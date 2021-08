Les recherches de Gartner suggèrent que, d’ici 2023, plus de 60% de la population mondiale sera couverte par une forme de législation sur la protection des données personnelles. Du RGPD à CalPRA, les réglementations en matière de confidentialité sont en augmentation.

Ces régimes de conformité visent à protéger les droits d’un utilisateur sur ses données, ce qui, en pratique, signifie que les entreprises doivent mettre en œuvre des approches plus efficaces en matière de sécurité. Voici à quoi ressemble le paysage actuel de la conformité PII et comment les entreprises peuvent prendre des mesures concrètes pour mettre en œuvre les meilleures pratiques de conformité PII.

Qu’est-ce que la conformité PII ?

PII est synonyme d’informations personnellement identifiables, toutes les données qui peuvent être utilisées pour identifier une personne spécifique. Les formes les plus courantes de PII incluent des éléments tels que les numéros de sécurité sociale, les adresses e-mail et les numéros de téléphone. Les PII peuvent également faire référence à des identifiants numériques, tels que des données biométriques, une géolocalisation, des identifiants d’utilisateur et une adresse IP.

La conformité PII est un écosystème complexe. Contrairement aux informations de santé protégées (PHI), qui sont principalement régies par la HIPAA, il existe un réseau de réglementations dans le monde entier qui visent à faire respecter la conformité PII.

Aux États-Unis, le Guide to Protecting the Confidentiality of Personally Identifiable Information du National Institute of Standards and Technology (NIST) définit « personnellement identifiable » comme des informations telles que le nom, le numéro de sécurité sociale et les enregistrements biométriques, qui peuvent être utilisés pour distinguer ou tracer un l’identité de l’individu.

L’UE s’appuie sur le règlement général sur la protection des données (RGPD), qui vise à protéger la vie privée des consommateurs en obligeant les entreprises à être transparentes sur les données qu’elles collectent, à réglementer la façon dont les entreprises traitent les données et à améliorer le signalement des violations de données.

En Australie, le Privacy Act 1988 définit les « informations personnelles » comme des informations ou une opinion, vraie ou non, sur un individu dont l’identité est apparente ou peut raisonnablement être vérifiée, une définition beaucoup plus large que dans la plupart des autres pays.

Ce ne sont là que quelques-unes des normes de conformité PII existantes dans le monde. De nouvelles lois entrent en vigueur chaque année, comme la California Privacy Rights Act et la California Consumer Privacy Act.

De toute évidence, la protection des informations personnelles est une priorité absolue pour les gouvernements et les consommateurs. Comment votre entreprise peut-elle respecter les normes de conformité PII ?

Classification des données PII : PII sensibles et PII non sensibles

Tout d’abord, il est important de faire la différence entre les informations personnelles sensibles et les informations personnelles non sensibles. Cette distinction vous aide à hiérarchiser vos outils et processus de sécurité pour vous assurer que vous respectez les normes minimales de conformité PII.

Selon Experian, les informations personnelles sensibles font référence à toute information qui a des « exigences légales, contractuelles ou éthiques en matière de divulgation restreinte ». Cela inclut des éléments tels que les numéros de sécurité sociale, les informations de passeport, les coordonnées bancaires ou un numéro de carte de crédit et les dossiers médicaux couverts par HIPAA.

Les informations personnelles non sensibles sont toutes les informations qui peuvent être trouvées dans les archives publiques, telles que dans un annuaire téléphonique ou dans un annuaire en ligne comme LinkedIn. Les informations personnelles non sensibles incluent des éléments tels que la date de naissance, l’adresse, la religion, l’origine ethnique ou un numéro de téléphone professionnel.

La conformité PII nécessite de protéger les deux types de données PII. Les données sensibles, pour des raisons évidentes, doivent être cryptées en raison des dommages potentiels qui pourraient en résulter si les informations étaient compromises. Les données non sensibles sont moins risquées ; mais, lorsqu’elles sont combinées avec des données sensibles, ces informations personnelles peuvent toujours être utilisées pour commettre une fraude ou un vol d’identité.

Pour cette raison, il est important d’inclure à la fois des données sensibles et non sensibles dans vos mesures de conformité PII.

Liste de contrôle de conformité PII

Étant donné que les réglementations de conformité PII varient dans le monde entier, vous devez vérifier auprès d’un expert en sécurité informatique ou d’un avocat pour savoir si vos mesures de sécurité sont conformes aux réglementations. Néanmoins, suivre ces étapes de conformité PII vous aidera à répondre à la plupart des exigences minimales de conformité PII.

Étape 1 : Identifier et classer les PII

Tout d’abord, déterminez les informations personnelles que votre organisation collecte et où elles sont stockées. Déterminez quelle définition de PII s’applique à votre secteur ou à votre emplacement particulier. Par exemple, si vous opérez en Californie, vous devrez utiliser la définition PII dans le CCPA.

Une fois que vous avez une idée claire des types de PII que vous devez protéger, découvrez où ces données sont stockées. Cela inclut la visibilité sur vos données au repos, les données en mouvement et les données en cours d’utilisation. Quels protocoles de sécurité sont déjà en place pour sécuriser les données dans chacune de ces phases ?

Étape 2 : Créer une stratégie PII

Ensuite, créez une politique PII qui régit le travail avec les données personnelles. Le RGPD propose six principes fondamentaux pour le traitement des données. Même si vous n’êtes pas régi par la réglementation GDPR, ces principes offrent une bonne base pour créer votre propre politique PII. Ces principes stipulent que le traitement des informations personnelles doit :

Être licite, transparent et juste Être à des fins commerciales essentielles uniquement Utiliser le moins d’informations personnelles possible Être précis et opportun Terminer dans un délai raisonnable Garantir l’intégrité et la confidentialité

Assurez-vous que votre politique PII définit qui peut accéder aux PII, ainsi que les manières (limitées) acceptables selon lesquelles les PII peuvent être utilisées à des fins commerciales. Cette politique doit fournir le cadre de mise en œuvre des outils pour renforcer l’accès des utilisateurs.

Étape 3 : Mettre en œuvre des outils de sécurité des données

La sécurisation des PII adopte une approche en couches de la sécurité, qui est détaillée dans la dernière section. Vos outils de sécurité des données doivent viser à réduire le risque de fuites de données et d’accès d’individus non autorisés à des informations personnelles sensibles et non sensibles. Cela inclut l’utilisation du chiffrement, de la sécurité des terminaux et de la protection contre la perte de données dans le cloud.

Étape 4 : Pratiquez l’IAM

Gestion des identités et des accès (IAM) : pratique consistant à définir et à gérer les rôles d’utilisateur et l’accès pour les individus au sein d’une organisation, en veillant à ce que les bonnes personnes aient le bon niveau d’accès aux bonnes informations. IAM nécessite la création et la gestion proactive de contrôles d’accès basés sur les rôles. Cette pratique garantit que seuls ceux qui en ont besoin peuvent accéder aux informations personnelles, réduisant ainsi le risque de menace interne ou de fuite accidentelle.

Étape 5 : Surveiller + répondre

Enfin, une partie de votre liste de contrôle de conformité PII doit inclure un plan de continuité et de reprise des activités. Ce plan décrit comment récupérer d’une fuite de données et comment protéger l’entreprise en cas d’attaque.

De même, incluez un calendrier et un système pour surveiller régulièrement vos informations personnelles. « La plupart des violations d’informations personnelles se produisent sans que personne ne s’en aperçoive. Il faut en moyenne 207 jours à la plupart des entreprises pour identifier et réparer une violation, ce qui donne aux cybercriminels suffisamment de temps pour exploiter les données volées », ont écrit les experts de XPlenty.

Comment protéger les informations personnelles

Des outils tels que Nightfall peuvent assumer la responsabilité de la surveillance, automatisant certaines des tâches les plus chronophages de la conformité PII. Nightfall est une plate-forme DLP native du cloud qui aide à maintenir la sécurité des données. Nightfall utilise spécifiquement des détecteurs d’apprentissage automatique capables de reconnaissance de caractères d’objet (OCR) et de traitement du langage naturel (NLP) pour classer les chaînes, les fichiers et les images contenant des informations personnelles, des informations personnelles et une grande variété de données sensibles. De là. nous mettons en œuvre des règles qui vous permettent de surveiller qui a accès à ces données et de contrôler quand les supprimer ou les supprimer.

En plus de Nightfall, les organisations doivent mettre en œuvre les outils suivants pour atteindre la conformité en matière de sécurité PII.

Gestion des terminaux : la protection des terminaux est une vaste catégorie qui comprend tout, de la gestion du micrologiciel de l’appareil et de la surveillance de l’activité du matériel à la fourniture de la sécurité sur l’appareil sous la forme d’une protection antivirus. 2FA ou MFA : 2FA et MFA font partie de l’IAM et peuvent aider à vérifier qu’un utilisateur qui se connecte est bien celui qu’il prétend être. Cryptage : le cryptage est essentiel pour travailler avec des données en mouvement et des données au repos (par exemple, les données transférées par courrier électronique ainsi que les informations personnelles stockées en toute sécurité). Trouvez un outil de cryptage qui vous permet également de décrypter les données selon vos besoins. Stockage : le stockage sécurisé peut prendre la forme d’un serveur hors site, d’un disque dur crypté ou de tout système de stockage en nuage utilisant un logiciel DLP en nuage.

La protection des informations personnelles n'est pas seulement une question de conformité ; c'est bon pour établir la confiance avec vos clients et clients.