La protection de votre vie privée ne constitue plus seulement une
option, mais une obligation légale dans de nombreuses régions du monde.
Pour protéger la vie privée, vous devez agir en toute sécurité. Au RSA,
beaucoup d’entreprises pensent à de meilleures façons de faire les deux. Mais
avec l’explosion des règlementations telles que la Règlement général sur la protection des données (RGPD) et
des initiatives connexes comme la California Consumer Privacy Act (CCPA) et le nouveau cadre
de protection de la vie privée du National Institute of Standards and Technology (NIST), de
nombreuses entreprises ne savent même pas exactement ce qu’elles doivent
protéger, ni dans quel contexte.
Par exemple, tous les renseignements ne sont pas personnels et tous les
renseignements personnels ne sont pas privés. Qu’entend-on par renseignements
personnels? Il n’y a pas de consensus sur toutes les normes. Voici tout de même
un aperçu des travaux de nos collègues chercheurs pour vous aider à naviguer
dans les eaux.
Comme l’explique Stephen Cobb, notre propre Stephen Cobb, le RGPD est à
l’origine de cette croissance des législations sur la protection de la vie
privée : « RGPD
a établi des règles et des normes uniformes pour la protection des données
personnelles concernant tous les résidents de l’UE, mais il façonne également
la politique de confidentialité des données au-delà de l’Europe ; en d’autres
termes, quelles que soient vos activités et où que vivent vos clients, il est
de plus en plus évident que si vous ne déployez pas de bonne foi vos efforts
pour protéger leurs informations personnelles sur votre système, cela expose
votre organisation au risque réglementaire et à des complications juridiques
éventuelles. »
L’idée d’une législation globale en matière de protection de la vie
privée n’est plus seulement une affaire européenne. La Californie semble
prendre les devants aux États-Unis, avec l’ACCP. Comment ce règlement
fonctionnera-t-il dans le cadre plus large du droit fédéral ici aux États-Unis?
Notre collègue Lysa Myers a quelques idées : « Pour l’instant, il reste à
voir si ce sera le début d’une mosaïque de lois étatiques semblables à celles
qui ont été adoptées en matière de notification des atteintes à la sécurité des
données, ou si cela inspirera une norme fédérale cohérente. Les critiques qui
discutent des projets de loi proposés dans d’autres États mentionnent déjà la
nécessité et le désir d’une norme à l’échelle nationale. Tous ceux qui
participent à ces débats semblent comprendre l’importance de protéger
vigoureusement la vie privée, mais nous avons beaucoup appris des leçons tirées
des efforts de protection antérieurs, État par État. »
En bref, l’ACCP implique que si votre entreprise recueille ou traite des
renseignements personnels sur des Californiens, vous devrez tenir compte de
leurs droits
·
de savoir
quels renseignements personnels vous avez recueillis, acquis ou obtenus à leur
sujet;
·
d’accéder,
de transférer ou de supprimer les renseignements personnels que vous avez à
leur sujet;
·
d’être
informé si leurs renseignements personnels sont vendus ou communiqués par votre
entreprise;
·
d’interdire
à votre entreprise de vendre leurs renseignements personnels et de recevoir le
même prix et le même service de votre entreprise et de la faire valoir à des
conditions de service égales,
et ce, même si elles exercent leurs droits en matière de confidentialité. . . Même si votre entreprise n’est pas en Californie.
et ce, même si elles exercent leurs droits en matière de confidentialité. . . Même si votre entreprise n’est pas en Californie.
Mais attendez, il y a plus. J’ai assisté à une séance du RSA 2019 sur la protection
de la vie privée dans le cadre du NIST – imaginé comme une approche de gestion
des risques, vraiment, non prescriptive. Ce projet est en cours d’accélération
et se trouve à l’état d’ébauche au moment de la rédaction du présent document.
Je suis encouragé par la diffusion et l’adoption à grande échelle du cadre de
cybersécurité du NIST, qui est un ensemble volontaire de pratiques normalisées
sous la forme d’un outil à la
disposition des petites entreprises qui ont des budgets très limités, voire
inexistants, pour assurer la sécurité. Et bien que la sécurité et la protection
de la vie privée soient différentes, ce cadre de protection de la vie privée
découlant du NIST s’aligne idéalement sur le cadre de cybersécurité (qui n’est
pas encore vraiment une condition préalable), utilisant un langage similaire et
une structure souple. Il est à espérer que ce nouveau cadre aidera les
entreprises qui éprouvent des difficultés avec la protection de la vie privée,
en leur servant éventuellement de modèle, à surmonter certaines difficultés.
Mais rendre un cadre de protection de la vie privée compatible avec un
ensemble disparate de lois locales et nationales constitue un énorme problème.
De plus, il devra être interopérable avec les lois et règlements mondiaux en
matière de protection de la vie privée, de sorte qu’il y a beaucoup de travail
à faire. Il est difficile de s’accommoder d’une approche personnelle ou
organisationnelle de la protection de la vie privée avec une approche nuancée,
car il est difficile de s’y retrouver.
Le NIST vise à créer un cadre agile avec des attributs tels que :
·
un langage
commun et accessible, que vos grands-parents pourraient comprendre;
·
l’adaptabilité
aux organisations de toutes tailles, qui peuvent évoluer dans le contexte des
lois actuelles et futures;
·
et
l’évolution dans le temps pour s’adapter aux besoins des différentes
organisations.
En fin de compte, ils essaient d’élaborer un cadre de gestion du risque
qui est simple, mais efficace. Bref, une mission toute simple!
Parallèlement, la National
Telecommunications and Information Administration – ou NTIA – examine les
initiatives mondiales en matière de protection de la vie privée et tente de
mettre en place une politique nationale. En d’autres mots, nous ne sommes pas
au bout de la conversation au sujet de la protection de la vie privée, nous
n’en avons vu que le début.
Vous voulez faire partie de la discussion? Le NIST a un atelier qui se
tiendra bientôt à Georgia Tech. Vous pouvez également suivre @NISTcyber #PrivacyFramework.