
Portez une attention particulière à la signature de l’email — tout email légitime doit contenir des informations de contact. Cela peut être falsifié, ou de vraies informations de contact peuvent être utilisées dans un email spam, mais les cybercriminels font souvent des erreurs dans les signatures qui sont faciles à identifier.
N’ouvrez jamais une pièce jointe d’un expéditeur inconnu — Si vous avez besoin d’ouvrir la pièce jointe, ne cliquez jamais sur un lien dans le document ou sur un objet intégré, ou cliquez pour activer le contenu ou exécuter des macros. Si vous n’êtes pas sûr de vous, envoyez l’email à votre service informatique et demandez une vérification.
N’effectuez jamais un virement bancaire demandé par email sans vérifier la légitimité de la demande.
Les organisations légitimes ne demanderont pas d’informations d’identification par email.
Si on vous demande de prendre des mesures urgentes pour sécuriser votre compte, n’utilisez aucun des liens contenus dans cet email. Visitez plutôt le site officiel en tapant directement l’URL dans votre navigateur. Si vous n’êtes pas 100% de l’URL, vérifiez sur Google.
