Confidentialité 2.0 : Comprendre les changements dans le paysage de la conformité
Table des matières:
Les progrès de l’intelligence artificielle (IA), des appareils connectés et d’autres technologies ont conduit à une explosion des données. En fait, c'est estimé que le monde crée actuellement près de 330 millions de téraoctets chaque jour.
En collectant et en utilisant ce trésor de données, les entreprises peuvent mieux comprendre et cibler leurs clients et, à terme, améliorer leurs stratégies commerciales et leurs offres de produits. Cependant, à mesure que la collecte de données augmente, les gouvernements prennent des mesures pour les protéger au moyen de nouvelles lois. Ce faisant, des questions telles que la transparence, la portabilité et la suppression des données deviennent des priorités importantes pour les entreprises modernes, l’utilisation abusive des données les exposant à de lourdes amendes et à une atteinte à leur réputation.
À mesure que le paysage technologique continue d’évoluer, les réglementations et directives en matière de protection des données changeront également.
La loi mondiale sur la protection des données évolue
Au cours des prochains mois, les entreprises peuvent s'attendre à voir des changements dans un certain nombre de réglementations mondiales sur la protection des données, notamment la Loi sur la protection des consommateurs en Californie (CCPA) aux États-Unis, le Règlement général sur la protection des données (RGPD) en Europe et la loi sur la protection des informations personnelles (PIPL) en Chine.
La California Privacy Protection Agency a lancé ce mois-ci un site web dédié où les citoyens peuvent en apprendre davantage sur leurs droits à la vie privée. Greg Clark, directeur de la gestion des produits chez OpenText Cybersecurity, s'attend à ce que l'agence continue d'augmenter le droits à la confidentialité des données des citoyens grâce à la mise en œuvre de « règles plus strictes sur l’utilisation des données personnelles et d’obligations supplémentaires pour mener des évaluations des risques et des audits de cybersécurité ».
Des changements importants en matière de confidentialité des données sont également en cours en Europe. Clark prédit que les législateurs élargiront le RGPD afin qu'il soit « plus profondément enraciné dans la protection des données, les transferts internationaux de données et l'harmonisation des mesures d'application ».
Un autre changement majeur du RGPD sera la formalisation du règlement ePrivacy (ePR), qui, selon Clark, contribuera à protéger la vie privée des individus dans le contexte des communications électroniques.
Les législateurs européens poursuivent également leur loi sur l’IA. Tim Wright, associé chez Fladgate LLP, estime que la nouvelle loi « façonnera de manière significative les lignes directrices en matière de confidentialité et les meilleures pratiques pour les systèmes d'IA, la reconnaissance faciale et les identifications numériques en Europe ». Les meilleures pratiques pour ces solutions se concentreront probablement sur le consentement, contrôles d'accès et la minimisation des données, ajoute-t-il.
Depuis sa sortie de l’UE, la Grande-Bretagne cherche à s’éloigner du RGPD en développant sa propre réglementation sur la protection des données. le roi Charles décrit les projets du gouvernement concernant un projet de loi sur la protection des données et de l'information numérique (DPDI).
Andrew Bridges, responsable DQ et gouvernance chez Sagacity, explique à ISMS.online : « Le projet de loi devrait introduire un cadre clair et convivial pour les entreprises qui intègre des éléments clés du RGPD britannique, donner aux organisations une plus grande confiance sur la manière et le moment où elles peuvent traiter les informations personnelles. , et si le consentement est requis.
La Chine a également développé un solide régime de protection des données sous la forme de la loi sur la protection des informations personnelles (PIPL), de la loi sur la sécurité des données (DS) et de la loi sur la cybersécurité (CSL). Selon Clark d'OpenText, l'objectif principal de ces lois est de protéger les droits des personnes concernées dans toute la Chine.
Mais une autre intention du gouvernement chinois dans la rédaction et l’application de ces lois est probablement d’améliorer le flux de données pour « faciliter les transferts internationaux de données, [garantir] une utilisation sûre du partage de données en général et gérer l’ensemble du cycle de vie des données, de la collecte à la destruction ». il ajoute.
Améliorer les droits des utilisateurs
Lorsqu'il s'agit de créer de nouvelles lois sur la protection des données et de faire évoluer la législation existante, les gouvernements semblent se concentrer sur des domaines tels que la transparence, la portabilité et la suppression des données.
En ce qui concerne la transparence des données, le vice-président de la protection, Alasdair Anderson, explique que les législateurs soulignent l'importance « d'informations claires et accessibles sur la manière dont les données personnelles sont utilisées ».
On attend désormais davantage des organisations qu’elles améliorent la transparence sur la façon dont elles traitent et utilisent les données. De nombreuses organisations prennent des mesures telles que la publication d'avis de confidentialité et de divulgations sur la collecte et l'utilisation des données, dans le cadre d'un « processus opérationnel continu avec des frais généraux associés », explique Anderson.
Il explique à ISMS.online que les législateurs facilitent également le déplacement de leurs données entre fournisseurs de services. Cela a amélioré l’interopérabilité entre les services et donné aux utilisateurs plus de contrôle sur leurs données. De telles tendances pourraient « entraîner une convergence des normes en matière d’échange de données, de stockage et peut-être même de protection de la vie privée », affirme Anderson.
Bien que les droits en matière de transparence et de portabilité des données aient beaucoup progressé ces derniers temps, Anderson admet que le droit à la suppression des données reste un défi important pour les entreprises matures dotées d'infrastructures et de processus distribués.
« Une exécution opérationnelle rentable ne peut être obtenue que grâce à une approche technologique avancée de la gestion des données et de la confidentialité », explique-t-il. "L'alternative, qui n'est pas rare, consiste à demander au personnel de consacrer des ressources importantes à la recherche d'informations sur les utilisateurs."
Comment les normes peuvent aider
Pour les organisations qui cherchent à assurer une conformité continue avec l’évolution des réglementations en matière de protection des données et à améliorer la sécurité des données, l’adoption d’une norme industrielle reconnue comme ISO 27701 pourrait être une bonne première étape.
Clark d'OpenText encourage les organisations à suivre la norme, car elle leur fournira « une base de référence pour une meilleure confidentialité des données ». Il le décrit comme une extension de ISO 27001 qui établit des « contrôles spécifiques » pour la protection des données personnelles.
« Cela crée un cadre commun qui contribue à garantir le respect des réglementations sur la confidentialité des données telles que le RGPD et le CCPA, en atténuant les risques liés à la gestion des données personnelles et en renforçant la confiance avec les parties prenantes externes et internes », explique-t-il.
À mesure que les menaces à la sécurité en ligne s'intensifient, mise en œuvre de la norme ISO 27701 pourrait également aider les organisations à renforcer la cybersécurité. Clark affirme que cela est possible parce que la norme ISO 27701 définit « des pratiques permettant d'identifier et d'évaluer de manière proactive les risques et les vulnérabilités ».
Ce faisant, cela pourrait aider les entreprises à réduire le risque de pertes financières, d’atteinte à la réputation et de temps d’arrêt liés aux violations de données, et à améliorer l’efficacité globale des opérations.
« La mise en œuvre de la norme ISO 27701 permet de rationaliser les procédures de traitement des données et d'optimiser la gestion des ressources pour la protection des données. Cela se traduit par des économies de coûts et une meilleure efficacité opérationnelle dans une organisation », ajoute-t-il.
Avant d'adopter la norme ISO 27701, Clark conseille aux organisations de revoir les exigences définies par la norme et d'identifier toute lacune dans leurs pratiques en matière de données. Cela leur permettra de créer une feuille de route de conformité, de repérer les synergies en matière de pratiques de cybersécurité et de tirer parti des technologies d'automatisation.
La collecte de données présente d’énormes avantages pour les entreprises, mais sans mesures de protection et politiques appropriées, elle peut également représenter un risque énorme pour l’entreprise. Pour utiliser les données de manière éthique et responsable, les entreprises doivent comprendre les risques encourus et se conformer aux réglementations du secteur. Ce qui est clair, c'est que la norme ISO 27701 rend cela beaucoup plus facile.
Libérer le succès : un guide pour la mise en œuvre de la norme ISO 27701
Nous avons créé une feuille de route pratique d'une page, divisée en cinq domaines clés, pour approcher et atteindre la norme ISO 27701 dans votre entreprise. Il n'y a aucun formulaire à remplir. Téléchargez le PDF dès aujourd'hui pour un simple coup d'envoi dans votre voyage vers une confidentialité plus efficace des données.
