15.3.19

RSA 2019 : Protéger votre vie privée à l’ère du NIST et du RGPD



La protection de votre vie privée ne constitue plus seulement une option, mais une obligation légale dans de nombreuses régions du monde.
Pour protéger la vie privée, vous devez agir en toute sécurité. Au RSA, beaucoup d’entreprises pensent à de meilleures façons de faire les deux. Mais avec l’explosion des règlementations telles que la Règlement général sur la protection des données (RGPD) et des initiatives connexes comme la California Consumer Privacy Act (CCPA) et le nouveau cadre de protection de la vie privée du National Institute of Standards and Technology (NIST), de nombreuses entreprises ne savent même pas exactement ce qu’elles doivent protéger, ni dans quel contexte.
Par exemple, tous les renseignements ne sont pas personnels et tous les renseignements personnels ne sont pas privés. Qu’entend-on par renseignements personnels? Il n’y a pas de consensus sur toutes les normes. Voici tout de même un aperçu des travaux de nos collègues chercheurs pour vous aider à naviguer dans les eaux.
Comme l’explique Stephen Cobb, notre propre Stephen Cobb, le RGPD est à l’origine de cette croissance des législations sur la protection de la vie privée : « RGPD a établi des règles et des normes uniformes pour la protection des données personnelles concernant tous les résidents de l’UE, mais il façonne également la politique de confidentialité des données au-delà de l’Europe ; en d’autres termes, quelles que soient vos activités et où que vivent vos clients, il est de plus en plus évident que si vous ne déployez pas de bonne foi vos efforts pour protéger leurs informations personnelles sur votre système, cela expose votre organisation au risque réglementaire et à des complications juridiques éventuelles. »
L’idée d’une législation globale en matière de protection de la vie privée n’est plus seulement une affaire européenne. La Californie semble prendre les devants aux États-Unis, avec l’ACCP. Comment ce règlement fonctionnera-t-il dans le cadre plus large du droit fédéral ici aux États-Unis? Notre collègue Lysa Myers a quelques idées : « Pour l’instant, il reste à voir si ce sera le début d’une mosaïque de lois étatiques semblables à celles qui ont été adoptées en matière de notification des atteintes à la sécurité des données, ou si cela inspirera une norme fédérale cohérente. Les critiques qui discutent des projets de loi proposés dans d’autres États mentionnent déjà la nécessité et le désir d’une norme à l’échelle nationale. Tous ceux qui participent à ces débats semblent comprendre l’importance de protéger vigoureusement la vie privée, mais nous avons beaucoup appris des leçons tirées des efforts de protection antérieurs, État par État. »
En bref, l’ACCP implique que si votre entreprise recueille ou traite des renseignements personnels sur des Californiens, vous devrez tenir compte de leurs droits
·         de savoir quels renseignements personnels vous avez recueillis, acquis ou obtenus à leur sujet;
·         d’accéder, de transférer ou de supprimer les renseignements personnels que vous avez à leur sujet;
·         d’être informé si leurs renseignements personnels sont vendus ou communiqués par votre entreprise;
·         d’interdire à votre entreprise de vendre leurs renseignements personnels et de recevoir le même prix et le même service de votre entreprise et de la faire valoir à des conditions de service égales,
et ce, même si elles exercent leurs droits en matière de confidentialité. . . Même si votre entreprise n’est pas en Californie.
Mais attendez, il y a plus. J’ai assisté à une séance du RSA 2019 sur la protection de la vie privée dans le cadre du NIST – imaginé comme une approche de gestion des risques, vraiment, non prescriptive. Ce projet est en cours d’accélération et se trouve à l’état d’ébauche au moment de la rédaction du présent document. Je suis encouragé par la diffusion et l’adoption à grande échelle du cadre de cybersécurité du NIST, qui est un ensemble volontaire de pratiques normalisées sous la forme d’un outil à la disposition des petites entreprises qui ont des budgets très limités, voire inexistants, pour assurer la sécurité. Et bien que la sécurité et la protection de la vie privée soient différentes, ce cadre de protection de la vie privée découlant du NIST s’aligne idéalement sur le cadre de cybersécurité (qui n’est pas encore vraiment une condition préalable), utilisant un langage similaire et une structure souple. Il est à espérer que ce nouveau cadre aidera les entreprises qui éprouvent des difficultés avec la protection de la vie privée, en leur servant éventuellement de modèle, à surmonter certaines difficultés.
Mais rendre un cadre de protection de la vie privée compatible avec un ensemble disparate de lois locales et nationales constitue un énorme problème. De plus, il devra être interopérable avec les lois et règlements mondiaux en matière de protection de la vie privée, de sorte qu’il y a beaucoup de travail à faire. Il est difficile de s’accommoder d’une approche personnelle ou organisationnelle de la protection de la vie privée avec une approche nuancée, car il est difficile de s’y retrouver.
Le NIST vise à créer un cadre agile avec des attributs tels que :
·         un langage commun et accessible, que vos grands-parents pourraient comprendre;
·         l’adaptabilité aux organisations de toutes tailles, qui peuvent évoluer dans le contexte des lois actuelles et futures;
·         et l’évolution dans le temps pour s’adapter aux besoins des différentes organisations.
En fin de compte, ils essaient d’élaborer un cadre de gestion du risque qui est simple, mais efficace. Bref, une mission toute simple!
Parallèlement, la National Telecommunications and Information Administration – ou NTIA – examine les initiatives mondiales en matière de protection de la vie privée et tente de mettre en place une politique nationale. En d’autres mots, nous ne sommes pas au bout de la conversation au sujet de la protection de la vie privée, nous n’en avons vu que le début.
Vous voulez faire partie de la discussion? Le NIST a un atelier qui se tiendra bientôt à Georgia Tech. Vous pouvez également suivre @NISTcyber #PrivacyFramework.