Article
Qu'est-ce que la conformité des données ?
Quels que soient leur taille, leur secteur d'activité ou leur situation géographique, toutes les organisations ou presque doivent veiller à la conformité des données. Omniprésentes, les obligations de conformité sont constamment formulées et appliquées par les pouvoirs publics, dans le monde du travail et les groupes internes. Il est impératif que les entreprises aient conscience de leurs responsabilités à cet égard, sous peine de lourdes sanctions.
Définition de la conformité des données
Assurer la conformité des données suppose de tenir compte des lois, réglementations et normes sectorielles et internes et de les respecter. En règle générale, les références à la conformité des données portent sur la confidentialité des données numériques et la sécurité.
Pour garantir la confidentialité, la protection et la disponibilité des données - et répondre à la plupart des obligations de conformité des données - les organisations doivent mettre en œuvre des technologies, des processus et des protocoles.
L'objectif premier est d'empêcher la compromission, la perte, l'utilisation abusive ou le vol de données.
Nombreuses sont les entreprises qui s'appuient sur des systèmes de gouvernance des données pour définir des règles et des procédures de traitement des données, notamment en ce qui concerne la collecte, le stockage et l'utilisation. Cette structure permet aussi de simplifier la l'ensemble de la gestion des données.
Du point de vue des sujets des données, il y a plusieurs autres raisons qui justifient la conformité des données. En particulier, le fait que les diverses lois, réglementations et normes :
- Définissent comment les informations des particuliers peuvent être utilisées ;
- Limitent la durée de conservation des données à caractère personnel ;
- Protègent les droits à la vie privée des personnes ;
- Fixent des paramètres pour garantir et prouver le consentement des particuliers à la collecte, à la conservation et à l'utilisation de leurs informations personnelles.
Quelles sont les normes de conformité des données ?
Les normes de conformité des données sont des orientations et des cadres que les entreprises peuvent adopter et utiliser pour se conformer aux lois et règles strictes qui régissent la sécurité numérique et la protection de la vie privée. Voici quatre normes applicables à diverses situations.
Les objectifs de contrôle de l'information et des technologies associées (COBIT)
Créés par l'association professionnelle internationale ISACA (Information Systems Audit and Control Association), les COBIT (Control Objectives for Information and related Technology) sont un cadre de conformité des données couramment utilisé, représenté en France par l’Association française de l'audit et du conseil informatiques (AFAI). Il sert à guider la gestion informatique, la gouvernance et la sécurité relatives à la conformité des données.
ISO/IEC 27001
Mise au point par l'Organisation internationale de normalisation en partenariat avec la Commission électrotechnique internationale, la certification ISO/IEC 27001 est une norme qui détaille les exigences relatives à l'établissement, à la mise en œuvre, au maintien et au contrôle des systèmes de gestion de la sécurité de l'information pour qu'ils offrent une protection optimale des ressources numériques. Elle est couramment utilisée pour encadrer les initiatives de mise en conformité des données.
NIST SP 800-53
Créé par le National Institute of Standards and Technology (NIST, une agence fédérale non réglementaire relevant du département du Commerce des États-Unis, l'ensemble de standards NIST SP 800-53 a été mis au point pour les organismes publics, bien que le secteur privé l'utilise couramment. Il offre des normes et un cadre à l'évaluation des contrôles de sécurité et de confidentialité dans les systèmes d'information et les institutions, et sert couramment à garantir la conformité des données.
La norme de sécurité numérique de l'industrie des cartes de paiement (PCI DSS)
La norme PCI DSS (Payment Card Industry Digital Security Standard) a été créée par cinq grandes sociétés de cartes de crédit - American Express, Discover, JCB, Mastercard et Visa - lesquelles forment le Conseil des normes de sécurité de l'industrie des cartes de paiement (Payment Card Industry Security Standards Council, PCI SSC). La norme de conformité des données PCI DSS détaille les règles et procédures visant à protéger les données sensibles et à minimiser les risques de fraude liés aux informations des cartes de paiement.
Pourquoi la conformité des données est importante
Outre qu'ils évitent les sanctions en cas d'irrégularités, les investissements dans la conformité des données offrent de nombreux avantages pratiques. À un haut niveau, ils permettent aux entreprises :
- De prouver qu'elle observe des pratiques de traitement des données résolument éthiques ;
- De favoriser la rentabilité, en cultivant et en protégeant la qualité des données ;
- De veiller à ce que les données soient non seulement sûres et sécurisées, mais également à jour, exactes et accessibles ;
- De favoriser la fidélité des clients en leur montrant qu'elle accorde la priorité à la protection de la vie privée et à la sécurité des données des consommateurs ;
- D'augmenter l'efficience, en éliminant les pertes de temps liées aux erreurs et aux incohérences dans les données ;
- D'accroître la satisfaction des salariés, en se montrant déterminée à protéger les informations sensibles ;
- De se tenir au courant de l'évolution des réglementations ;
- De réduire les erreurs en aval dues aux données erronées ou compromises par des falsifications ou des erreurs ;
- De réduire le temps et l'argent consacrés à l'identification et à la correction des problèmes de qualité des données suite à un audit défavorable ;
- De simplifier le déroulement des audits.
L'importance de la conformité des données ressort d'autant plus lorsque l'on constate ses avantages.
Elle évite les conséquences d'une non-conformité
Le non-respect des législations peut être lourd de conséquences. Il expose notamment à des amendes et des sanctions qui peuvent gêner le bon fonctionnement de l'entreprise et nuire à la réputation de la marque.
Elle incite à mettre en œuvre des systèmes et des processus qui améliorent la gestion des données
Les nombreuses réglementations et lois imposent des processus de gestion de données de qualité. Par exemple, certaines obligent les organisations à établir et à respecter des règles pour la collecte, la conservation et l'élimination des données, et régissant leur accessibilité. Pour cela, elles doivent suivre des pratiques homologuées de stockage, d'organisation et de gestion des données.
Elle favorise et renforce la fidélité à la marque
La conformité des données renforce la confiance et la fidélité des clients, des partenaires et des organisations comparables à l'égard d'une entreprise. Face à la multiplication des violations de données et autres cyber-incidents, une entreprise qui dispose d'un solide programme de conformité des données témoigne du sérieux avec lequel elel traite les données, en privilégiant une utilisation et leur protection dignes de ce nom. À défaut, il en résulte une perte de confiance de la part des clients.
Au lendemain d'une violation de données, les entreprises constatent que leurs clients sont partis chez des concurrents, jugés mieux armés pour protéger leurs informations personnelles.
Elle permet d'attirer et de retenir des collaborateurs de talent
Les meilleurs employés aspirent à faire partie d'une entreprise reconnue comme leader dans sa catégorie. Pour cela, il est essentiel qu'elle garde une longueur d'avance sur les cyberattaques, notamment sur les violations de données particulièrement visibles et préjudiciables. Elle doit également démontrer qu'elle entend respecter la confidentialité et la sécurité des données sensibles des utilisateurs, en les protégeant comme il se doit.
Elle renforce la protection des données
Pour pouvoir respecter la plupart des législations, les entreprises doivent mettre en œuvre des solutions, protocoles et processus qui garantissent la sécurité des données. Ceci les pousse généralement à rechercher et à suivre les pratiques homologuées de confidentialité et de sécurité des données. La protection globale des données s'en trouve ainsi renforcée.
Conformité des données et conformité de la sécurité des données
Conformité des données | Conformité de la sécurité des données |
---|---|
Les obligations de conformité des données donnent lieu à des orientations découlant des lois, des règles et des normes édictées par le secteur ou à des politiques internes sur la manière dont les données doivent être traitées, protégées et stockées. Elles visent à garantir que les entreprises protègent les données sensibles et la vie privée des particuliers. La conformité des données s'inscrit dans un vaste champ d'application qui englobe les règles juridiques et réglementaires relatives au traitement et à la gestion des données. Elle définit les règles de gouvernance tout au long du cycle de vie des données. La conformité des données comprend notamment les éléments suivants : - Des documents d'orientation - Des ensembles de règles - Des cadres réglementaires - Risques - Des normes | Les législations sur la conformité de la sécurité des données relèvent de la conformité des données. Elles sont axées en particulier sur la prévention de l'accès illégal, la modification, la destruction ou la divulgation des données tout au long de leur cycle de vie. Cela suppose de mettre en place un minimum de garde-fous (par exemple, des processus, des règlements et des technologies) pour protéger les données contre des menaces comme les cybercriminels, les logiciels malveillants, le harponnage, les ransomwares, le vol physique et la perte involontaire. Assurer la conformité de la sécurité des données consiste d'une part à déterminer comment protéger les données contre la perte et l'accès non autorisé ; et d'autres part à orienter les mesures et normes appliquées pour garantir la sécurité des données. Nous indiquons ci-dessous certains aspects de conformité de la sécurité des données : - Contrôles physiques - Systèmes de sécurité informatique - Contrôles de l'authentification - Contrôles d'accès au réseau - Processus de sécurité |
L'impact de la conformité des données sur l'entreprise
La conformité des données est obligatoire pour la quasi-totalité des entreprises. Il est capital de se soumettre à ces obligations, non seulement pour éviter les sanctions financières, mais aussi pour protéger leurs ressources numériques.
Maintenir la sécurité et la confidentialité des données est d'une importance cruciale pour tous les aspects des activités de l'entreprise et pour préserver l'intégrité de sa réputation. Sans conformité des données, les entreprises risquent la perte ou le vol de données, des accès non autorisés et d'autres atteintes à l'intégrité, à la disponibilité et à l'exploitabilité des ressources de données.
Conformité des données et réglementations
Les lois et réglementations relatives à la conformité des données sont en place pour protéger le droit des clients à la confidentialité, à la sécurité, à l'exactitude et à l'accessibilité des données. Toutes contraignent à faire appliquer des mesures de sécurité et de protection de la vie privée. La plupart comportent des directives communes. Et notamment :
- Des journaux d'audit doivent être tenus à jour pour documenter la manière dont les informations sont utilisées, partagées et stockées ;
- La confidentialité, l'intégrité et l'accessibilité des données doivent être maintenues ;
- Des détails sur les violations de données doivent être communiqués aux autorités compétentes et à tous les utilisateurs touchés ;
- Un chiffrement doit être utilisé pour protéger les données sensibles, y compris les informations contenues dans les emails et autres moyens de communication ;
- Les données des utilisateurs ne doivent jamais être collectées ou traitées sans leur autorisation expresse.
Voici quelques-unes des principales lois et réglementations qui obligent à appliquer des programmes de conformité des données.
Lois fédérales américaines
- La loi FISMA (Federal Information Security Management Act, loi fédérale sur la gestion de la sécurité de l'information)
- La loi FTC (Federal Trade Commission, FTC, Act, loi fédérale sur la Commission du commerce)
- La loi GLB, (Gramm-Leach-Bliley Act)
- La loi HIPAA (Health Insurance Portability and Accountability Act, sur la transférabilité et la responsabilité des assurances maladie)
- La loi SOX (Sarbanes-Oxley Act)
Lois internationales
- Le cadre de protection de la vie privée de la Coopération économique Asie-Pacifique (Asia-Pacific Economic Cooperation, APEC)
- La directive « Vie privée et communications électroniques » de l'Union européenne (UE)
- Le règlement général sur la protection des données (RGPD)
- La loi sur les données personnelles et la « protection de la vie privée dès la conception » de l'IAPP (International Association of Privacy Professionals)
- Les directives de l'Organisation de coopération et de développement économiques (OCDE) pour la protection des données personnelles
Lois sur la protection de la vie privée
- Loi CCPA (California Consumer Privacy Act, loi californienne sur la protection de la vie privée des consommateurs)
- La loi CPA (Colorado Privacy Act, loi du Colorado sur la protection de la vie privée)
- La loi sur la protection de la vie privée de 1974 (Privacy Act of 1974)
- La loi UCPA (Utah Consumer Privacy Act, loi de l'Utah sur la protection de la vie privée des consommateurs)
- La loi CDPA (Virginia Consumer Data Protection Act, loi de la Virginie sur la protection des données des consommateurs )
Réglementations
- Federal Risk and Authorization Management Program (FedRAMP)
- Le programme FedRAMP donne des orientations uniformlisées permettant aux agences fédérales et au secteur privé d'évaluer les cybermenaces et les risques pesant sur les données dans les plates-formes d'infrastructure technologique.
Méthodes et outils pour assurer la conformité des données
Les meilleures méthodes reposent sur des pratiques éprouvées. Voici un aperçu de celles qui sont le plus répandues.
- Passer régulièrement en revue et vérifier la sécurité des données afin d'identifier les vulnérabilités ;
- Créer des protocoles et des procédures pour la collecte, le stockage et l'utilisation des données ;
- Rédiger, mettre en œuvre et faire appliquer des règles de collecte, de stockage et de gestion des données ;
- Documenter les pratiques de gestion des données de l'organisation ;.
- Former les utilisateurs à la manière de traiter les données et à l'importance de la confidentialité et de la sécurité des données ;
- Connaître les catégories de données correspondant à celles que l'entreprise recueille et utilise ;
- Utiliser des outils éprouvés de protection des données pour le contrôle des accès, le chiffrement, la sauvegarde des données et les plans de reprise après sinistre ;
- Passer au crible tous les fournisseurs ayant accès aux données de l'entreprise et continuer à les surveiller ;
Outils de sécurité pour garantir la conformité des données
De nombreux outils peuvent garantir le respect de ces pratiques. Chaque entreprise choisit ceux qui répondent le mieux à ses besoins. Les outils suivants illustrent les types de solutions utilisées :
Les solutions d'audit de la conformité, telles que :
- Les systèmes de gestion de la conformité
- Les logiciels de gestion du consentement
- Les solutions de demande d'accès aux données des personnes concernées (DSAR)
- Les solutions de gouvernance, risques et conformité (GRC)
Les solutions de sécurité et de confidentialité des données, telles que :
- Les contrôles des accès
- Les logiciels anti-programmes malveillants
- Les antivirus
- L'authentification
- Les systèmes de sauvegarde et de récupération
- Les outils de détection et de classification des données
- Les solutions de prévention des pertes de données (DLP)
- Les systèmes de surveillance des employés
- Le chiffrement
- Pare-feu
- La réaction aux incidents
- Les sytèmes de détection des intrusions (IDS)
- Les systèmes de prévention des intrusions (IPS)
- Les systèmes de surveillance du réseau
- Les solutions de gestion des informations et des événements de sécurité (SIEM)
- Les solutions d'analyse du comportement des utilisateurs et des entités (UEBA)
Questions fréquentes sur la conformité des données
Qu'est-ce qu'un programme de conformité des données ?
Un programme de conformité des données associe des professionnels, des processus et des technologies pour permettre aux entreprises de répondre aux obligations de sécurité, de confidentialité et de disponibilité des données stipulées par les lois, les réglementations et les normes sectorielles et internes, en empêchant la mise en danger, la perte, le détournement ou le vol des données.
Quels sont les défis courants posés par la conformité des données ?
Voici quelques-uns des défis souvent cités :
- Concilier les obligations et la nécessité de rendre les informations accessibles aux utilisateurs décentralisés ;
- Garantir qu'un volume croissant d'informations bénéficie de la protection requise pour les données et que les règles relatives à la collecte, au stockage, à la gestion et à l'utilisation des données soient respectées ;
- Rester au fait des menaces de cybersécurité de plus en plus sophistiquées et s'en protéger ;
- Se tenir constamment informé d'obligations toujours changeantes et y répondre ;
- Comprendre quelles sont les règles applicables ;
Pourquoi les entreprises ont-elles besoin d'un programme de conformité des données ?
Voici les nombreuses raisons pour lesquelles les entreprises devraient mettre en place un tel programme:
- Il renforce la réputation des entreprises qui font le choix de privilégier la protection des informations sensibles ;
- Il élimine la perte de productivité due à la réaffectation des ressources pour corriger des erreurs et incohérences dans les données ;
- Il renforce la qualité des données ;
- Il facilite et accélère les processus d'audit ;
- Il oriente la mise en œuvre des mesures techniques et administratives de protection des données ;
- Il permet aux entreprises de suivre l'évolution des réglementations ;
- Il améliore la gestion des données et leur sécurité ;
- Il permet de garantir que les données sont exactes et accessibles ;
- Il réduit les risques de non-conformité ;
Qu'est-ce qu'un cadre de conformité des données ?
Un cadre de conformité des données donne des indications sur la manière dont une entreprise peut se conformer aux obligations des différentes lois et réglementations. Il donne des conseils sur les technologies spécifiques à utiliser pour respecter les directives de conformité.
Parmi les éléments techniques que l'on retrouve couramment dans un tel cadre, citons :
- Le contrôle des accès
- L'authentification
- Le chiffrement
- La réaction aux incidents
- La surveillance
- La défense du périmètre
- La gestion des risques
La conformité des données nécessite un effort continu
Assurer la conformité des données ne se fait pas en un claquement de doigts. Au contraire, elle demande un effort soutenu, considéré comme une priorité à tous les niveaux de l'entreprise. Cela exige d'adopter, dans tous les domaines fonctionnels, une vision globale et la mise en place de procédures et de règles intégrant la conformité des données dans le traitement des données.
Si la tâche de mise en conformité des données semble d'emblée aussi vaste que complexe, il existe toutes sortes d'outils la mener à bien. Investir dans des technologies adaptées permet aux entreprises de s'assurer qu'elles respectent les obligations, d'augmenter l'adoption des règles connexes et de simplifier les opérations concernées.