Technology

À mesure que les lois sur la confidentialité des données se développent, les entreprises doivent utiliser des méthodes de protection

Nous sommes ravis de ramener Transform 2022 en personne le 19 juillet et virtuellement du 20 au 28 juillet. Rejoignez les leaders de l’IA et des données pour des discussions approfondies et des opportunités de réseautage passionnantes. Inscrivez-vous aujourd’hui!


La protection des données est un défi pour de nombreuses entreprises car les États-Unis ne disposent pas actuellement d’une loi nationale sur la confidentialité – comme le RGPD de l’UE – qui décrit explicitement les moyens de protection. En l’absence d’un référendum fédéral, plusieurs États ont signé des mesures complètes de confidentialité des données dans la loi. La California Privacy Rights Act (CPRA) remplacera la loi actuelle sur la confidentialité de l’État et entrera en vigueur le 1er janvier 2023, tout comme la Virginia Consumer Data Protection Act (VCDPA). Le Colorado Privacy Act (CPA) entrera en vigueur le 1er juillet 2023, tandis que le Utah Consumer Privacy Act (UCPA) entrera en vigueur le 31 décembre 2023.

Pour les entreprises faisant des affaires en Californie, en Virginie, au Colorado et en Utah* — ou dans toute combinaison des quatre — il est essentiel qu’elles comprennent les nuances des lois pour s’assurer qu’elles respectent les exigences de protection et maintiennent la conformité à tout moment.

Comprendre comment les lois sur la confidentialité des données se recoupent est un défi

Alors que l’esprit des lois sur la confidentialité des données de ces quatre États est de parvenir à une protection des données plus complète, il existe des nuances importantes que les organisations doivent trier pour assurer la conformité. Par exemple, l’Utah n’exige pas que les entreprises couvertes effectuent des évaluations de la protection des données – des audits sur la façon dont une entreprise protège les données pour déterminer les risques potentiels. La Virginie, la Californie et le Colorado exigent des évaluations, mais les raisons pour lesquelles une entreprise peut avoir à en subir une varient.

Virginia exige que les entreprises se soumettent à des évaluations de la protection des données pour traiter les données personnelles à des fins de publicité, de vente de données personnelles, de traitement de données sensibles ou de traitement à des fins de profilage des consommateurs. La VCDPA rend également obligatoire une évaluation des « activités de traitement impliquant des données personnelles qui présentent un risque accru de préjudice pour les consommateurs ». Cependant, la loi ne définit pas explicitement ce qu’elle considère comme un « risque accru ». Le Colorado exige des évaluations comme la Virginie, mais exclut le profilage comme motif de telles évaluations.

De même, la CPRA exige des évaluations annuelles de la protection des données pour les activités qui présentent des risques importants pour les consommateurs, mais ne précise pas ce qui constitue des risques « importants ». Cette définition sera établie par le biais d’un processus d’élaboration de règles via la California Privacy Protection Agency (CPPA).

Les lois des États présentent également des écarts liés à la question de savoir si une évaluation de la protection des données requise par une loi est transférable à une autre. Par exemple, supposons qu’une organisation doive adhérer à la VCDPA et à une autre loi nationale sur la confidentialité. Si cette entreprise subit une évaluation de la protection des données avec des exigences similaires ou plus strictes, VCDPA reconnaîtra l’autre évaluation comme satisfaisant à ses exigences. Cependant, les entreprises sous le CPA n’ont pas ce luxe – le Colorado ne reconnaît que ses exigences d’évaluation pour se conformer à la conformité.

Un autre domaine où les lois diffèrent est la façon dont chacune définit les données sensibles. La définition de l’ACPL est vaste et comprend un sous-ensemble appelé renseignements personnels sensibles. Le VCDPA et le CPA sont plus similaires et ont moins de catégories de données sensibles. Cependant, leurs approches des données sensibles ne sont pas identiques. Par exemple, l’ACP considère les informations sur la vie sexuelle et les conditions de santé mentale et physique d’un consommateur comme des données sensibles, contrairement à la VCDPA. À l’inverse, la Virginie considère les informations de géolocalisation d’un consommateur comme des données sensibles, contrairement au Colorado. Une entreprise qui doit respecter chaque loi devra déterminer quelles données sont jugées sensibles pour chaque État dans lequel elle opère.

Il existe également des écarts dans les quatre lois sur la protection de la vie privée liées à l’élaboration de règles. Dans le Colorado et l’Utah, l’élaboration des règles sera à la discrétion du procureur général. Virginia formera un conseil composé de représentants du gouvernement, d’hommes d’affaires et d’experts en matière de protection de la vie privée pour traiter de l’élaboration des règles. La Californie s’engagera dans l’élaboration de règles par le biais du CPPA.

Ce qui précède ne représente que quelques écarts entre les quatre lois – il y en a plus. Ce qui est clair, c’est que le maintien de la conformité à plusieurs lois sera difficile pour la plupart des organisations, mais il existe des mesures claires que les entreprises peuvent prendre pour réduire la complexité.

Surmonter l’ambiguïté grâce à une protection proactive de la confidentialité des données

En l’absence d’une loi nationale sur la protection de la vie privée servant de base aux attentes en matière de protection des données, il est important que les organisations qui opèrent dans le cadre de plusieurs lois nationales sur la protection de la vie privée prennent les mesures appropriées pour garantir la sécurité des données, quelles que soient les réglementations. Voici cinq conseils.

Il est essentiel d’avoir quelqu’un dans le personnel ou pour servir de consultant qui comprend les lois sur la protection de la vie privée et peut guider une organisation tout au long du processus. En plus de l’expertise en matière de conformité, des conseils juridiques seront indispensables pour vous aider à naviguer dans tous les aspects des nouvelles politiques.

Identifier les risques liés aux données

À partir du moment où une entreprise crée ou reçoit des données d’une source extérieure, les organisations doivent d’abord déterminer son risque en fonction du niveau de sensibilité. La détermination initiale jette les bases des moyens par lesquels les organisations protègent les données. En règle générale, plus les données sont sensibles, plus les méthodes de protection doivent être strictes.

Créer des politiques de protection des données

Chaque organisation doit avoir des politiques claires et applicables sur la façon dont elle protégera les données. Ces politiques sont fondées sur divers facteurs, y compris les mandats réglementaires. Cependant, les politiques doivent tenter de protéger les données d’une manière qui dépasse les mandats de conformité, car les réglementations sont souvent modifiées pour exiger une protection plus stricte. Cela permet aux organisations de maintenir la conformité et de garder une longueur d’avance.

Intégrer la protection des données dans le pipeline d’analyse

Le pipeline d’analyse de données est construit dans le cloud, où les données brutes sont converties en informations commerciales utilisables et très précieuses. Pour des raisons de conformité, les entreprises doivent protéger les données tout au long de leur cycle de vie dans le pipeline. Cela implique que les données sensibles doivent être transformées dès qu’elles entrent dans le pipeline et restent ensuite dans un état anonymisé. Le pipeline d’analyse de données est une cible pour les cybercriminels car, traditionnellement, les données ne peuvent être traitées qu’au fur et à mesure qu’elles progressent en clair. L’utilisation des meilleures méthodes de protection de leur catégorie, telles que le masquage des données, la tokenisation et le chiffrement, fait partie intégrante de la sécurisation des données lorsqu’elles entrent dans le pipeline et de la prévention de l’exposition qui peut mettre les organisations en situation de non-conformité ou pire.

Implémenter le calcul de la confidentialité

Les organisations tirent une valeur considérable des données en les traitant avec des outils d’analyse de pointe facilement disponibles dans le cloud. Les techniques de calcul améliorant la confidentialité (PEC) permettent de traiter ces données sans les exposer en clair. Cela permet des cas d’utilisation avancés où les processeurs de données peuvent regrouper des données provenant de plusieurs sources pour obtenir des informations plus approfondies.

L’adage « Une once de prévention vaut mieux que guérir » est sans aucun doute valable pour la protection des données, en particulier lorsque la protection est liée au maintien de la conformité. Pour les organisations qui relèvent des lois à venir sur la confidentialité des données, la clé de la conformité consiste à créer un environnement dans lequel les méthodes de protection des données sont plus strictes que ne l’exige la loi. Tout travail effectué maintenant pour gérer la complexité de la conformité ne profitera qu’à une organisation à long terme.

*Depuis la rédaction de cet article, le Connecticut est devenu le cinquième État à adopter une loi sur la confidentialité des données des consommateurs.

Ameesh Divatia est le co-fondateur et PDG de chicanes

DataDecisionMakers

Bienvenue dans la communauté VentureBeat !

DataDecisionMakers est l’endroit où les experts, y compris les techniciens travaillant sur les données, peuvent partager des informations et des innovations liées aux données.

Si vous souhaitez en savoir plus sur les idées de pointe et les informations à jour, les meilleures pratiques et l’avenir des données et de la technologie des données, rejoignez-nous sur DataDecisionMakers.

Vous pourriez même envisager de rédiger votre propre article !

En savoir plus sur DataDecisionMakers

Leave a Reply

Your email address will not be published.