La protection des données protège la confidentialité, la disponibilité et l'intégrité de vos données en adoptant diverses stratégies et processus de protection des données.
La confidentialité est cruciale pour établir des relations entre les personnes et les organisations, mais il s'agit en réalité de sauvegarder les droits fondamentaux. Une bonne stratégie peut aider à prévenir la perte, le vol ou la corruption de données et à minimiser les dommages en cas de violation ou de sinistre. Une organisation qui gère, stocke ou collecte des données sensibles doit développer une stratégie de protection des données.
La protection des données doit être prise en compte dès la phase de conception de tout système, service, produit ou processus et tout au long de sa durée de vie.
Les informations personnelles peuvent être divisées en diverses catégories, qui peuvent toutes soulever des problèmes de confidentialité. Ceux-ci sont:
Fondamentalement, les principes de protection des données aident les organisations à protéger les données et à les rendre facilement accessibles à l'individu en toutes circonstances. La protection des données fait référence à la fois aux opérations de sauvegarde des données et à la continuité des activités/reprise après sinistre (BCDR), telles que :
Les données personnelles désignent toute information pouvant concerner une personne vivante identifiable ou identifiée. Une personne peut être identifiée en rassemblant diverses informations qui, une fois collectées ensemble, constituent des données personnelles.
Voici quelques exemples de données personnelles : noms et prénoms, adresses, une adresse email identifiable (cela pourrait être firstname.lastname@company.com), les données de localisation et l'adresse IP (protocole Internet) adresse.
Les organisations s'appuient généralement sur des données personnelles pour leurs activités quotidiennes.
L'ICO déclare que :
« En soi, le nom de John Smith ne constitue pas toujours une donnée personnelle car de nombreuses personnes portent ce nom. Toutefois, lorsque le nom est combiné avec d’autres informations (telles qu’une adresse, un lieu de travail ou un numéro de téléphone), cela suffit généralement à identifier clairement une personne.
L'ICO souligne également que les noms ne sont pas nécessairement les seules informations requises pour identifier un individu :
« Ce n’est pas parce que vous ne connaissez pas le nom d’un individu que vous ne pouvez pas l’identifier. Beaucoup d’entre nous ne connaissent pas les noms de tous nos voisins, mais nous sommes néanmoins capables de les identifier.
La confidentialité des données fait référence à la manière dont les données sensibles et importantes doivent être collectées ou traitées. Informations personnelles sur la santé (PHI) et Informations personnellement identifiables (PII) sont deux exemples de données soumises aux lois sur la confidentialité des données. Cette catégorie comprend les informations financières, les dossiers médicaux, les numéros de sécurité sociale ou d'identification, les noms, les dates de naissance et les coordonnées.
Les données sensibles ne doivent être accessibles qu'aux parties autorisées. La confidentialité des données permet donc de garantir que les criminels ne peuvent pas utiliser les données de manière malveillante et de garantir que les organisations respectent les exigences réglementaires.
La majorité des utilisateurs en ligne souhaitent contrôler ou empêcher certains types de collecte de données personnelles, tout comme quelqu'un pourrait souhaiter exclure des personnes d'une conversation privée.
Les entreprises doivent faire de la confidentialité des données une priorité absolue. Le non-respect des réglementations sur la confidentialité des données peut entraîner des pertes importantes. Pensez aux poursuites judiciaires, aux sanctions financières importantes et aux dommages causés à la marque.
Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo
Tout ce que vous faites avec les données est considéré comme un traitement ; les collecter, les stocker, les enregistrer, les analyser, les combiner, les divulguer ou les supprimer, entre autres.
Toute opération sur les données est appelée traitement de données. Étant donné que les données brutes ne sont pas prêtes pour l'analyse, la business intelligence, le reporting ou l'apprentissage automatique, elles doivent être agrégées, modifiées, enrichies, filtrées et nettoyées.
Les organisations doivent traiter les données afin de créer de meilleures stratégies commerciales et améliorer leur avantage concurrentiel.
Le « pourquoi » et le « comment » les données personnelles sont traitées sont déterminés par le contrôleur de données. En fin de compte, les responsables du traitement des données sont les principaux décideurs lorsqu'il s'agit de déterminer la raison et le but de la collecte de données ainsi que la méthode et les moyens de tout traitement de données.
Les responsables du traitement des données peuvent être :
Un sous-traitant est une personne, une autorité publique, une agence ou un autre organisme qui traite des données personnelles pour le compte du responsable du traitement.
A processeur de données agit au nom du responsable du traitement et sous son autorité. Ce faisant, ils servent les intérêts du responsable du traitement plutôt que les leurs.
Dans certaines situations, une entité peut être un responsable du traitement des données, un sous-traitant ou les deux.
Les machines qui traitent des données, telles que les calculatrices ou les ordinateurs, sont considérées comme des processeurs de données. Les fournisseurs de services cloud sont également désormais classés comme sous-traitants. Un processeur de données tiers ne possède ni ne contrôle les données qu'il traite. Les données ne peuvent pas être modifiées pour changer la finalité pour laquelle elles sont utilisées. Si vous traitez des données personnelles, vous serez un sous-traitant.
Une personne physique qui fait l'objet de données personnelles particulières est appelée une ou plusieurs personnes concernées.
Il n'y a pas de une solution unique qui fonctionne pour chaque entreprise. Les réglementations en matière de protection des données ne fixent pas beaucoup de règles strictes ; ils adoptent plutôt une approche basée sur les risques, en adhérant à certains principes clés. Il est polyvalent et peut être utilisé dans diverses organisations et situations ; par conséquent, cela n’empêche pas les approches innovantes.
Cependant, cette flexibilité signifie que vous devez réfléchir – et être responsable – de la manière dont vous utilisez les informations personnelles. Il existe souvent plusieurs approches pour remplir vos obligations, selon exactement pourquoi et comment vous utilisez les données.
Vous pouvez déterminer quelles réponses conviennent le mieux à votre organisation, mais vous devez être capable de les justifier. Le principe de responsabilité de la loi sur la protection des données est un aspect essentiel.
Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo
Nous sommes économiques et rapides
Les organisations, les entreprises et le gouvernement doivent adhérer aux Loi sur la protection des données 2018 lors du traitement des informations personnelles. La loi sur la protection des données de 2018 a remplacé et mis à jour la loi sur la protection des données de 1998 et est entrée en vigueur le 25 mai 2018.
Le DPA est l'inscription par le Royaume-Uni du Règlement général sur la protection des données (plus d'informations sur le RGPD plus loin dans l'article ci-dessous) dans la loi britannique. Pour le dire simplement :
Des règles strictes appelées 'principes de protection des données» régissent la manière dont les informations personnelles sont utilisées. Les personnes impliquées dans la collecte et l’utilisation des données doivent respecter les règles strictes suivantes :
Plus les informations sont sensibles, plus la protection juridique est importante. Ces informations seront : race, origine ethnique, convictions politiques, croyances religieuses, appartenance à un syndicat, génétique, biométrie pour l'identification, état de santé et orientation sexuelle.
La série Règlement général sur la protection des données (GDPR) est la réglementation la plus stricte au monde en matière de confidentialité et de sécurité des données. Bien qu'il ait été développé et approuvé par l'Union européenne (UE), les organisations du monde entier doivent s'y conformer si elles collectent ou utilisent des données sur les résidents de l'UE.
Le RGPD est entré en vigueur le 25 mai 2018. Ceux qui ne respectent pas les normes de confidentialité et de sécurité établies par le RGPD s'exposent à des amendes importantes.
Le RGPD remplace la directive européenne sur la protection des données de 1995. Selon la nouvelle directive, les entreprises doivent être plus transparentes et offrir aux personnes concernées une plus grande protection de la vie privée. En cas de violation grave de données, l'entreprise doit en informer toutes les parties concernées ainsi que l'autorité de contrôle dans les 72 heures.
Même si le RGPD est inscrit dans la loi britannique en tant que DPA depuis sa rupture avec l'UE, le RGPD britannique et le RGPD UE sont des réglementations distinctes. Bien que les réglementations soient actuellement identiques, depuis le Brexit, le Royaume-Uni est libre de modifier la réglementation UK-GDPR si le Parlement le juge nécessaire.
Un responsable du traitement ou un sous-traitant basé en dehors du Royaume-Uni doit se conformer au RGPD britannique si son traitement concerne des personnes physiques au Royaume-Uni.
ISO 27701 est une extension de la norme ISO 27001 (plus d'informations ci-dessous), la dernière mise à jour des normes internationales de confidentialité et de gestion de l'information.
L’objectif du RGPD et de la norme ISO 27701 est d’établir des normes éthiques de confidentialité des données pour protéger les consommateurs. Ils travaillent ensemble et se complètent afin d’atteindre les mêmes objectifs.
Voici un résumé de ce qu’ils ont en commun :
Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo
Nous ne pouvons penser à aucune entreprise dont le service peut rivaliser avec ISMS.online.
Diverses lois sur la protection des données et données du monde entier se trouvent dans le tableau ci-dessous.
| Lois | Domaine de juridiction |
|---|---|
| Loi générale sur la protection des données personnelles (également connue sous le nom de LGPD et Lei Geral de Proteção de Dados Pessoais) | Bresil |
| California Consumer Privacy Act (CCPA) | La Californie |
| Loi sur la protection des renseignements personnels | Canada |
| Loi sur la protection des renseignements personnels 1988 | Australie |
| Projet de loi sur la protection des données personnelles 2019 | Inde |
| Loi chinoise sur la cybersécurité (CCSL) | La Chine |
| Loi sur la protection des renseignements personnels (PIPL) | La Chine |
| Loi sur la protection des données, 2012 | Ghana |
| Loi de 2012 sur la protection des données personnelles | Singapour |
| Loi de la République n° 10173 : Loi sur la confidentialité des données de 2012 | Philippines |
| La loi fédérale russe sur les données personnelles (n° 152-FZ) | la Russie |
| Loi sur la protection des données personnelles (PDPL) | Bahreïn |
L'article 32 du RGPD définit ce qui est requis pour garantir la sécurité des données personnelles traitement.
Le règlement vous oblige à prendre « les mesures techniques et organisationnelles appropriées pour faire face aux risques auxquels vous êtes confrontés ». Il décrit également certaines des mesures typiques à cet égard, notamment :
La norme ISO 27001 couvre également ces aspects. Vous devez effectuer évaluations approfondies des risques pour identifier les dangers auxquels votre entreprise est confrontée. C'est exactement ce que vous devez considérer comme des mesures de sécurité « appropriées » en vertu du RGPD.
Il établit des normes indiquant quand et comment mettre en œuvre le cryptage des données, ainsi que pour garantir la confidentialité et la disponibilité de vos données. Il définit également ce qui est requis en termes de « gestion de la continuité des activités » couvrant ainsi l’exigence du RGPD de mettre en œuvre des mesures de restauration et de disponibilité des données.
Si vous satisfaire et maintenir la conformité ISO 27001, vous couvrez efficacement vos exigences en matière de sécurité du traitement des données RGPD, grâce aux tests de résistance jusqu'à la formation du personnel.
Que vous commenciez tout juste à vous intéresser à la confidentialité des données ou que vous soyez un expert cherchant à combiner plusieurs réglementations et normes, nos fonctionnalités sont simples à utiliser. Vous arriverez immédiatement là où vous voulez être.
Notre Solution PIMS simplifie le mappage des données. Il est simple d'enregistrer et de réviser tout cela et d'ajouter les détails de votre organisation à notre outil dynamique préconfiguré d'enregistrement des activités de traitement.
Un efficace Le PIMS nécessite une gestion des risques. Pour vous aider à chaque phase de évaluation et gestion des risques, nous avons créé une banque de risques intégrée et d'autres outils pratiques.
Que vous travailliez sur des normes ou des réglementations sur la confidentialité des données, vous devez démontrer votre capacité à gérer les demandes de droits des personnes concernées (DRR). Notre espace DRR sécurisé conserve tout au même endroit, vous aidant à créer des rapports et à obtenir des informations automatiquement.
En savoir plus par réserver une démo pratique.
Réservez une séance pratique sur mesure
en fonction de vos besoins et de vos objectifs
Réservez votre démo
