Guide des petites entreprises sur la protection des données

Aujourd’hui, il est pratiquement impossible de gérer une entreprise sans générer ni collecter de données. Certaines de ces données sont des données critiques qui sont nécessaires pour maintenir la vie de l’entreprise, et certaines seront sans aucun doute des données personnelles des clients.

Pour assurer la santé de toute entreprise, les deux points doivent être abordés. Les données d’entreprise doivent être disponibles et suffisamment abondantes pour soutenir les activités de l’entreprise, mais les organisations ont également l’obligation de garder les données clients privées et sécurisées.

Si une entreprise devait perdre ses propres données, elle pourrait se retrouver incapable de mener des opérations efficacement ou pas du tout. C’est déjà assez grave, mais cela n’affecte généralement que l’entreprise elle-même.

En revanche, si une entreprise perdait les données de ses clients, cela pourrait conduire à une action en justice y compris les enquêtes et amendes du gouvernement, ainsi que les affaires civiles et les grands jugements dommageables. Même le cours des actions d’une entreprise peut être affecté négativement après une violation de données publiques. Cet article traite des deux aspects.

Principes de protection des données

Les données n’apparaissent pas seulement; ça voyage. Les données sont collectées quelque part, elles sont transférées du point de collecte vers un point de stockage, elles sont traitées d’une manière ou d’une autre et se déplacent vers les points d’accès selon les besoins de l’entreprise. Ce processus peut être très compliqué ou très simple. Un exemple simple est de prendre une commande sur un site Web de commerce électronique:

1. Recueilli: Le site Web collecte des informations de livraison personnelles et des informations de paiement sur la page de paiement.
2. Transféré: Ces données sont transférées sur le serveur Web et probablement stockées dans une base de données sur ce serveur.
3. Traité: Ces données peuvent être traitées pour prendre en charge des fonctions auxiliaires telles que la décrémentation de l’inventaire des articles vendus ou pour générer des bons de livraison.
4. Accédé: Les fournisseurs de commandes doivent afficher certaines de ces données afin d’exécuter la commande et de la préparer pour la livraison.

À chaque étape de ce processus, il existe des possibilités d’accès non autorisé ou de perte de données. En continuant avec la boutique en ligne de site Web à titre d’exemple, voici quelques étapes à suivre qui peuvent aider à protéger ces données.

Protection des données en transit

Ce type de données de commande «transite» plusieurs fois. Le premier transit s’effectue depuis le navigateur Web du client vers le serveur Web de commerce électronique. Contrairement à la croyance commune, nous ne «visitons» pas un site Web, mais le site Web vient à nous. Les pages Web sont téléchargées sur nos ordinateurs où nous interagissons avec eux et renvoyons des données au serveur Web.

Dans ce cas, dans la dernière étape de remplissage des données du panier, le client a saisi ses informations de carte de crédit sur leur propre ordinateur et puis c’est transmis au serveur web. Ces informations sensibles sur les cartes de crédit sont envoyées sur Internet, un endroit très hostile et dangereux.

Les données en soi sont inutiles; il sera généralement transféré plusieurs fois au cours de sa vie. Les employés doivent pouvoir savoir ce qui a été commandé, les sociétés de transport doivent connaître le nom et l’adresse du client, les sociétés de cartes de crédit doivent savoir combien facturer le compte.

Il est peu probable que tout cela se produise au même endroit, ce qui signifie que ces informations sont envoyées à plusieurs endroits, et dans certains cas, peut-être à des organisations tierces en dehors de l’organisation qui a collecté les données en premier lieu. Chacun de ces transferts doit être effectué via une méthode sécurisée.

Solutions

Le moyen le plus efficace de protéger les données sur cette étape de transit est de s’assurer que votre site Web utilise un certificat SSL et que votre site utilise le protocole HTTPS, au moins sur les pages qui collectent des données sensibles.

Cette étape garantit que les données en transit entre votre serveur Web et le navigateur de votre client sont cryptées lorsqu’elles traversent Internet. Si les données sensibles de votre client étaient interceptées par un méchant, il ne pourrait pas en faire grand-chose car il s’agirait d’une goutte de charabia chiffrée.

S’il n’est pas possible d’utiliser le cryptage SSL pour une raison quelconque, vous pouvez ajouter un chiffrement à presque tous les transferts de données en utilisant un réseau privé virtuel (VPN). Il y a un certain nombre de choses à prendre en compte lors de la sélection d’un VPN pour petite entreprise, il est donc avantageux de faire vos recherches.

Périmètre 81 est l’offre de SaferVPN dédiée aux entreprises.

Il existe d’autres moyens de transférer des données en toute sécurité, par exemple en chiffrement des fichiers avant l’envoi. Les fichiers cryptés peuvent être envoyés en toute sécurité par e-mail sous forme de pièce jointe, bien que les données sensibles ne doivent jamais être envoyées dans le corps d’un e-mail ou via des pièces jointes non cryptées.

Les anciennes méthodes hors ligne, telles que les télécopies, ne doivent pas être actualisées. Les télécopieurs raccordés aux systèmes téléphoniques classiques (POTS) ne transitent pas sur Internet de manière facilement traçable et offrent plus de sécurité que le courrier électronique. Il est important de s’assurer qu’un véritable télécopieur est utilisé aux deux extrémités; Les services modernes «d’e-mail à fax» ou les services de fax «basés sur le cloud» peuvent être difficiles à distinguer des connexions de fax POTS appropriées. L’inconvénient du premier est que ces services utilisent Internet pour transférer des données, ce qui élimine leur avantage en matière de confidentialité.

Sécurisation des informations stockées

Une fois que les données ont été stockées quelque part, elles sont considérées comme «au repos». Les données au repos sont stockées sur une certaine forme de lecteur de disque dans une base de données, dans des fichiers individuels tels que des documents PDF ou dans une grande variété d’autres formats. Lorsque vous envisagez de protéger vos données au repos, le format des données peut être important.

Il existe deux façons principales d’accéder aux données au repos par malveillance. Un méchant peut utiliser des moyens légitimes pour accéder aux données telles que voler un mot de passe de travail d’un employé via le phishing.

Ou la machine stockant les données elle-même peut être attaquée et le contenu du disque copié ailleurs pour un examen ultérieur. Il peut être difficile d’extraire des noms d’utilisateur et des mots de passe de personnes; parfois, il est beaucoup plus facile de voler tout l’ordinateur de la réception alors qu’il est sans surveillance.

Si les données sont stockées en ligne, comme dans un magasin de commerce électronique, il peut être plus facile d’attaquer un autre site sur le serveur pour accéder au système de fichiers et copier la base de données que d’essayer de deviner le mot de passe d’un administrateur Magento.

Parfois, la violation de données est un crime d’opportunité – il existe des cas d’ordinateurs mis au rebut qui contiennent toujours des données sensibles sur leurs disques durs.

Solutions

Les données non utilisées doivent être chiffrées jusqu’à ce qu’elles soient nécessaires. Cela fonctionne bien pour les données qui n’ont pas besoin d’être consultées souvent. Il peut être plus difficile de gérer des données auxquelles accèdent très fréquemment une grande variété de personnes ou de systèmes.

Pour se protéger contre l’accès via les identifiants de connexion, les personnes légitimes accédant aux données doivent utiliser des mots de passe forts et des comptes individuels. Plusieurs personnes utilisant le même nom d’utilisateur et le même mot de passe rendent pratiquement impossible de déterminer comment ou quand la violation s’est produite. Les gestionnaires de mots de passe facilitent la création et la récupération de mots de passe forts, il n’y a donc plus de raison de partager des mots de passe.

Sticky Password n’est qu’un des excellents gestionnaires de mots de passe gratuits disponibles.

La protection contre le vol d’une machine physique ou d’une copie virtuelle de données implique une sécurité physique et un contrôle d’accès.

1. Sécurité physique: Ne laissez jamais d’ordinateurs portables sans surveillance. De nombreux employés estiment qu’un ordinateur portable d’entreprise n’est pas aussi important que le leur, car un ordinateur portable d’entreprise sera simplement remplacé en cas de perte. Cependant, les données sur un ordinateur portable d’entreprise peuvent être inestimables et, une fois perdues, elles pourraient mettre en danger l’avenir de l’entreprise. Les ordinateurs de bureau doivent être physiquement verrouillés sur quelque chose de grand. Il existe une grande variété de verrous pour ordinateur (tels que les verrous Kensington) disponibles à cette fin. Tous les disques d’ordinateurs, sur les ordinateurs portables ou autres appareils, doivent être cryptés pour rendre aussi difficile que possible pour un méchant d’en récupérer les données.
2. Contrôle d’accès: Dans la mesure du possible, les ordinateurs qui traitent les données sensibles et les périphériques de stockage doivent être conservés dans une zone restreinte. Il ne doit pas y avoir de personnel non informatique ayant un accès physique aux serveurs de stockage de fichiers, par exemple, de sorte que le serveur doit être placé dans une pièce verrouillée. Si le grand public est sur place dans le cadre des activités commerciales normales, tous les ordinateurs et périphériques de stockage inutiles doivent être retirés de la vue du public. Les voleurs peuvent voler des guichets bancaires entiers en s’écrasant à travers les murs avec un chargeur frontal. Votre zone de réception est-elle sécurisée?

Protéger les données contre les accès non autorisés

L’accès non autorisé fait référence à une personne non autorisée accédant aux données. Cela pourrait signifier un méchant qui a réussi à s’infiltrer dans le réseau, ou cela pourrait signifier qu’un employé légitime accède à des données auxquelles il n’a pas droit. Il y a deux concepts à l’œuvre ici: l’authentification et l’autorisation.

1. Authentification: L’authentification consiste à déterminer l’identité d’un utilisateur, mais n’a rien à voir avec ce que cette personne est autorisée à faire. Dans la plupart des cas, une combinaison nom d’utilisateur et mot de passe est fournie pour se connecter à un système. Le titulaire de ce nom d’utilisateur et de ce mot de passe est un employé légitime et le système doit dûment enregistrer que la personne s’est connectée.
2. Autorisation: L’autorisation a lieu après l’authentification. L’autorisation détermine si une personne authentifiée est autorisée à accéder à une ressource. Avant de déterminer si un utilisateur peut accéder à une ressource, la personne doit être authentifiée pour confirmer son identité.

Voici un exemple à illustrer: Nancy se connecte à son poste de travail et est maintenant un utilisateur authentifié. Elle envoie ensuite un document à une imprimante réseau et il s’imprime car elle est autorisée à utiliser cette imprimante. Nancy essaie alors d’accéder aux fichiers du personnel de l’entreprise et se voit refuser l’accès car elle n’est pas autorisée à consulter ces fichiers.

Solutions

Pour garantir l’efficacité des processus d’authentification et d’autorisation, chaque système informatique doit créer des journaux d’audit. Les journaux d’audit fournissent une piste pour permettre aux enquêteurs de remonter dans le temps et de voir qui s’est connecté à divers systèmes et ce qu’ils ont tenté de faire en étant connecté..

Il est également important que personne ne partage les noms d’utilisateur et les mots de passe, comme indiqué ci-dessus. Si les noms d’utilisateur et les mots de passe sont partagés entre les employés, il n’y a aucun moyen d’empêcher tout accès non autorisé ou de savoir qui a accédé à quoi. Si tout le monde utilise le même nom d’utilisateur, tout le monde est authentifié et ce nom d’utilisateur doit être autorisé à tout faire.

Idéalement, personne ne devrait utiliser le nom d’utilisateur «admin» car il est si facile à deviner.

Il est inévitable que les conversations sur le contrôle d’accès se concentrent sur la protection des méchants. Cependant, il est tout aussi important que les gentils ne soient pas exclus. Si vous vous retrouvez dans une situation où les administrateurs système ou d’autres personnes critiques sont verrouillés, cette situation peut rapidement se détériorer, tout le monde étant verrouillé et l’entreprise étant incapable de continuer..

Chaque système critique doit avoir au moins deux administrateurs ou un administrateur et au moins une autre personne compétente pour effectuer des activités de niveau administrateur si les informations d’identification sont correctes..

Atténuer les risques de perte de données

L’impact de la perte de données peut aller de «je n’ai même pas remarqué» jusqu’à «J’ai été appelé à une audience du Congrès pour témoigner». la perte de données commerciales critiques peut paralyser une entreprise et lui causer des dommages opérationnels irréparables. De plus, la perte de données peut causer de l’embarras, nuire à la réputation d’une entreprise et même affecter considérablement les cours des actions pendant des années.

Le terme «perte» est utilisé dans ce sens pour désigner des données qui ont été détruites, et non des données qui ont été violées et divulguées ailleurs. Les ordinateurs stockent les données de manière très rudimentaire en utilisant la plupart du temps des magnétiques, des puces semi-conductrices ou des «puits» laser. Chacune de ces méthodes a ses mauvais jours et les données peuvent simplement devenir brouillées et irrécupérables.

Une erreur humaine, telle que l’écrasement de fichiers importants ou le formatage accidentel d’un disque dur, peut également détruire les données pour toujours. Les ordinateurs sont également pas à l’abri des catastrophes physiques et les données ont été perdues en raison des systèmes de gicleurs d’incendie qui ont inondé les bureaux ou des surtensions électriques endommageant les disques au-delà de toute réparation.

À l’ère de la petite informatique, les gens perdent des clés USB et jettent leurs téléphones dans les toilettes quotidiennement. Dans un moment d’inattention, un seul employé peut cliquer sur un lien malveillant dans un e-mail et lancer une attaque de ransomware mondiale qui crypte irréversiblement chaque fichier.

Parfois, rien ne se passe et le lecteur de disque atteint sa fin de vie et tombe en panne. Il y a littéralement une liste sans fin de façons dont les données peuvent être détruites.

Solutions

En acceptant que la perte de données est un risque inévitable, il est logique de garantir la sauvegarde des données critiques. La création d’un plan de sauvegarde fiable était auparavant un art mystérieux que seuls les administrateurs système expérimentés pouvaient tirer. Dans des cas extrêmes, cela peut encore être vrai, mais de nos jours presque tout le monde peut acheter des sauvegardes hors site pour quelques dollars par mois. Il y a quelques questions que vous voudrez poser aux sociétés de sauvegarde potentielles, et vous voudrez également être très sûr que vos sauvegardes seront cryptées.

iDrive n’est qu’une des nombreuses options de sauvegarde et de stockage dans le cloud,

Si vos informations sont particulièrement sensibles ou si la réglementation de votre secteur n’autorise pas les sauvegardes dans le cloud, il existe d’autres alternatives.

Les sauvegardes conservées sur site peuvent être utiles pour les types d’erreur humaine qui nécessitent une solution rapide, comme la restauration d’un seul fichier. Cependant, les sauvegardes sur site ne feront pas grand-chose pour vous si le bureau est inondé, en cas d’incendie ou si les sauvegardes sont volées.

En tant que telles, les sauvegardes hors site sont un élément essentiel de tout plan de sauvegarde et bien que les services de sauvegarde dans le cloud soient le moyen le plus simple d’y parvenir, il n’y a aucune raison pour que les employés de confiance ne puissent pas emporter périodiquement des sauvegardes chiffrées à la maison. Gardez à l’esprit qu’une fois que les données quittent les lieux, elles doivent toujours être protégées, donc un cryptage fort est crucial.

Votre industrie peut également avoir des lois sur la conservation des données, ce qui signifie que vous devrez peut-être conserver les anciennes données que vous n’utilisez plus pour être conforme. Plus les données sont conservées longtemps, plus il y a de chances qu’elles soient détruites. Par conséquent, les données de conservation à long terme sont un candidat idéal pour le stockage hors site.

Protection des appareils appartenant aux employés

Une préoccupation primordiale qui complique tous les aspects de la protection des données est la prolifération des travailleurs à distance ou des travailleurs avec des appareils Bring Your Own Device (BYOD). Il peut être avantageux de permettre le travail à distance car il ouvre le bassin de talents afin que les meilleurs travailleurs puissent être embauchés. Il augmente également le nombre d’endroits où les données de l’entreprise peuvent être perdues ou compromises.

Le BYOD, et les appareils distants en général, comportent un risque de perte et de fuite de données. Les téléphones et les tablettes sont petits et nous accompagnent partout, et ils sont souvent perdus ou endommagés.

Solutions

Idéalement, les travailleurs à distance utiliseront le Virtual Network Computing (VNC) pour accéder à leurs bureaux au bureau. Même si le travailleur à distance ne se rendra jamais au bureau, autorisant l’accès uniquement VNC offre un meilleur contrôle sur ce que ce travailleur à distance peut faire.

Les serveurs VNC peuvent être configurés pour interdire les transferts de fichiers, et comme VNC ne crée pas de connexion réseau réelle comme le fait un VPN, l’ordinateur du travailleur distant n’est jamais connecté au réseau de travail. Cela peut aider à empêcher la propagation de logiciels malveillants sur le réseau du bureau si l’ordinateur du télétravailleur est infecté. Autoriser l’accès via une connexion VPN facilitera l’accès à davantage de ressources de bureau, mais présente également un risque plus élevé d’infection et de vol de données, car l’ordinateur distant partagera en fait le réseau du bureau dans une certaine mesure.

Si vous autorisez le BYOD, c’est une bonne idée d’implémenter un système de gestion des appareils mobiles (MDM) qui peut faire des choses comme effacer à distance toutes les données du téléphone et localisez le téléphone s’il a disparu.

ManageEngine Mobile Device Manager Plus est un exemple de logiciel MDM.

Il est également souhaitable d’utiliser une solution MDM qui prévoit la séparation des données. Le partage du travail et des contacts personnels dans le même carnet d’adresses, par exemple, crée un risque élevé de fuite de données car il est facile de sélectionner incorrectement un contact personnel comme destinataire et d’envoyer accidentellement des informations sensibles sur l’entreprise.

Planification de l’indisponibilité des données

Au cours des affaires, il peut arriver que le bureau ne soit pas disponible. De petits événements comme un incendie dans l’immeuble de bureaux peuvent rendre votre bureau inaccessible pendant quelques jours. Les grands événements, tels que l’ouragan Sandy en 2012, peuvent détruire des zones souterraines d’un bâtiment pendant des années.

L’exercice de planification d’événements comme celui-ci relève du concept de Business Continuity Planning (BCP). La planification du PCA tente de répondre à la question suivante: «Comment ferions-nous affaires si notre bureau / serveurs / magasin n’était pas disponible pendant une période prolongée?»

Solution

Les sauvegardes hors site peuvent jouer un rôle important dans la planification du BCP. S’il existe des sauvegardes hors site actuelles, il peut être possible pour les employés de travailler depuis leur domicile ou d’autres emplacements distants en utilisant ces données pour continuer. D’autres considérations peuvent inclure les numéros de téléphone de basculement qui peuvent être transférés aux téléphones portables des employés pour garder les téléphones ouverts.

Savoir accéder à vos données

Cela peut sembler une question stupide. Malheureusement, nous pouvons certifier par expérience que ce n’est pas le cas. De nombreuses petites entreprises se sont appuyées sur un méli-mélo de tiers pour s’occuper de leurs données au fil des ans et, dans certains cas, n’ont aucune idée de l’endroit où elles sont réellement stockées. Une partie de tout plan approprié de prévention de la perte de données consiste à savoir par où commencer vos données.

Considérez à nouveau notre site Web de commerce électronique simple. Au minimum, il présente les éléments suivants:

1. Compte de registraire: Un registraire de domaine est une entreprise qui vend des noms de domaine. Les serveurs de noms de votre domaine sont contrôlés par votre registraire de domaine. Les serveurs de noms sont un élément de contrôle essentiel de votre site Web, vous devez donc savoir qui c’est et disposer des informations d’identification du compte.
2. Compte d’hébergement: Les fichiers de votre site Web résident physiquement sur un serveur Web quelque part dans le monde. La société qui vous fournit ce service est votre hébergeur. Assurez-vous que vous savez qui est votre hébergeur et que vous disposez des informations d’identification du compte.
3. Compte email: Votre hébergeur peut ne pas être également votre hébergeur de messagerie. De nombreuses entreprises utilisent des fournisseurs de messagerie tiers tels que Google. Assurez-vous que vous savez où se trouve votre e-mail et que vous disposez des informations d’identification du compte.
4. Sauvegardes: Si vous avez déjà configuré les sauvegardes, où vont-elles? Si vous n’y avez pas accès et ne savez pas comment restaurer des fichiers, ces sauvegardes ne vous font pas beaucoup de bien.

Les mêmes types de questions doivent être posées sur tous vos systèmes de données jusqu’à ce que vous ayez une assez bonne compréhension de l’emplacement de toutes vos données. Essayer de trouver ces informations en cas d’urgence est le pire moment.

Outre le besoin pratique de connaître ces choses, votre industrie peut également réglementer les régions géographiques où vous êtes autorisé à stocker des données.

Considérations sur les données client par pays

Les données client nécessitent généralement une attention particulière. C’est une chose de perdre vos feuilles de calcul internes. Légalement, c’est tout autre chose que les données de vos clients soient volées ou utilisées de manière inappropriée. Plus de 80 pays ont une sorte de législation sur la confidentialité qui s’applique aux entreprises qui collectent des données clients. Les obligations fondamentales de la plupart de ces actes se résument à ces points:

1. Obtenir l’autorisation de collecter des données client avant de le faire.
2. Recueillir le moins d’informations possible.
3. Utilisez les données de la manière dont vous avez l’autorisation.
4. Protégez les informations contre les accès non autorisés.
5. Mettez les données à la disposition de vos clients.

Voici un aperçu très rapide de la législation générale sur l’état de la vie privée aux États-Unis, au Royaume-Uni, au Canada et en Australie. Il donne quelques indices sur le type de protection que les organisations sont censées fournir pour les données des clients, ainsi qu’un aperçu des sanctions en cas de violation..

Australie

Tout comme le Canada et le Royaume-Uni, l’Australie a une loi fédérale sur la protection de la vie privée qui porte bien son nom: Privacy Act. Il a été adopté pour la première fois en 1988 et a été modifié et élargi depuis lors. La loi est basée sur le concept de 13 principes australiens de confidentialité.

Législation

La Loi sur la protection des renseignements personnels ne couvrait initialement que le traitement des informations privées par les agences gouvernementales et les entrepreneurs gouvernementaux. Il a depuis été étendu pour couvrir également les entreprises du secteur privé.

Toutes les entreprises australiennes dont les ventes totales dépassent 3 000 000 AUD ont des obligations en vertu de la loi sur la confidentialité. Une petite liste d’entreprises telles que les entreprises liées à la santé et les entreprises financières sont également soumises à la loi, indépendamment des ventes totales..

Donner aux clients leurs informations

Le principe 12 de la Loi sur la protection des renseignements personnels porte sur «l’accès aux renseignements personnels et la correction de ceux-ci». À quelques exceptions près, une demande de renseignements personnels doit être fournie par une personne, mais il n’y a pas de délai précis pour le faire. Les demandes d’agence doivent être traitées dans les 30 jours, mais si le demandeur est une personne, la seule exigence est de «donner accès aux informations de la manière demandée par la personne, s’il est raisonnable et possible de le faire».

Sanctions

Il existe différentes sanctions en cas de violation de la Loi sur la protection des renseignements personnels, selon la gravité de la violation. Les valeurs monétaires pour les violations ne sont pas énoncées dans la Loi sur la protection des renseignements personnels. Les infractions se voient plutôt attribuer un certain nombre d’unités de sanction en fonction de la gravité de l’infraction. Les infractions graves sont affectées à 2 000 unités de peine, tandis que les infractions moins graves sont affectées à seulement 120 unités de peine..

L’article 4AA de l’Australian Crimes Act dicte la valeur d’une unité de sanction en dollars australiens et est mis à jour de temps à autre. Actuellement, une seule unité de sanction est de 210 AUD (sous réserve d’indexation), ce qui signifie que les infractions graves peuvent être de l’ordre de 420 000 AUD. En réalité, les tribunaux australiens n’exigent parfois que des excuses.

Canada

Législation

Les règles fédérales canadiennes sur la protection des données pour les entreprises sont contenues dans la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). Certaines provinces comme l’Alberta, la Colombie-Britannique et le Québec ont leurs propres lois provinciales sur la protection des données qui sont suffisamment similaires pour que la LPRPDE ne s’applique pas aux entreprises de ces provinces. Par conséquent, selon la province dans laquelle vous faites des affaires, vous devrez connaître la LPRPDE ou l’un des actes législatifs provinciaux suivants:

• Alberta: Loi sur la protection des renseignements personnels
• Colombie-Britannique: Personal Information Protection Act
• Québec: * Loi concernant la protection des renseignements personnels au
  le secteur privé*

De plus, le Canada a une Loi sur la protection des renseignements personnels distincte qui contrôle la façon dont le gouvernement fédéral doit traiter les renseignements personnels au sein des organismes gouvernementaux.

La LPRPDE oblige les organisations à obtenir leur consentement avant de recueillir des renseignements personnels. Cependant, il est intéressant de noter que la LPRPDE ne s’applique pas aux personnes qui collectent des données personnelles pour un usage personnel, ni aux organisations qui collectent des informations personnelles à des fins journalistiques..

Le Commissariat à la protection de la vie privée du Canada a un aperçu des diverses lois fédérales et provinciales canadiennes sur la protection des renseignements personnels.

Donner aux clients leurs informations

Les informations détenues par les agences fédérales peuvent être demandées en remplissant un formulaire de demande d’informations. Pour demander des informations personnelles détenues par un autre type d’organisation, contactez cette organisation. Le bureau de l’ombudsman provincial ou territorial peut vous aider.

Sanctions

Les contrevenants à la LPRPDE peuvent encourir des amendes pouvant atteindre 100 000 $ par violation pour avoir sciemment violé la loi.

Royaume-Uni

Législation

La loi fédérale sur la protection du Royaume-Uni est la bien nommée Data Protection Act. Contrairement au Canada, la loi britannique sur la protection des données s’applique de manière générale aux entreprises et aux gouvernements.

Donner aux clients leurs informations

Les citoyens britanniques ont le droit de connaître les informations dont dispose une organisation à leur sujet. Cependant, toutes les informations ne doivent pas être publiées. Les données qui ne doivent pas être publiées comprennent des informations sur:

• informations sur les enquêtes criminelles
• dossiers militaires
• les questions fiscales, ou
• nominations judiciaires et ministérielles

Les organisations peuvent également facturer de l’argent pour fournir ces informations aux gens. Le site Web du Bureau du Commissaire à l’information du Royaume-Uni peut fournir des conseils et des orientations, ainsi que mener des enquêtes sur les plaintes relatives au traitement des données..

Sanctions

La loi britannique sur la protection des données prévoit des amendes pouvant aller jusqu’à 500 000 GBP et même des poursuites en cas de violation..

États Unis

Les États-Unis sont quelque peu uniques en ce sens qu’ils ont moins de législation fédérale sur la protection de la vie privée que la plupart des autres pays. Au lieu de cela, la plupart des lois sur la confidentialité aux États-Unis sont basées sur l’industrie ou l’État. Il peut donc être difficile de découvrir les lois qui peuvent s’appliquer à une entreprise en particulier. Un bon point de départ est la page Confidentialité et sécurité de la Federal Trade Commission des États-Unis..

Législation

La loi américaine de 1974 sur la protection de la vie privée contrôle la manière dont les informations peuvent être collectées, utilisées et divulguées par les agences fédérales. Il indique en partie:

Aucune agence ne doit divulguer un dossier contenu dans un système de dossiers par quelque moyen de communication que ce soit à une personne ou à une autre agence, sauf en réponse à une demande écrite de la personne à laquelle le dossier ou avec le consentement écrit préalable de celle-ci. appartient.

La loi énumère ensuite plusieurs exceptions à cette directive. Certains d’entre eux, comme l’exemption pour «usage courant» peuvent sembler un peu larges au 21e siècle.

La majeure partie des lois américaines sur la confidentialité sont liées aux industries ou générées au niveau de l’État. Par conséquent, il est important pour une organisation d’évaluer dans quels États elle sera considérée comme opérant au sein de l’entreprise, et également s’il existe des réglementations spécifiques à l’industrie qui s’appliquent à tous les niveaux de gouvernement..

Certaines grandes lois fédérales américaines sur la confidentialité sont:

• Health Insurance Portability and Accountability Act (HIPPA): cette loi concerne l’administration des soins de santé aux États-Unis..
• Loi sur la protection de la vie privée des enfants en ligne (COPPA): cette loi traite de la collecte en ligne de données sur les enfants de moins de 13 ans aux États-Unis..
• Transactions de crédit justes et précises (FACTA): cette loi traite de l’obligation des bureaux de crédit de fournir des informations de crédit et des outils de prévention de la fraude aux citoyens américains..

Donner aux clients leurs informations

La US Privacy Act stipule que les individus ont le droit d’obtenir les informations que les organisations fédérales détiennent à leur sujet. Pour faire une demande, les gens doivent contacter l’agence concernée. Pour les entreprises privées, l’exigence pour une organisation de fournir des documents aux particuliers reposerait sur l’existence d’une législation applicable à cette industrie ou à cet État. Encore une fois, le meilleur endroit pour commencer sera probablement le site Web de la Federal Trade Commission des États-Unis..

Sanctions

La loi fédérale sur la protection des renseignements personnels contient des sanctions, mais comme la loi sur la protection des renseignements personnels ne s’applique qu’au gouvernement fédéral américain, ce n’est pas le cas pour les autres organisations. Les sanctions pour violation de la vie privée aux États-Unis dépendront de la loi qui a été violée et des sanctions qui y sont contenues.

Commentaires finaux

Le rythme auquel des pertes et des violations de données se sont produites au cours des dernières années est alarmant. La plupart de ces violations sont possibles parce que les organisations ne s’y attendent tout simplement pas. Les attaques de ransomwares à l’échelle mondiale réussissent car les employés cliquent toujours sur les liens malveillants dans les e-mails. Les entreprises perdent leur capacité de commande en ligne pendant des jours, au lieu d’heures, car elles ne savent pas qui contacter lorsque leur site Web tombe en panne. Tout cela peut être très soigneusement atténué avec le chiffrement, les sauvegardes et certaines connaissances du système.

Crédit d’image: «Internet Cyber» par Gerd Altmann sous licence CC BY 2.0