Guide des petites entreprises sur la protection des données

Il est pratiquement impossible aujourd’hui de gérer une entreprise, quelle qu’elle soit, sans générer ou collecter des données. Certaines de ces données sont des données critiques nécessaires au maintien de la vie de l’entreprise, et certaines d’entre elles seront sans aucun doute des données personnelles des clients.

Pour garantir la santé de toute entreprise, ces deux points doivent être abordés. Les données commerciales doivent être disponibles et suffisamment abondantes pour soutenir les activités de l’entreprise, mais les organisations ont également l’obligation de préserver la confidentialité et la sécurité des données clients.

Si une entreprise perdait ses propres données, elle pourrait se retrouverincapable de mener à bien ses opérationsou pas du tout. C’est déjà assez grave, mais cela n’affecte que l’entreprise elle-même.

En revanche, si une entreprise perdait les données de ses clients, cela pourraitconduire à des poursuites judiciairesy compris les enquêtes gouvernementales et les amendes, ainsi que les affaires civiles et les jugements préjudiciables importants. Même le cours des actions d’une entreprise peut être affecté par une violation de données publiques. Cet article traite des deux aspects.

Principes de protection des données

Les données n'apparaissent pas simplement ; ça voyage. Les données sont collectées quelque part, elles sont transférées du point de collecte à un point de stockage, elles sont traitées d'une manière ou d'une autre et sont acheminées vers les points d'accès selon les besoins de l'entreprise. Ce processus peut être très compliqué ou très simple. Un exemple simple est de prendre une commande sur un site de commerce électronique :

1. Collecté: Le site Web collecte des informations personnelles de livraison et des informations de paiement sur la page de paiement.
2. Transféré: Ces données sont transférées vers le serveur Web et probablement stockées dans une base de données sur ce serveur.
3. Traité: Ces données peuvent être traitées pour prendre en charge des fonctions auxiliaires telles que la décrémentation de l'inventaire des articles vendus ou pour générer des bons de livraison.
4. Accédé: Les préparateurs de commandes doivent consulter certaines de ces données afin d'exécuter la commande et de la préparer pour la livraison.

À chaque étape de ce processus, il existe des opportunités d’accès non autorisé ou de perte de données. En continuant avec l'exemple de la boutique de commerce électronique du site Web, voici quelques mesures à prendre qui peuvent aider à protéger ces données.

Protection des données en transit

Ce type de données de commande « transite » plusieurs fois. Le premier transit s’effectue du navigateur Web du client vers le serveur Web de commerce électronique. Contrairement à une idée reçue, nous ne « visitons » pas un site Web, mais c’est le site Web qui vient à nous. Les pages Web sont téléchargées sur nos ordinateurs où nous interagissons avec elles et renvoyons les données au serveur Web.

Dans ce cas, lors de la dernière étape de remplissage des données du panier, le client a saisi les informations de sa carte de crédit.sur leur propre ordinateuret puis c'esttransmis au serveur web. Ces informations sensibles de carte de crédit sont envoyées sur Internet, un endroit très hostile et dangereux.

Les données en elles-mêmes sont inutiles ; il sera généralement transféré plusieurs fois au cours de sa vie. Pour traiter les commandes, les employés doivent savoir ce qui a été commandé, les compagnies maritimes doivent connaître le nom et l'adresse du client, les sociétés émettrices de cartes de crédit doivent savoir combien débiter le compte.

Il est peu probable que tout cela se produise en un seul endroit, ce qui signifie que ces informations sont envoyées à plusieurs endroits et, dans certains cas, peut-être à des organisations tierces extérieures à l'organisation qui a collecté les données en premier lieu. Chacun de ces transferts doit être effectué via une méthode sécurisée.

Solutions

Le moyen le plus efficace de protéger les données sur cette étape du transit est de garantir que votre site Web utilise un Certificat SSL et celavotre site utilise le protocole HTTPS, du moins sur les pages qui collectent des données sensibles.

Cette étape garantit que les données en transit entre votre serveur Web et le navigateur de votre client sont cryptées lorsqu'elles traversent Internet. Si les données sensibles de votre client étaient interceptées par un méchant, il ne pourrait pas en faire grand-chose car il s’agirait d’un charabia crypté.

S'il n'est pas possible d'utiliser le cryptage SSL pour une raison quelconque, vous pouvezajoutez le cryptage à presque tous les transferts de donnéesen utilisant un réseau privé virtuel (VPN). Il y a un certain nombre de choses à prendre en compte lors de la sélection d'un VPN pour petites entreprises donc ça vaut la peine de faire vos recherches.

Périmètre 81etNordLayersont des exemples de services VPN professionnels étendus qui étendent leurs systèmes pour inclure la sécurité des applications et la gestion des droits d'accès ainsi que la sécurité des connexions. Ces systèmes permettent aux entreprises de combiner des services sur site et des packages SaaS cloud afin que les travailleurs internes et externes puissent accéder à tous les logiciels et magasins de données nécessaires avec une seule connexion.

Il existe d'autres moyens de transférer des données en toute sécurité, par exemple enchiffrer les fichiers avant de les envoyer. Fichiers cryptés peuvent être envoyées en toute sécurité par courrier électronique en pièce jointe, bien que les données sensibles ne doivent jamais être envoyées dans le corps d'un courrier électronique ou via des pièces jointes non cryptées.

Les méthodes hors ligne plus anciennes, telles que les télécopies, ne doivent pas être écartées. Les télécopieurs connectés aux systèmes téléphoniques ordinaires (POTS) ne transitent pas sur Internet de manière facilement traçable et offrent plus de sécurité que le courrier électronique. Il est important de s’assurer qu’un véritable télécopieur est utilisé aux deux extrémités ; Les services modernes de « courrier électronique vers fax » ou les services de fax « basés sur le cloud » peuvent être difficiles à distinguer des connexions de fax POTS appropriées. L’inconvénient des premiers est que ces services utilisent Internet pour transférer des données, ce qui élimine leur avantage en matière de confidentialité.

Sécuriser les informations stockées

Une fois que les données ont été stockées quelque part, elles sont considérées comme « au repos ». Les données au repos sont stockées sur une forme de disque dur dans une base de données, dans des fichiers individuels tels que des documents PDF ou dans une grande variété d'autres formats. Lorsque vous réfléchissez à la manière de protéger vos données au repos, le format des données peut être important.

Il existe deux manières principales d’accéder de manière malveillante aux données au repos. Un méchant peut utiliser des moyens légitimes pour accéder aux données, tels quevoler un mot de passe fonctionneld'un employé à travers Hameçonnage .

Ou encore, la machine stockant les données elle-même peut être attaquée et le contenu du disque copié ailleurs pour être examiné ultérieurement. Il peut être difficile d’extraire les noms d’utilisateur et les mots de passe des personnes ; Il est parfois beaucoup plus facile de voler l'intégralité de l'ordinateur à la réception lorsqu'il est sans surveillance.

Si les données sont stockées en ligne, par exemple dans une boutique en ligne, il peut être plus facile d'attaquer un autre site sur le serveur pour accéder au système de fichiers etcopier la base de donnéesque d'essayer de deviner le mot de passe d'un administrateur Magento.

Parfois, la violation de données est un crime d’opportunité – il existe des cas d’ordinateurs mis au rebut qui contiennent toujours des données sensibles sur leurs disques durs.

Solutions

Les données qui ne sont pas utilisées doivent être cryptées jusqu’à ce qu’elles soient nécessaires. Cela fonctionne bien pour les données auxquelles il n’est pas nécessaire d’accéder souvent. Il peut être plus difficile de gérer des données auxquelles un grand nombre de personnes ou de systèmes accèdent très fréquemment.

Pour se protéger contre l'accès via les informations de connexion, les personnes légitimes accédant aux données doiventutilisez des mots de passe forts et des comptes individuels. Plusieurs personnes utilisant le même nom d’utilisateur et le même mot de passe rendent pratiquement impossible la détermination du moment et de la manière dont la violation s’est produite. Les gestionnaires de mots de passe facilitent grandement la création et la récupération mots de passe forts , il n’y a donc plus aucune raison de partager des mots de passe.

Se protéger contre le vol d'une machine physique ou d'une copie virtuelle de données implique une sécurité physique et un contrôle d'accès.

1. Sécurité physique: Ne laissez jamais les ordinateurs portables sans surveillance. De nombreux employés estiment qu’un ordinateur portable d’entreprise n’est pas aussi important que le leur, car un ordinateur portable d’entreprise sera simplement remplacé en cas de perte. Cependant, les données stockées sur un ordinateur portable d’entreprise peuvent être inestimables et, une fois perdues, elles pourraient mettre en péril l’avenir de l’entreprise. Les ordinateurs de bureau doivent être physiquement verrouillés sur quelque chose de grand. Il existe une grande variété de verrous informatiques (tels que Serrures Kensington ) disponible uniquement à cet effet. Tous les disques informatiques, sur les ordinateurs portables ou autres appareils, doivent être cryptés pour rendre aussi difficile que possible la récupération des données par un méchant.
2. Contrôle d'accès: Dans la mesure du possible, les ordinateurs qui traitent des données sensibles et les périphériques de stockage doivent être conservés dans une zone restreinte. Par exemple, aucun personnel non informatique ne doit avoir un accès physique aux serveurs de stockage de fichiers, de sorte que ce serveur doit être placé dans une pièce verrouillée. Si le grand public se trouve sur place dans le cadre d’activités commerciales normales, tous les ordinateurs et périphériques de stockage inutiles doivent être retirés de la vue du public. Les voleurs peuvent voler des guichets automatiques entiers en percutant les murs avec un chargeur frontal. Dans quelle mesure votre espace de réception est-il sécurisé ?

Protéger les données contre tout accès non autorisé

L'accès non autorisé fait référence à une personne non autorisée accédant aux données. Cela peut signifier qu’un méchant a réussi à infiltrer le réseau, ou cela peut signifier qu’un employé légitime accède à des données auxquelles il n’a pas droit. Deux concepts sont à l'œuvre ici : l'authentification et l'autorisation.

1. Authentification:L'authentification implique de déterminer l'identité d'un utilisateur, mais n'a rien à voir avec ce que cette personne est autorisée à faire. Dans la plupart des cas, une combinaison de nom d'utilisateur et de mot de passe est fournie pour se connecter à un système. Le détenteur de ce nom d'utilisateur et de ce mot de passe est un employé légitime et le système doit dûment enregistrer que la personne s'est connectée.
2. Autorisation:L'autorisation a lieu après l'authentification. L'autorisation détermine si une personne authentifiée est autorisée à accéder à une ressource. Avant de déterminer si un utilisateur peut accéder à une ressource, la personne doit être authentifiée pour confirmer son identité.

Voici un exemple pour illustrer : Nancy se connecte à son poste de travail et est désormais une utilisateur authentifiée. Elle envoie ensuite un document à une imprimante réseau et celui-ci s'imprime car elle est autorisée à utiliser cette imprimante. Nancy tente ensuite d'accéder aux dossiers du personnel de l'entreprise et se voit refuser l'accès car elle n'est pas autorisée à consulter ces fichiers.

Solutions

Pour garantir l'efficacité des processus d'authentification et d'autorisation,chaque système informatique devrait créer des journaux d'audit. Les journaux d'audit fournissent une piste permettant aux enquêteurs de remonter le temps et de voir qui s'est connecté à différents systèmes et ce qu'ils ont tenté de faire pendant leur connexion.

Il est également important que personne ne partage ses noms d’utilisateur et ses mots de passe, comme indiqué ci-dessus. Si les noms d’utilisateur et les mots de passe sont partagés entre les employés, il n’existe aucun moyen d’empêcher les accès non autorisés ou de savoir qui a accédé à quoi. Si tout le monde utilise le même nom d'utilisateur, tout le monde est authentifié et ce nom d'utilisateur doit être autorisé à tout faire.

Il est inévitable que les discussions sur le contrôle d’accès visent à empêcher les méchants d’entrer. Cependant, il estil est tout aussi important que les gentils ne soient pas exclus. Si vous vous retrouvez dans une situation où les administrateurs système ou d'autres personnes critiques sont bloqués, cette situation peut rapidement se détériorer et tout le monde est bloqué et l'entreprise est incapable de poursuivre ses activités.

Chaque système critique doit avoir au moins deux administrateurs ou un administrateur et au moins une autre personne compétente pour effectuer des activités de niveau administrateur si elle dispose des informations d'identification correctes.

Atténuer les risques de perte de données

L’impact de la perte de données peut aller de « je n’ai même pas remarqué » tout le chemin jusqu'à 'J'ai été convoqué à une audience du Congrès pour témoigner.' Lela perte de données commerciales critiques peut paralyser une entrepriseet lui causer des dommages opérationnels irréparables. En outre, la perte de données peut être source d’embarras, nuire à la réputation d’une entreprise et même affecter considérablement le cours des actions pendant des années.

Le terme « perte » est utilisé dans ce sens pour désigner des données qui ont été détruites, et non des données qui ont été violées et divulguées ailleurs. Les ordinateurs stockent les données de manière très rudimentaire en utilisant pour la plupart des éléments magnétiques, des puces semi-conductrices ou des « puits » laser. Chacune de ces méthodes a ses mauvais jours et les données peuvent être tout simplement tronquées et irrécupérables.

Les erreurs humaines, telles que l'écrasement de fichiers importants ou le formatage accidentel d'un disque dur, peuvent également détruire les données pour toujours. Les ordinateurs sont égalementpas à l'abri des catastrophes physiqueset des données ont été perdues en raison de systèmes de gicleurs d'incendie inondant les bureaux ou de surtensions électriques endommageant les disques de manière irréparable.

À l’ère du petit informatique, les gens perdent quotidiennement leurs clés USB et jettent leur téléphone dans les toilettes. Dans un moment d'inattention, un seul employé peut cliquer sur un lien malveillant dans un e-mail et lancer une attaque de ransomware à l'échelle mondiale qui crypte de manière irréversible chaque fichier.

Parfois, rien ne se passe et le le lecteur de disque arrive juste sa fin de vie et échoue. Il existe littéralement une liste interminable de façons de détruire les données.

Solutions

En acceptant que la perte de données soit un risque inévitable, il est logique de garantir que les données critiques sont sauvegardées. Créer un plan de sauvegarde fiable était autrefois un art obscur que seuls les administrateurs système expérimentés pouvaient réaliser. Dans des cas extrêmes, cela peut encore être vrai, mais de nos jours, presquen'importe qui peut acheter des sauvegardes hors site pour quelques dollarspar mois. Il y a quelques questions que vous voudrez poser aux sociétés de sauvegarde potentielles, et vous voudrez également être sûr que vos sauvegardes seront cryptées.

Si vos informations sont particulièrement sensibles ou si les réglementations de votre secteur n'autorisent pas les sauvegardes dans le cloud, il existe d'autres alternatives.

Les sauvegardes conservées sur site peuvent être utilespour les situations d'erreur humaine qui nécessitent une solution rapide, comme la restauration d'un seul fichier. Cependant, les sauvegardes sur site ne vous seront pas d’une grande utilité si le bureau est inondé, s’il y a un incendie ou si les sauvegardes sont volées.

En tant que telles, les sauvegardes hors site constituent un élément essentiel de tout plan de sauvegarde et, même si les services de sauvegarde dans le cloud constituent le moyen le plus simple d'y parvenir, il n'y a aucune raison pour que des employés de confiance ne puissent pas emporter périodiquement des sauvegardes cryptées chez eux. Gardez à l’esprit qu’une fois que les données quittent les locaux, elles doivent toujours être protégées.un cryptage fort est crucial.

Votre secteur peut également avoir des lois sur la conservation des données, ce qui signifie que vous devrez peut-être conserver les anciennes données que vous n'utilisez plus afin de vous conformer. Plus les données sont conservées longtemps, plus il y a de chances qu’elles soient détruites. Par conséquent, les données conservées à long terme constituent un candidat idéal pour le stockage hors site.

Protéger les appareils appartenant aux employés

Une préoccupation majeure qui complique tous les aspects de la protection des données est la prolifération des travailleurs à distance ou des travailleurs utilisant des appareils Bring Your Own Device (BYOD). Il peut y avoir un avantage à autoriser le travail à distance, car cela ouvre le vivier de talents afin que les meilleurs travailleurs puissent être embauchés. Cela augmente également le nombre d’endroits où les données de l’entreprise peuvent être perdues ou compromises.

BYOD, et les appareils distants en général, comportent un risque de perte de données et de fuite de données . Les téléphones et les tablettes sont petits et nous accompagnent partout, et ils sont fréquemment perdus ou endommagés.

Solutions

Idéalement, les travailleurs à distance utiliseront Virtual Network Computing (VNC) pour accéder à leurs bureaux au bureau. Même si le travailleur à distance ne se rendra jamais au bureau, en autorisant l'accès uniquement viaVNC offre un meilleur contrôlesur ce que ce travailleur à distance peut faire.

Les serveurs VNC peuvent être configurés pour interdire les transferts de fichiers, et comme VNC ne crée pas de véritable connexion réseau comme le fait un VPN, l'ordinateur du travailleur distant n'est jamais connecté au réseau de travail. Cela peut aider à empêcher la propagation de logiciels malveillants sur le réseau du bureau si l’ordinateur du travailleur distant est infecté. Autoriser l'accès via une connexion VPN facilitera l'accès à davantage de ressources du bureau, mais présente également un risque plus élevé d'infection et de vol de données, puisque l'ordinateur distant partagera en fait le réseau du bureau dans une certaine mesure.

Si vous autorisez le BYOD, c'est une bonne idée de mettre en place un gestion des appareils mobiles (MDM) système qui peut faire des choses commeeffacer à distance toutes les données du téléphoneet localisez le téléphone s'il a disparu.

Il est également souhaitable d’utiliser une solution MDM permettant la ségrégation des données. Le partage de contacts professionnels et personnels dans le même carnet d'adresses, par exemple, crée un risque élevé de fuite de données, car il est facile de sélectionner par erreur un contact personnel comme destinataire et d'envoyer accidentellement des informations sensibles sur l'entreprise.

Planification de l'indisponibilité des données

Au cours des affaires, il peut arriver que le bureau soit indisponible. De petits événements comme un incendie dans un immeuble de bureaux peuvent rendre votre bureau inaccessible pendant quelques jours. Les événements majeurs, comme l'ouragan Sandy en 2012, peuvent prendre zones souterraines d'un bâtiment dehors depuis des années.

L’exercice de planification d’événements comme celui-ci relève du concept de planification de continuité d’activité (BCP). La planification BCP tente de répondre à la question suivante : « Comment pourrions-nous exercer nos activités si notre bureau/serveurs/magasin était indisponible pendant une période prolongée ? »

Solution

Les sauvegardes hors site peuvent jouer un rôle important dans la planification du PCA.Si des sauvegardes hors site actuelles existent, il peut être possible pour les employés de travailler à domicile ou sur d'autres sites distants en utilisant ces données pour continuer à fonctionner. D'autres considérations peuvent inclure les numéros de téléphone de basculement qui peuvent être transférés vers les téléphones portables des employés pour garder les téléphones ouverts.

Savoir comment accéder à vos données

Cela peut sembler une question idiote. Malheureusement, nous pouvons attester par expérience que ce n’est pas le cas. De nombreuses petites entreprises se sont appuyées sur un mélange de tiers pour gérer leurs données au fil des années et, dans certains cas, n'ont aucune idée de l'endroit où elles sont réellement stockées. Une partie de tout plan approprié de prévention contre la perte de données consiste à savoir où se trouvent vos données.

Considérez à nouveau notre simple site Web de commerce électronique. Au strict minimum, il contient les éléments suivants :

1. Compte de registraire: Un registraire de domaine est une entreprise qui vend des noms de domaine. Les serveurs de noms de votre domaine sont contrôlés par votre registraire de domaine. Les serveurs de noms sont un élément de contrôle essentiel de votre site Web, vous devez donc savoir de qui il s'agit et disposer des informations d'identification du compte.
2. Compte d'hébergement: Les fichiers de votre site Web résident physiquement sur un serveur Web quelque part dans le monde. La société qui vous fournit ce service est votre hébergeur. Assurez-vous de savoir qui est votre hébergeur et que vous disposez des informations d'identification du compte.
3. Compte email: Votre hébergeur Web ne peut pas également être votre hébergeur de messagerie. De nombreuses entreprises utilisent des fournisseurs de messagerie tiers tels que Google. Assurez-vous de savoir où se trouve votre courrier électronique et que vous disposez des informations d'identification du compte.
4. Sauvegardes: Si vous avez déjà configuré des sauvegardes, où vont-elles ? Si vous n’y avez pas accès et savez comment restaurer des fichiers, ces sauvegardes ne vous servent pas à grand-chose.

Les mêmes types de questions doivent être posées sur tous vos systèmes de données jusqu'à ce que vous ayez une assez bonne compréhension de l'emplacement de toutes vos données. Essayer de trouver ces informations en cas d’urgence est le pire moment.

Outre la nécessité pratique de connaître ces éléments, votre secteur peut également réglementer les régions géographiques dans lesquelles vous êtes autorisé à stocker des données.

Considérations relatives aux données clients par pays

Les données clients nécessitent généralement une attention particulière. C'est une chose de perdre vos feuilles de calcul internes. Légalement, c’est une toute autre chose que les données de vos clients soient volées ou utilisées de manière inappropriée. Plus de 80 pays disposent d’une sorte de législation sur la confidentialité qui s’applique aux entreprises qui collectent des données clients. Les obligations fondamentales de la plupart de ces lois se résument à ces points :

1. Obtenez l’autorisation de collecter des données client avant de le faire.
2. Collectez le moins d’informations possible.
3. Utilisez les données de la manière pour laquelle vous avez l’autorisation.
4. Protégez les informations contre tout accès non autorisé.
5. Mettez les données à disposition de vos clients.

Voici un aperçu très rapide de l’état général de la législation sur la protection de la vie privée aux États-Unis, au Royaume-Uni, au Canada et en Australie. Il donne quelques indices sur le type de protection que les organisations sont censées fournir aux données des clients, ainsi qu'une idée des sanctions en cas de violation.

Australie

Tout comme le Canada et le Royaume-Uni, l’Australie dispose d’une loi fédérale sur la protection de la vie privée, bien nommée la « Loi sur la protection de la vie privée ».Loi sur la protection de la vie privée. Elle a été adoptée pour la première fois en 1988 et a depuis été modifiée et élargie. La loi est basée sur le concept de 13 principes australiens de confidentialité .

Législation

LeLoi sur la protection de la vie privéeinitialement, il ne couvrait que le traitement des informations privées par les agences gouvernementales et les sous-traitants gouvernementaux. Depuis, cette mesure a été étendue aux entreprises du secteur privé.

Toutes les entreprises australiennes avec ventes totales de plus de 3 000 000 AUD ont des obligations en vertu de la loi sur la protection des renseignements personnels. Une petite liste d'entreprises telles que les entreprises liées à la santé et financières sont également soumises à la loi, quel que soit le chiffre d'affaires total.

Donner aux clients leurs informations

Le principe 12 duLoi sur la protection de la vie privéetraite de « l’accès aux renseignements personnels et leur correction ». À quelques exceptions près, la demande d’une personne concernant ses renseignements personnels doit être fournie, mais il n’y a pas de délai fixé pour le faire. Les demandes des agences doivent être traitées dans un délai de 30 jours, mais si le demandeur est une personne, la seule exigence est de « donner accès aux informations de la manière demandée par la personne, s'il est raisonnable et réalisable de le faire ».

Pénalités

Il existe différentes sanctions en cas de violation duLoi sur la protection de la vie privée, selon la gravité de la violation. Les valeurs monétaires des violations ne sont pas indiquées dans la Loi sur la protection des renseignements personnels. Les violations sont plutôt assigné un certain nombre d'unités de pénalité en fonction de la gravité de l'infraction. Les infractions graves se voient attribuer 2 000 unités de pénalité, tandis que les infractions moins graves se voient attribuer seulement 120 unités de pénalité.

Section 4AA de la loi australienneLoi sur les crimesdicte le valeur d'une unité de pénalité en dollars australiens et est mis à jour de temps à autre. Actuellement, une unité de pénalité unique est de 210 AUD (sous réserve d'indexation), ce qui signifie que les infractions graves peuvent être de l'ordre de 420 000 AUD. En réalité, le les tribunaux en Australie parfois n'exigent que des excuses.

Canada

Législation

Les règles fédérales canadiennes en matière de protection des données pour les entreprises sont contenues dans la Loi sur la protection des renseignements personnels et les documents électroniques ( LPRPDE ). Certaines provinces comme l'Alberta, la Colombie-Britannique et le Québec ont leurs propres lois provinciales sur la protection des données qui sont suffisamment similaires pour que La LPRPDE ne s’applique pas aux entreprises de ces provinces. Par conséquent, selon la province dans laquelle vous faites affaire, vous devrez connaître la LPRPDE ou l’une des lois provinciales suivantes :

• Alberta : Loi sur la protection des renseignements personnels
• Colombie britannique: Loi sur la protection des renseignements personnels
• Québec: * Loi sur la protection des renseignements personnels dans
  le secteur privé *

De plus, le Canada a un Loi sur la protection de la vie privée qui contrôle la manière dont le gouvernement fédéral doit traiter les informations personnelles au sein des agences gouvernementales.

La LPRPDE exige que les organisations obtiennent le consentement avant de recueillir des renseignements personnels. Il est toutefois intéressant de noter que la LPRPDE ne s’applique pas aux personnes qui collectent des données personnelles à des fins personnelles, ni aux organisations qui collectent des informations personnelles à des fins journalistiques.

Le Commissariat à la protection de la vie privée au Canada maintient une vue d'ensemble des diverses lois fédérales et provinciales canadiennes sur la protection de la vie privée.

Donner aux clients leurs informations

Les informations détenues par les agences fédérales peuvent être demandées en remplissant un formulaire formulaire de demande de renseignements. Pour demander des informations personnelles détenues par un autre type d’organisation, contactez cette organisation. Le bureau de l'ombudsman provincial ou territorial peut aider.

Pénalités

Les contrevenants à la LPRPDE s’exposent à des amendes jusqu'à 100 000 $par infractionpour avoir sciemment violé la loi.

Royaume-Uni

Législation

La loi fédérale sur la protection du Royaume-Uni porte bien son nom. Loi de protection des données . Contrairement au Canada, la loi britannique sur la protection des données s’applique à tous les niveaux, tant aux entreprises qu’au gouvernement.

Donner aux clients leurs informations

Les citoyens britanniques ont le droit de découvrez quelles informations une organisation a à leur sujet. Cependant, toutes les informations ne doivent pas nécessairement être divulguées. Les données qui ne doivent pas être divulguées comprennent des informations sur :

• informations sur les enquêtes criminelles
• dossiers militaires
• les questions fiscales, ou
• nominations judiciaires et ministérielles

Les organisations peuvent également facturer de l’argent pour fournir ces informations aux personnes. Le Bureau du commissaire à l'information du Royaume-Uni Le site Web peut fournir des conseils et des orientations, ainsi qu’enquêter sur les plaintes liées au traitement des données.

Pénalités

La loi britannique sur la protection des données prévoit amendes allant jusqu'à 500 000 GBP et même des poursuites pour violations.

États-Unis

Les États-Unis sont quelque peu uniques dans la mesure où ils disposent de moins de lois fédérales sur la protection de la vie privée que la plupart des autres pays. Au lieu de cela, la plupart des lois sur la protection de la vie privée aux États-Unis relèvent de l'industrie ou basée sur l’État. Il peut donc être difficile de découvrir les lois qui peuvent s'appliquer à une entreprise spécifique. Un bon point de départ est le rapport de la Federal Trade Commission des États-Unis. Page Confidentialité et sécurité .

Législation

Les États Unis'Loi sur la protection de la vie privée de 1974contrôle la manière dont les informations peuvent être collectées, utilisées et divulguées par les agences fédérales. Il déclare en partie :

Aucune agence ne doit divulguer un document contenu dans un système de documents par quelque moyen de communication que ce soit à quiconque ou à une autre agence, sauf à la suite d'une demande écrite ou avec le consentement écrit préalable de la personne à qui le dossier est destiné. concerne.

La loi énumère ensuite plusieurs exceptions à cette directive. Certaines d’entre elles, comme l’exemption pour « usage courant », peuvent sembler un peu larges au 21e siècle.

La majeure partie des lois américaines sur la protection de la vie privée sont liées aux industries ou élaborées au niveau des États. Par conséquent, il est important pour une organisation d’évaluer dans quels États elle sera considérée comme opérant, et également s’il existe des réglementations spécifiques à l’industrie en matière de confidentialité qui s’appliquent à n’importe quel niveau gouvernemental.

Certaines grandes lois fédérales américaines sur la protection de la vie privée sont :

• Health Insurance Portability and Accountability Act (HIPPA) : cette loi concerne l’administration des soins de santé aux États-Unis.
• Children’s Online Privacy Protection Act (COPPA) : cette loi traite de la collecte en ligne de données sur les enfants de moins de 13 ans aux États-Unis.
• Transactions de crédit équitables et précises (FACTA) : cette loi traite de l'obligation des agences d'évaluation du crédit de fournir des informations sur le crédit et des outils de prévention de la fraude aux citoyens américains.

Donner aux clients leurs informations

La loi américaine sur la protection de la vie privée stipule que les individus ont le droit d'obtenir les informations que les organisations fédérales détiennent à leur sujet. Pour faire une demande, les gens contacteraient l’agence concernée. Pour les entreprises privées, l’obligation pour une organisation de fournir des documents aux particuliers dépendrait de l’existence d’une législation applicable à ce secteur ou à cet État. Encore une fois, le meilleur endroit pour commencer sera probablement le site Web de la Federal Trade Commission des États-Unis.

Pénalités

La loi fédérale sur la protection de la vie privée prévoit des sanctions, mais comme elle s'applique uniquement au gouvernement fédéral américain, ce n'est pas le cas pour les autres organisations. Les sanctions en cas de violation de la vie privée aux États-Unis dépendront de la loi qui a été violée et des sanctions qui y sont contenues.

Commentaires finaux

La vitesse à laquelle les pertes et violations de données se sont produites au cours des dernières années est alarmante. La plupart de ces violations sont possibles parce que les organisations ne s’y attendent tout simplement pas. Les attaques de ransomware à l'échelle mondiale réussissent parce que les employéstoujourscliquez sur des liens malveillants dans les e-mails. Les entreprises perdent leur capacité de commande en ligne pendant des jours, au lieu de quelques heures, car elles ne savent pas qui contacter en cas de panne de leur site Web. Tout cela peut être très soigneusement atténué grâce au cryptage, aux sauvegardes et à certaines connaissances du système.

Crédit image : « CyberInternet » de Gerd Altmann sous licence CC BY 2.0