lundi, 6 février 2023

L’UE prend au sérieux la protection de la vie privée, mais trop d’entreprises ignorent le risque

Si vous demandez à la plupart des employés de la technologie la différence entre la sécurité et la vie privée, ils ne seront probablement pas en mesure de vous informer de la distinction, à moins que leur travail principal ne consiste à travailler sur l’un de ces groupes. Étant donné qu’une grande partie de notre vie est désormais en ligne, il s’agit d’un problème qui peut entraîner la responsabilité des entreprises et des amendes de plusieurs millions de dollars, en particulier de la part des régulateurs européens. Avec cette attention accrue, quelle est la différence entre la sécurité et la vie privée, et comment les employés doivent-ils penser à ces problèmes ?

Pour commencer, jetons un coup d’œil à la déclaration de cet été selon laquelle un pirate était en fait dans son système depuis plus de six mois et fournissait des données d’utilisateurs à partir de 5,4 millions de comptes. (En 2020, un adolescent de Floride a également été accusé de reprendre des comptes). Les pirates qui enfreignent le système de Twitter posent un problème de sécurité. Étant donné que ces pirates ont peut-être eu accès à des millions ou des milliards d’enregistrements, il s’agit également d’un problème de confidentialité.

Cet été, Meta a été condamné à une amende de 403 millions de dollars par l’autorité irlandaise GDPR (General Data Security Policy). En 2015, les régulateurs européens ont infligé une amende de 888 millions de dollars à Amazon. C’est un énorme problème pour les plates-formes importantes, mais cela peut frapper pratiquement n’importe quelle entreprise aujourd’hui : la Californie a récemment infligé une amende de 1,2 million de dollars à Sepora pour avoir enfreint le CCPA (California Consumer Privacy Act).

Si nous voulons réduire l’impact des amendes et des infractions, nous avons besoin que les sociétés d’applications logicielles se concentrent sur la confidentialité personnelle autant que sur la sécurité, et s’assurent que leurs employés comprennent la distinction. Si vous allez chez le médecin, votre médecin comprend exactement ce que les politiques HIPAA lui permettent de divulguer. Tout camionneur sur la route comprend exactement le nombre d’heures qu’il peut conduire en fonction des directives du DoT sur les heures de service. Mais si vous demandez aux employés de la technologie ce qu’ils peuvent et ne peuvent pas faire en vertu du CCPA, la majorité d’entre eux pourraient même ne pas reconnaître l’acronyme.

c’est ce que les individus doivent savoir.

  • Responsabilité : la haute direction doit reconnaître qu’un célibataire est éventuellement responsable du respect de la vie privée d’une entreprise. De nombreuses entreprises désigneront un responsable de la confidentialité des informations personnelles, mais quel que soit l’objectif, l’objectif est d’avoir une personne ciblée et responsable de la conformité au RGPD (et à d’autres réglementations).
  • Détermination des objectifs : besoin de l’entreprise pour déterminer dans leur avis de confidentialité comment ils utiliseront les informations des clients, mais doivent également tenir compte des attentes des clients. Beaucoup de gens s’attendraient à ce que les séquences vidéo de la caméra de sécurité d’un magasin ne soient accessibles qu’en cas d’effraction. Si la caméra vidéo diffuse un flux en direct sur la page d’accueil de l’entreprise, cela pourrait choquer les consommateurs et entraîner des problèmes de confidentialité.
  • Consentement : un consentement approprié est une condition essentielle. Mais n’oubliez pas que les personnes concernées méritent également de retirer leur autorisation, et vos systèmes de données doivent prendre en charge cette capacité.
  • Limitation de la collecte : aussi attrayant qu’il soit de collecter autant informations que possible, plus vous en rassemblez, plus votre risque est grand. Concentrez-vous sur le suivi et la collecte de données que vous pouvez effectivement utiliser dans votre organisation, en fonction des objectifs que vous avez identifiés.
  • Limitation de l’utilisation, de la divulgation et de la conservation : les lois sur la confidentialité exigent que les entreprises restreindre l’accès aux données aux fonctions reconnues et éviter la divulgation aux travailleurs non autorisés. Trop d’entreprises autorisent encore les employés généraux à accéder aux données individuelles. Lorsqu’un pirate informatique pénètre dans un système en utilisant un compte compromis, vous pouvez minimiser l’ampleur des dommages qu’il peut causer en limitant l’accès interne à ceux qui en ont besoin. Ne conservez pas les données plus longtemps que nécessaire, en tenant compte des lois locales sur la conservation et des objectifs de service justifiés, et réfléchissez à la manière dont vous réagiriez si jamais vous receviez une notification légale.
  • Précision : S’assurer que les données client sont précises est une exigence légale et une préoccupation de l’organisation pour le succès. La précision est également une priorité absolue lors de l’intégration d’informations provenant de nombreuses sources, alors assurez-vous de pouvoir valider la fiabilité de vos processus et des informations.
  • Protections : assurez-vous d’avoir une gouvernance et des protections appropriées pour l’accès aux informations, tant du point de vue de la confidentialité que de la sécurité. Pensez à cela en utilisant la « triade CIA », des programmes de sécurité informatique qui maintiendront la confidentialité, l’intégrité et la disponibilité des informations client que vous avez réellement collectées.
  • Transparence : si votre entreprise utilise une méthode distincte d’utilisation des données client, n’enterrez pas ces politiques dans les conditions d’utilisation ; quelqu’un finira par voir. Meta a accepté de payer 37,5 millions de dollars aux utilisateurs parce que l’entreprise géolocalisait les utilisateurs par leurs adresses IP après que les clients aient désactivé le suivi de la localisation sur leur téléphone. Soyez transparent sur vos pratiques en matière de données et rendez les détails facilement disponibles dans les politiques qui utilisent une formulation claire, succincte et en langage clair.
  • Individuel Accédez à : Sur demande, les sujets de données ont besoin d’être informé de l’existence, de l’utilisation et de la divulgation de leurs informations personnelles, et de pouvoir accéder et contester l’exactitude de ces informations. Les organisations doivent être prêtes à gérer ces types de demandes de droits à la vie privée.
  • Conformité contestée : à terme, toute personne couverte par le RGPD et le CCPA mérite de contester la conformité d’une entreprise à ces politiques. Si une entreprise est contestée, il peut être nécessaire de prouver qu’elle respecte les exigences de confidentialité appropriées, y compris les politiques et procédures appropriées. Traiter avec votre équipe de protection de la vie privée pour jouer un rôle sur la façon dont vous répondriez à une telle demande aidera à exposer toute lacune dans votre programme de confidentialité des données personnelles avant que les régulateurs ne commencent à chercher.

Avec l’importance de l’information aux services contemporains, s’assurer que les travailleurs sont familiarisés avec la loi sur la protection de la vie privée mettra votre entreprise dans une bien meilleure position en cas d’incident. Penser à la façon dont les informations sont enregistrées et sauvegardées aidera à réduire les menaces. La confidentialité est l’engagement de votre entreprise envers les consommateurs que vous êtes un partenaire crédible et que vous avez leurs intérêts à l’esprit. Pour sensibiliser à la confidentialité, utilisez la liste de contrôle ci-dessus pour vous assurer que les groupes de traitement des données connaissent leurs obligations en matière de confidentialité des informations aussi bien qu’un médecin connaît les exigences de la HIPAA.

.

.

Toute l’actualité en temps réel, est sur L’Entrepreneur

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici