Il ne fait aucun doute que de nos jours, une entreprise g\u00e9n\u00e8re de grandes quantit\u00e9s de donn\u00e9es qui doivent \u00eatre d\u00e9plac\u00e9es, analys\u00e9es et stock\u00e9es en toute s\u00e9curit\u00e9. \u00c9tant donn\u00e9 qu’une grande partie de ces donn\u00e9es concerne la vie priv\u00e9e des utilisateurs et des clients, diverses lois et r\u00e9glementations ont \u00e9t\u00e9 cr\u00e9\u00e9es pour appliquer des pratiques de protection rigoureuses. Si ces r\u00e9glementations varient beaucoup d’un pays \u00e0 l’autre, le concept sous-jacent reste le m\u00eame : assurer la s\u00e9curit\u00e9 des donn\u00e9es tout en les gardant \u00e0 la disposition des utilisateurs autoris\u00e9s lorsqu’ils en ont besoin.<\/p>\n
Les points abord\u00e9s dans cet article :<\/strong><\/p>\n La protection des donn\u00e9es<\/a> est le concept de sauvegarde des donn\u00e9es importantes contre leur corruption, leur compromission et leur perte. Il ne s’agit pas seulement d’une protection passive, mais aussi de processus de restauration et de r\u00e9cup\u00e9ration des donn\u00e9es en cas d\u2019\u00e9v\u00e9nement rendant les donn\u00e9es inaccessibles ou inutilisables. La protection des donn\u00e9es couvre \u00e9galement les questions de conformit\u00e9 aux exigences l\u00e9gales ou r\u00e9glementaires.<\/p>\n Outre la s\u00e9curit\u00e9, la protection des donn\u00e9es inclue l’acc\u00e8s autoris\u00e9 aux donn\u00e9es. Il est \u00e9vident que l’on ne peut pas simplement supprimer les donn\u00e9es importantes ou les enfermer dans un coffre-fort imp\u00e9n\u00e9trable. Les donn\u00e9es sont destin\u00e9es \u00e0 \u00eatre utilis\u00e9es, et les donn\u00e9es prot\u00e9g\u00e9es doivent \u00eatre accessibles aux utilisateurs autoris\u00e9s lorsqu’elles leurs sont n\u00e9cessaires.<\/p>\n En gros, l’id\u00e9e moderne de la protection des donn\u00e9es recouvre trois grandes cat\u00e9gories :\u00a0la protection traditionnelle des donn\u00e9es, comme le backup<\/a>; la s\u00e9curit\u00e9 des donn\u00e9es et la d\u00e9fense contre les failles ; et la confidentialit\u00e9 des donn\u00e9es.<\/p>\n La sauvegarde SaaS de NinjaOne vous aide \u00e0 respecter les exigences r\u00e9glementaires en mati\u00e8re de protection des donn\u00e9es.<\/p>\n \ud83d\udcdd Essayez la sauvegarde SaaS de NinjaOne.<\/a><\/span><\/p>\n<\/div>\n Le principe premier de la protection des donn\u00e9es est de mettre en place des m\u00e9thodologies et des technologies pour prot\u00e9ger les donn\u00e9es, tout en les rendant accessibles en toutes circonstances aux utilisateurs autoris\u00e9s.<\/p>\n Au-del\u00e0 de cette r\u00e8gle de base, la protection des donn\u00e9es devient tr\u00e8s pr\u00e9cise en fonction des r\u00e9gions concern\u00e9es. Diverses lois et r\u00e9glementations gouvernementales ajoutent des couches et des d\u00e9tails \u00e0 cet objectif g\u00e9n\u00e9ral, en prenant en consid\u00e9ration une multitudes de probl\u00e8mes de cybers\u00e9curit\u00e9 et le respect de la vie priv\u00e9e.<\/p>\n Nous allons maintenant explorer la protection des donn\u00e9es telle qu’elle est d\u00e9finie dans diff\u00e9rentes r\u00e9gions.<\/p>\n Contrairement \u00e0 certaines r\u00e9gions, notamment l’Union europ\u00e9enne, les \u00c9tats-Unis ne disposent pas d’une loi f\u00e9d\u00e9rale compl\u00e8te r\u00e9gissant la vie priv\u00e9e et le traitement des donn\u00e9es ou des informations personnelles. Au lieu de cela, les entreprises aux \u00c9tats-Unis doivent naviguer dans un amalgame de lois f\u00e9d\u00e9rales et \u00e9tatiques qui r\u00e9glementent la collecte, le traitement, la divulgation et la s\u00e9curit\u00e9 des informations personnelles.<\/p>\n En outre, certaines industries, telles que les soins de sant\u00e9 et la finance, sont r\u00e9glement\u00e9es selon des modalit\u00e9s propres \u00e0 leur secteur.<\/p>\n En raison de la nature d\u00e9centralis\u00e9e des lois am\u00e9ricaines sur la protection des donn\u00e9es, les responsables du traitement des donn\u00e9es doivent se tenir au courant de ces diverses lois et se pr\u00e9parer \u00e0 une \u00e9volution probable de la r\u00e9glementation am\u00e9ricaine en mati\u00e8re de donn\u00e9es.<\/p>\n Jetons un coup d’\u0153il rapide aux principales lois sur la protection des donn\u00e9es actuellement en vigueur :<\/p>\n La Health Insurance Portability and Accountability Act of 1996 (HIPAA)<\/a> est une loi f\u00e9d\u00e9rale qui \u00e9tablit des normes pour prot\u00e9ger certaines informations personnelles relatives \u00e0 la sant\u00e9 contre toute divulgation sans le consentement ou la connaissance du patient.<\/p>\n La r\u00e8gle de confidentialit\u00e9 de l’HIPAA, propos\u00e9e par le minist\u00e8re am\u00e9ricain de la sant\u00e9 et des services sociaux (US Department of Health and Human Services)<\/a>, est entr\u00e9e en vigueur en 2003 et r\u00e9git l’utilisation et la divulgation d’informations personnelles prot\u00e9g\u00e9es dans le cadre du traitement, du paiement et du fonctionnement des soins de sant\u00e9.<\/p>\n La r\u00e8gle de s\u00e9curit\u00e9 HIPAA est \u00e9galement entr\u00e9e en vigueur en 2003, qui traite sp\u00e9cifiquement des dossiers m\u00e9dicaux \u00e9lectroniques. Cette r\u00e8gle pr\u00e9cise les mesures de protection administratives, physiques et technologiques requises pour respecter la conformit\u00e9.<\/p>\n Le Fair Credit Reporting Act (FCRA)<\/a> est une loi f\u00e9d\u00e9rale qui r\u00e9git les agences de renseignements sur les consommateurs et leurs proc\u00e9dures concernant la confidentialit\u00e9, l’exactitude, la pertinence et la bonne utilisation des donn\u00e9es personnelles.<\/p>\n Les informations personnelles r\u00e9glement\u00e9es par la FCRA sont li\u00e9es aux rapports de cr\u00e9dit et aux rapports sur les consommateurs vendus dans le but de d\u00e9terminer l’\u00e9ligibilit\u00e9 \u00e0 un emploi, de souscrire un cr\u00e9dit ou une assurance, et \u00e0 certaines autres fins d\u00e9crites dans la FCRA.<\/p>\n La FCRA comprend \u00e9galement plusieurs types de protections des consommateurs, notamment le droit de conna\u00eetre son propre score de cr\u00e9dit et le droit de savoir ce que contient le dossier qu’une agence de renseignements sur les consommateurs tient \u00e0 son sujet.<\/p>\n La Gramm-Leach-Bliley Act of 2002<\/a> (GLBA) est une loi f\u00e9d\u00e9rale qui r\u00e9glemente principalement la collecte, l’utilisation, la divulgation et la protection des informations personnelles priv\u00e9es recueillies par les institutions financi\u00e8res.<\/p>\n La Children\u2019s Online Privacy Protection Act (COPPA)<\/a> est une loi f\u00e9d\u00e9rale qui impose des exigences aux sites web destin\u00e9s aux enfants de moins de 13 ans et aux op\u00e9rateurs de sites web ou de services en ligne qui collectent sciemment des informations personnelles aupr\u00e8s d’enfants de moins de 13 ans. Les op\u00e9rateurs concern\u00e9s par la COPPA doivent divulguer certaines informations dans leur politique de confidentialit\u00e9 et obtenir le consentement des parents avant de collecter certains types d’informations aupr\u00e8s d’enfants de moins de treize ans.<\/p>\n Le Family Educational Rights and Privacy Act (FERPA)<\/a> est une loi f\u00e9d\u00e9rale qui concerne la protection des dossiers scolaires des \u00e9tudiants. La FERPA s’applique \u00e0 tout \u00e9tablissement public ou priv\u00e9 d’enseignement primaire, secondaire ou postsecondaire, ainsi qu’aux agences d’\u00e9ducation locales ou d’\u00c9tat qui re\u00e7oivent des fonds dans le cadre de certains programmes du minist\u00e8re am\u00e9ricain de l’\u00e9ducation<\/a>.<\/p>\n La FERPA donne aux parents et aux \u00e9tudiants admissibles un plus grand contr\u00f4le sur leurs dossiers scolaires, et interdit aux \u00e9tablissements d’enseignement de divulguer des informations personnellement identifiables dans les dossiers scolaires sans un consentement \u00e9crit.<\/p>\n La Telephone Consumer Protection Act (TCPA)<\/a> est une loi f\u00e9d\u00e9rale qui r\u00e9git les appels de t\u00e9l\u00e9marketing, les appels automatiques, les appels enregistr\u00e9s et les messages textuels automatis\u00e9s, ainsi que les t\u00e9l\u00e9copies non sollicit\u00e9es. La TCPA \u00e9nonce \u00e9galement des exigences techniques pour les t\u00e9l\u00e9copieurs, les composeurs automatiques et les syst\u00e8mes de messagerie vocale, ainsi que la fa\u00e7on d’identifier les utilisateurs de ces \u00e9quipements.<\/p>\n La Privacy Act of 1974<\/a> est une loi f\u00e9d\u00e9rale qui s’applique essentiellement aux agences, aux entrepreneurs et aux employ\u00e9s du gouvernement f\u00e9d\u00e9ral. La loi sur la protection de la vie priv\u00e9e restreint la divulgation des informations personnelles conserv\u00e9es par les agences gouvernementales et accorde aux individus des droits d’acc\u00e8s accrus aux dossiers des agences conserv\u00e9s sur eux-m\u00eames. Cette loi \u00e9tablit \u00e9galement un code de pratiques \u00e9quitables en mati\u00e8re d’information, avec des exigences l\u00e9gales pour la collecte, la s\u00e9curit\u00e9 et la diffusion des dossiers personnels.<\/p>\n Les lois sur la protection des donn\u00e9es au Canada sont semblables \u00e0 celles des \u00c9tats-Unis car elles consistent en un ensemble complexe de lois f\u00e9d\u00e9rales et provinciales. Comme aux \u00c9tats-Unis, certaines de ces lois r\u00e9gissent des r\u00e9glementations de secteurs sp\u00e9cifiques. Certaines lois pr\u00e9voient des obligations de notification et de d\u00e9claration dans le cas d’une violation des donn\u00e9es personnelles.<\/p>\n Les principales lois sur la protection des donn\u00e9es au Canada sont les suivantes :<\/p>\n Le Canada a \u00e9galement adopt\u00e9 une loi anti-spam, la Canada’s Anti-Spam Legislation (CASL)<\/a>, qui concerne les activit\u00e9s de marketing \u00e9lectronique telles que la collecte de donn\u00e9es et l’envoi massif d’e-mails.<\/p>\n L’Union europ\u00e9enne dispose actuellement du cadre de protection des donn\u00e9es le plus complet au monde. Le r\u00e8glement g\u00e9n\u00e9ral sur la protection des donn\u00e9es (RGPD)<\/a> promulgu\u00e9 en 2018 sert de cadre juridique \u00e0 la protection des donn\u00e9es et \u00e0 la vie priv\u00e9e pour chaque \u00c9tat membre.<\/p>\n Cette l\u00e9gislation complexe affecte \u00e9galement toute entreprise effectuant des \u00e9changes commerciaux avec l’UE et est assortie d’amendes et de sanctions s\u00e9v\u00e8res pour assurer sa conformit\u00e9. Le RGPD est con\u00e7u pour prot\u00e9ger les donn\u00e9es sensibles des citoyens de l’UE et leur donner plus de contr\u00f4le sur la fa\u00e7on dont elles sont consult\u00e9es et utilis\u00e9es. Les exigences comprennent des contr\u00f4les sur les transferts internationaux de donn\u00e9es et les droits des citoyens \u00e0 la suppression des donn\u00e9es.<\/p>\n Nous examinerons le RGPD plus en d\u00e9tail dans la section suivante.<\/p>\n Article 5(1)(a) du RGPD :<\/a> \u00ab\u00a0Les donn\u00e9es \u00e0 caract\u00e8re personnel sont trait\u00e9es de mani\u00e8re licite, loyale et transparente \u00e0 l’\u00e9gard de la personne concern\u00e9e (\u00ab\u00a0lic\u00e9it\u00e9, loyaut\u00e9, transparence\u00a0\u00bb)\u00a0\u00bb<\/p>\n Pr\u00e9cise que les organisations doivent s’assurer que leurs m\u00e9thodes de collecte de donn\u00e9es respectent la loi et que leur utilisation soit transparente pour les personnes dont les donn\u00e9es sont collect\u00e9es.<\/p>\n Article 5(1)(b) du RGPD : \u00ab\u00a0Les donn\u00e9es \u00e0 caract\u00e8re personnel sont collect\u00e9es pour des raisons d\u00e9termin\u00e9es, explicites et l\u00e9gitimes et ne sont pas trait\u00e9es ult\u00e9rieurement de fa\u00e7on incompatible avec ces finalit\u00e9s; le traitement ult\u00e9rieur \u00e0 des fins d’archivage dans l’int\u00e9r\u00eat public, \u00e0 des fins de recherche scientifique ou historique ou \u00e0 des fins statistiques n’est pas consid\u00e9r\u00e9 comme incompatible avec les raisons initiales.\u00a0\u00bb<\/p>\n Stipule que les organisations ne doivent recueillir des donn\u00e9es personnelles que dans un but d\u00e9fini et d\u00e9clar\u00e9. Ils doivent d\u00e9finir le but et l’objectif et ne collecter des donn\u00e9es que pendant le temps n\u00e9cessaire pour atteindre ces objectifs.<\/p>\n La collecte et le traitement des donn\u00e9es effectu\u00e9s \u00e0 des fins de recherche historique, scientifique ou statistique, ou pour des raisons d’int\u00e9r\u00eat public, b\u00e9n\u00e9ficient d’une plus grande libert\u00e9.<\/p>\n Article 5(1)(c) : \u00ab\u00a0Les donn\u00e9es \u00e0 caract\u00e8re personnel sont ad\u00e9quates, pertinentes et limit\u00e9es \u00e0 ce qui est n\u00e9cessaire au regard des finalit\u00e9s pour lesquelles elles sont trait\u00e9es (minimisation des donn\u00e9es).\u00a0\u00bb<\/p>\n Les organisations ne devraient conserver que la plus petite quantit\u00e9 de donn\u00e9es n\u00e9cessaires \u00e0 leurs besoins. La collecte de donn\u00e9es \u00ab\u00a0suppl\u00e9mentaires\u00a0\u00bb dans l’espoir qu’elles soient utiles plus tard n’est pas autoris\u00e9e.<\/p>\n Article 5(1)(d) : \u00ab\u00a0Les donn\u00e9es \u00e0 caract\u00e8re personnel doivent \u00eatre exactes et, si n\u00e9cessaire, mises \u00e0 jour; toutes les mesures raisonnables doivent \u00eatre prises pour que les donn\u00e9es \u00e0 caract\u00e8re personnel qui sont inexactes, au regard des finalit\u00e9s pour lesquelles elles sont trait\u00e9es, soient effac\u00e9es ou rectifi\u00e9es sans d\u00e9lai (\u00ab\u00a0exactitude\u00a0\u00bb)\u00a0\u00bb<\/p>\n Les donn\u00e9es personnelles collect\u00e9es doivent \u00eatre adapt\u00e9es \u00e0 la finalit\u00e9 d\u00e9clar\u00e9e, mais aussi exactes et \u00e0 jour. Les informations permettant d’identifier une personne doivent \u00eatre v\u00e9rifi\u00e9es r\u00e9guli\u00e8rement, et les informations inexactes doivent \u00eatre corrig\u00e9es ou supprim\u00e9es.<\/p>\n Article 5(1)(e) : \u00ab\u00a0Les donn\u00e9es \u00e0 caract\u00e8re personnel sont conserv\u00e9es sous une forme permettant l’identification des personnes concern\u00e9es pendant une dur\u00e9e n’exc\u00e9dant pas celle n\u00e9cessaire aux buts pour lesquelles elles sont trait\u00e9es; les donn\u00e9es \u00e0 caract\u00e8re personnel peuvent \u00eatre conserv\u00e9es pendant des p\u00e9riodes plus longues dans la mesure o\u00f9 elles seront trait\u00e9es uniquement \u00e0 des fins d’archivage dans l’int\u00e9r\u00eat public, \u00e0 des fins de recherche scientifique ou historique ou \u00e0 des fins statistiques, sous r\u00e9serve de la mise en \u0153uvre des mesures techniques et organisationnelles appropri\u00e9es requises par le RGPD afin de pr\u00e9server les droits et libert\u00e9s des personnes (\u00ab\u00a0limitation de la conservation\u00a0\u00bb).\u00a0\u00bb<\/p>\n Une fois l’objectif de la collecte de donn\u00e9es atteint, ces donn\u00e9es doivent \u00eatre supprim\u00e9es. S’il existe une raison acceptable de conserver les informations, par exemple qu’elles peuvent \u00eatre utilis\u00e9es pour l’int\u00e9r\u00eat public ou la recherche historique, l’organisation doit fixer et justifier une p\u00e9riode de conservation.<\/p>\n Article 5(1)(f) : \u00ab\u00a0Les donn\u00e9es \u00e0 caract\u00e8re personnel sont trait\u00e9es d’une fa\u00e7on qui garantit une s\u00e9curit\u00e9 appropri\u00e9e des donn\u00e9es \u00e0 caract\u00e8re personnel, y compris la protection contre le traitement non autoris\u00e9 ou illicite et contre la perte, la destruction ou les dommages accidentels, au moyen de mesures techniques ou organisationnelles appropri\u00e9es (\u00ab\u00a0int\u00e9grit\u00e9 et confidentialit\u00e9\u00a0\u00bb).\u00a0\u00bb<\/p>\n Toute information collect\u00e9e doit \u00eatre conserv\u00e9e en toute s\u00e9curit\u00e9. Votre organisation doit s’assurer que des mesures ad\u00e9quates de protection des donn\u00e9es sont mises en place pour sauvegarder les informations personnelles. Il est primordial de respecter la cybers\u00e9curit\u00e9.<\/p>\n Article 5(2) : \u00ab\u00a0Le contr\u00f4leur doit \u00eatre responsable et \u00eatre en mesure de d\u00e9montrer la conformit\u00e9 avec les autres principes de protection des donn\u00e9es [the other data protection principles]\u00bb<\/p>\n Cela signifie que les organisations doivent assumer la responsabilit\u00e9 des donn\u00e9es qu’elles conservent et montrer qu’elles respectent tous les autres principes. Les organisations doivent \u00eatre en mesure de documenter et de prouver leur adh\u00e9sion \u00e0 ces pratiques.<\/p>\n Cela peut impliquer :<\/p>\n Se tenir au courant des pratiques en mati\u00e8re de protection des donn\u00e9es<\/p>\n Cr\u00e9ation d’un poste de d\u00e9l\u00e9gu\u00e9 \u00e0 la protection des donn\u00e9es (DPD)<\/a> ou de responsable de la conformit\u00e9<\/p>\n \u00c9tablir un inventaire des donn\u00e9es personnelles<\/p>\n R\u00e9alisation d’\u00e9valuations d’impact sur la protection des donn\u00e9es et d’audits de cybers\u00e9curit\u00e9<\/p>\n Des fonctionnalit\u00e9s telles que Ninja Data Protection<\/a> sont con\u00e7ues pour aider les entreprises et les fournisseurs informatiques \u00e0 faire face \u00e0 la complexit\u00e9 des r\u00e9glementations en mati\u00e8re de protection des donn\u00e9es.<\/p>\n\n
Qu’est-ce que la protection des donn\u00e9es ?<\/h2>\n
Le premier principe de la protection des donn\u00e9es<\/strong><\/h3>\n
Principes de protection des donn\u00e9es aux \u00c9tats-Unis<\/strong><\/h2>\n
HIPAA<\/strong><\/h3>\n
FCRA<\/strong><\/h3>\n
GLBA<\/strong><\/h3>\n
COPPA<\/strong><\/h3>\n
FERPA<\/strong><\/h3>\n
TCPA<\/strong><\/h3>\n
Loi sur la protection de la vie priv\u00e9e (Privacy Act)<\/strong><\/h3>\n
Principes de protection des donn\u00e9es au Canada<\/strong><\/h2>\n
\n
Principes de protection des donn\u00e9es dans l’Union europ\u00e9enne<\/strong><\/h2>\n
Les 7 principes de la protection des donn\u00e9es (RGPD)<\/strong><\/h2>\n
\n
L\u00e9galit\u00e9, \u00e9quit\u00e9 et transparence<\/h3>\n<\/li>\n<\/ol>\n
\n
Limitation de l’objet<\/h3>\n<\/li>\n<\/ol>\n
\n
Minimisation des donn\u00e9es<\/h3>\n<\/li>\n<\/ol>\n
\n
Exactitude<\/h3>\n<\/li>\n<\/ol>\n
\n
Limitations de la conservation des donn\u00e9es<\/h3>\n<\/li>\n<\/ol>\n
\n
Int\u00e9grit\u00e9 et confidentialit\u00e9<\/h3>\n<\/li>\n<\/ol>\n
\n
Responsabilit\u00e9<\/h3>\n<\/li>\n<\/ol>\n
NinjaOne et la protection des donn\u00e9es<\/strong><\/h2>\n
\n