Qu'est-ce que la conformité des informations personnelles ?
Informations personnellesreprésenteInformations personnellement identifiables. Dans de nombreux pays, ce type d'informations est protégé par la législation. Par conséquent, la législation elle-même ne constitue pas une menace directe
Cependant, ces lois autorisent les particuliers à poursuivre en justice les entreprises qui détiennent des données les concernant mais ne les conservent pas ou ne les protègent pas de manière adéquate. Ces stipulations sont également énoncées dans les normes de confidentialité des données. Ces normes garantissent que les entreprises qui les suivent respecteront la loi et éviteront les poursuites judiciaires.
Quand les gens parlent de Conformité des informations personnelles , ils parlent de respecter les exigences de ces normes de données. Il existe de nombreuses normes de protection des informations personnelles. Ceux-ci se répartissent en deux catégories :
- Normes de protection des données de l'industrie
- Normes de protection des données géographiques
Alors que les normes industrielles dictent la manière dont les informations personnelles doivent être traitées, les critères géographiques ajoutent des exigences supplémentaires concernant l'endroit où les données sont stockées et où se trouvent ceux qui y accèdent.
Les normes PII ne dictent pas seulement des niveaux de sécurité pour empêcher divulgation de données , mais ils interdisent également des pratiques telles que la vente de données personnelles ou l'utilisation de données personnelles collectées dans un but spécifique pour lancer un produit particulier.
Article similaire: Meilleurs outils d'analyse PII
Qu'est-ce qui compte comme informations personnelles ?
Les normes PII concernent uniquement les informations détenues au format numérique qui peuvent identifier un particulier . Par conséquent, les règles ne s’appliquent pas aux données agrégées anonymisées ou aux informations sur les personnes sur leur lieu de travail, telles que les coordonnées des représentants commerciaux.
Si vous ne détenez aucune information sur les particuliers, vous n’avez pas à vous soucier des informations personnelles. Cependant, à titre d'avertissement, les informations que vous possédez dans votre Dossiers RH compte comme des informations personnelles, il y a donc très peu de chances que vous ne déteniez aucune information personnelle.
Certaines des normes importantes en matière de confidentialité des données
Les normes de confidentialité des données les plus répandues dans l’industrie aux États-Unis sont :
- Normes de sécurité des données du secteur des cartes de paiement (PCI DSS) Cela s'applique à tous les magasins de détails de cartes de paiement, pas seulement à ceux détenus par les banques et les processeurs de paiement. Ainsi, si vous conservez dans vos dossiers les détails des cartes de crédit de consommateurs privés aux États-Unis, vous devez vous conformer à cette norme.
- Loi sur la portabilité et la responsabilité en matière d'assurance maladie (HIPAA) Cette norme s’applique également uniquement aux données concernant les personnes résidant aux États-Unis. Cependant, son application s’étend partout où les données de l’assurance maladie sont détenues, et pas seulement au sein des assureurs maladie. En effet, la HIPAA traite une variante des informations personnelles appelées informations de santé protégées (PHI).
L’UE a lancé la tendance à légiférer sur l’utilisation des données dans une région du monde. Il s'agit d'un ensemble de recommandations mises en œuvre dans la législation de chaque État membre.
Le Règlement Général sur la Protection des Données (RGPD) et le Directive sur la vie privée et les communications électroniques (ePR ) Ces règles précisent que les informations personnelles ne peuvent être détenues qu'à des fins spécifiques. Les sujets de ces instances de données ont le droit de demander une copie de ces informations et de corriger les erreurs. De plus, les informations personnelles des citoyens de l’UE ne peuvent pas être prises en dehors de l’UE sans le consentement du sujet. Cela s'applique à toutes les entreprises qui exercent leurs activités dans l'UE, même si leur siège social se trouve ailleurs. Un manquement peut entraîner une amende pouvant aller jusqu'à €20 million-plus les sujets de données inexactes ou divulguées ont le droit de poursuivre.
Cette liste de règles a maintenant été imitée dans plusieurs autres endroits.
- Loi californienne sur la protection de la vie privée des consommateurs (CCPA) en Californie, États-Unis
- Loi californienne sur les droits à la vie privée (CPRA) en Californie, aux États-Unis, prolongeant le CCPA
- Loi sur la protection des données des consommateurs de Virginie (VCDPA) en Virginie, États-Unis
- Loi Générale sur la Protection des Données (LGPD) au Brésil
- Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) au Canada
- Loi sur la protection des renseignements personnels (POPIA) en Afrique du sud
Dans tous ces cas, peu importe où se trouve votre entreprise ; le contrôle des données s'applique au lieu de résidence de la personne concernée. Ainsi, si vous exploitez une entreprise mondiale sur le World Wide Web , vous devrez vous adapter à chacune de ces normes en fonction de la localisation de chacun de vos clients. Heureusement, les exigences de toutes ces normes sont très similaires.
Vous pouvez en savoir plus sur les normes PII et comment les respecter dans Guide de gestion de la confidentialité des données et les meilleurs outils .
Mise en œuvre de la conformité des informations personnelles
La liste restreinte des normes existantes présentée dans la section précédente n’est qu’un début. De nombreux autres pays dans le monde ont récemment adopté leurs versions de RGPD ou le font actuellement.
Le non-respect des normes de confidentialité des données du secteur vous fera perdre votre activité, car ces normes sont souvent intégrées au contrats pour les fournisseurs qui opèrent dans ces secteurs. Dans le cas des normes de confidentialité des données géographiques, le non-respect entraînera une amende et des poursuites pour votre entreprise.
Gérer le respect de ces normes pourrait finir par être un cauchemar. Votre entreprise peut être soumise simultanément à plusieurs de ces normes. La seule solution est d'obtenir un outil automatisé qui gère la conformité des informations personnelles pour vous. Heureusement, de tels outils existent sur le marché.
Types d'outils de conformité PII
Il existe plusieurs packages différents dont vous avez besoin pour vous conformer pleinement à toutes les exigences des normes de confidentialité des données. En outre, il existe des normes permettant de satisfaire entièrement aux exigences des normes de confidentialité des données et plusieurs problèmes que vous devez résoudre.
- Gouvernance, risque et conformité
- Protection des données contre la perte ou la falsification
- La capacité de répondre aux demandes d’accès des personnes concernées
- Le traitement et le stockage des journaux pour l’audit de conformité
- Consentement aux cookies
Nous abordons chacun de ces sujets dans les sections suivantes, expliquant le type d'outils que vous devez rechercher pour satisfaire pleinement aux normes de confidentialité des données.
Gouvernance, risque et conformité (GRC)
Cette catégorie de logiciels semble fournir tout ce dont vous auriez besoin pour la conformité des informations personnelles. Ces outils couvrent une grande partie de ce dont vous avez besoin pour la conformité des informations personnelles, mais ils ne fournissent pas toutes les fonctions dont vous aurez besoin pour acquérir.
GRC gère les pratiques de travail ainsi que l'automatisation du système qui fournit une stratégie complète de conformité des informations personnelles. Cette catégorie d'outils peut également protéger d'autres types de données couvertes par les normes de confidentialité, telles que les informations financières qui doivent être sauvegardées pour le Loi Sarbanes-Oxley (SOX). Vous pouvez en savoir plus sur Gouvernance, risque et conformité dans les 9 meilleurs outils GRC pour 2021 .
Une partie importante du GRC est gestion des risques . Cela exprime l’évaluation des deux risque interne et risque externe . Problèmes de risque internes liés à l’identification des informations personnelles. Vous pouvez en savoir plus sur cette tâche et les outils nécessaires dans le Meilleurs outils de découverte de PII . Le risque externe consiste à évaluer les profils de conformité de vos associés existants et potentiels. C’est ce qu’on appelle la gestion des risques liés aux tiers ou l’évaluation des risques liés aux fournisseurs. Encore une fois, vous pouvez en savoir plus sur les outils appropriés pour cette tâche dans 5 meilleurs logiciels de gestion des risques tiers .
Protection des données contre la perte ou la falsification
La divulgation de données personnelles constitue la plus grande menace pour votre entreprise, vous devez donc empêcher le vol de données. Il existe désormais de nombreuses techniques différentes déployées par les voleurs de données, notamment les ransomwares. Prévention de la perte de données (DLP) permet la découverte des informations personnelles et leur protection.
Un système DLP typique peut tracer les instances de PII, puis utiliser surveillance de l'intégrité des fichiers (FIM) pour en contrôler l’accès. Cette stratégie crypte les fichiers contenant des informations personnelles, puis gère l'accès grâce à un décryptage fourni de manière transparente pour ceux qui disposent des autorisations d'accès appropriées.
FIM est idéal pour Conformité des informations personnelles car non seulement il protège les données sensibles, mais il enregistre également toutes les activités d'accès et de modification. Une grande partie du respect des normes de confidentialité des données réside dans la journalisation de tout ce qui se trouve sur le système, le stockage de ces journaux dans des fichiers et la protection des fichiers journaux contre la falsification.
Le système DLP gère également tous les canaux pour data exfiltration . Cela ne bloque pas les mouvements de données mais permet à certains utilisateurs de déplacer certains types de données personnelles.
Vous trouverez une liste complète des systèmes DLP dans les 13 meilleurs outils logiciels de prévention des pertes de données .
La capacité de répondre aux demandes d’accès des personnes concernées
UN demande d'accès à la personne concernée (DSAR) est un mécanisme spécifié dans le RGPD et les autres normes de protection des données géographiques qu’il a inspirées. Il s’agit d’une exigence de la norme et vous devez vous y conformer.
Un DSAR est une demande d'un membre du public visant à connaître les données que vous détenez à son sujet. Le système offre également à ces sujets la possibilité de modifier des informations incorrectes et de supprimer des données inappropriées.
Une partie de la défense que votre entreprise peut opposer à la probabilité que des membres du public vous demandent de supprimer leurs données consiste à obtenir le consentement au stockage et aux actions que vous pourriez vouloir effectuer sur celles-ci. Grâce à ce mécanisme, vous pouvez simplifier les complexités liées aux relations avec le public. Jeter un coup d'œil à 7 meilleures plateformes de gestion du consentement pour en savoir plus sur les DSAR et traiter avec le public.
Le traitement et le stockage des journaux pour l’audit de conformité
La conformité PII nécessite la documentation de tous les événements de sécurité sur un réseau et ses points de terminaison. Ceci est réalisé en collectant les messages de journal et en les stockant. Les journaux peuvent être utilisés par gestion des événements et de l'information liés à la sécurité (SIEM) pour détecter d’éventuelles intrusions.
Les journaux doivent également être mis à la disposition des auditeurs de conformité externes. L'objectif de ces audits est de vérifier qu'il n'y a pas eu de divulgation de données. Les entreprises ont de nombreuses incitations à dissimuler le vol de données , les normes de confidentialité des données exigent donc cette tenue de registres approfondie. Des lacunes dans les enregistrements des journaux ou des preuves de falsification des journaux enfreignent les règles. Lorsque tous les journaux sont présents, les auditeurs peuvent rechercher fuites de données non déclarées .
Pour en savoir plus sur les outils répondant aux exigences de gestion des journaux pour la conformité des informations personnelles, lisez 15 meilleurs outils de gestion des journaux et logiciels d'analyse .
Consentement aux cookies
Les sites Web utilisent des cookies pour divers mécanismes, notamment pour à des fins de marketing . Cela nécessite le suivi des bibliothèques qui fonctionnent via des cookies stockés sur l’ordinateur du visiteur du site et un serveur publicitaire central. De plus, ces données peuvent être utilisées à des fins d’analyse marketing.
Malheureusement, dans certaines normes de confidentialité des consommateurs – notamment le RGPD et le CCPA – certains cookies sont considérés Informations personnelles . Cela entraîne toutes les exigences complexes liées au service des DSAR et restreint l'accès aux employés physiquement situés dans la zone géographique couverte par la législation.
Vous pouvez limiter votre exposition à ces exigences de conformité PII en obtenant dès le départ une autorisation complète du visiteur du site. Gestion du consentement aux cookies les systèmes se chargent de cette tâche pour vous. Le Meilleurs outils de consentement aux cookies explique ces problèmes et les outils pour les résoudre.
Outils pour la conformité des informations personnelles
La conformité des informations personnelles est une tâche compliquée, et elle vous éloignera de votre activité principale. Cependant, vous ne pouvez pas vous permettre d’ignorer ces exigences, car le fait de ne pas accomplir ces tâches pourrait entraîner un événement de perte de données cela détruit votre entreprise.
L'étude des nombreux outils différents dont vous avez besoin peut prendre du temps. Cependant, regardez d’abord les guides sur Comparitech liés dans le corps de cet article. Une brève compréhension de chaque outil et une liste restreinte d’outils à prendre en compte accéléreront votre parcours vers la conformité totale des informations personnelles.