La conformité des données au sein de votre entreprise

Dans tous les secteurs d’activité, les entreprises collectent et stockent un grand nombre de données. En fonction des types de données que vous collectez et des personnes auprès desquelles vous les obtenez, vous devez suivre une multitude de règles, de normes et de bonnes pratiques pour vous assurer de protéger les données sensibles et de respecter l’ensemble des lois et règlements qui régissent votre secteur et votre lieu d’activité.

Qu’est-ce que la conformité des données ?

De quoi s’agit-il exactement ? Pour faire simple, ce terme général fait référence à la nécessité de se conformer aux lois, réglementations, normes et règles relatives à la collecte, au stockage, à l’utilisation et au partage de données. Ces lois encadrent la sécurité et la protection des données pour éviter toute violation. Le non-respect des normes de conformité peut exposer les entreprises contrevenantes à des amendes et des pénalités, mais également nuire à leur réputation. Découvrons ensemble les bonnes pratiques élémentaires en matière de stockage des données.
 

Bonnes pratiques relatives à la conformité des données

Les implications légales mises à part, la sécurisation des informations sensibles et des données personnelles est une affaire de bon sens. Voici comment procéder, étape par étape.

Étape 1 : réalisez un inventaire des données pour comprendre précisément quels types de données vous collectez, où vous les stockez, qui peut y accéder et comment vous les utilisez.

Étape 2 : identifiez les éventuels risques associés aux données trouvées lors de l’inventaire, ainsi que les lois et normes applicables à ces données.

Étape 3 : prenez des mesures de sécurité adaptées pour protéger ces données contre les accès, utilisations, divulgations, altérations ou destructions non autorisés, y compris contre les chiffrements, mettez en place des contrôles d’accès et réalisez des audits de sécurité réguliers.

Étape 4 : élaborez et mettez en œuvre un plan de réponse et de notification en cas d’incident ou de violation des données.

Étape 5 : formez vos collaborateurs à toutes les règles de conformité des données.

Étape 6 : contrôlez régulièrement vos procédures de sécurité et de conformité des données et mettez-les à jour en fonction de l’évolution des lois et des normes.

Il est également recommandé de désigner un délégué à la protection des données spécialement chargé de superviser vos politiques et procédures de conformité et de contrôler toutes les lois et normes applicables à vos données. 

Cela peut paraître simple, mais l’étape 2 peut s’avérer difficile. Il existe de nombreuses lois et normes régissant différents types de données. Aux États-Unis, cela inclut : 

  • Le Health Insurance Portability and Accountability Act (HIPAA) : réglemente la confidentialité et la sécurité des informations médicales protégées.

  • Le Children’s Online Privacy Protection Act (COPPA) : réglemente la collecte d’informations personnelles auprès des mineurs de moins de 13 ans.

  • Le Family Educational Rights and Privacy Act (FERPA) : réglemente la collecte et le partage des dossiers scolaires.

  • Le Fair Credit Reporting Act (FCRA) : réglemente la collecte, l’utilisation et le partage des informations relatives aux crédits à la consommation.

  • Le Gramm-Leach-Bliley Act (GLBA) : réglemente la collecte, l’utilisation et le partage des informations financières.

  • Le California Consumer Privacy Act (CCPA) : réglemente la collecte, l’utilisation et le partage des informations personnelles des habitants de Californie (même si votre entreprise n’est pas située en Californie).

  • Le Règlement général sur la protection des données (RGPD) : réglemente la protection des données à caractère personnel collectées auprès des citoyens de l’Union européenne (même si votre entreprise n’est pas située dans l’UE). 

  • Le Federal Information Security Modernization Act (FISMA) : réglemente la sécurité des informations et des systèmes gouvernementaux.

En plus des lois régissant les données, de nombreuses entreprises doivent respecter un certain nombre de normes sectorielles.

SOC 2 et 3 : normes régissant l’établissement de rapports sur la sécurité, la disponibilité, l’intégrité du traitement et la confidentialité du système d’un organisme de services.

ISO 27001 : norme internationale pour la gestion de la sécurité de l’information et des informations sensibles de l’entreprise. 

Le Cadre commun de sécurité (CSF) de la Health Information Trust Alliance (HITRUST) : cadre certifiable reconnu par le ministère américain de la Santé et des services sociaux pour se conformer aux réglementations du HIPAA régissant les informations médicales électroniques protégées (ePHI). 

Le cadre de cybersécurité du National Institute of Standards and Technology (NIST CSF) : un cadre volontaire fournissant des directives pour la gestion du risque de cybersécurité.

La norme PCI-DSS : vise à assurer la sécurité des données pour toutes les entreprises qui acceptent, traitent, stockent ou transmettent des informations sur les cartes de crédit. 

Vous êtes déjà submergés ? Cela n’a rien d’étonnant. Il y a de fortes chances que les données que vous collectez et stockez pour votre entreprise relèvent d’un ou plusieurs de ces règlements. Alors, que faire ?
 

Comment savoir si votre entreprise est en conformité ?

Le mieux est de vous adresser à un professionnel qui connaît toutes les lois applicables en matière de conformité des données et possède une certification pour les normes applicables dans votre cas, puis de commencer par l’étape 1. Rubrik peut vous aider à réaliser un audit de données et à réduire les risques en identifiant les types de données sensibles stockés dans vos systèmes, leur emplacement et les utilisateurs qui y ont accès. Grâce à sa grande expertise dans le domaine de la santé, du secteur des services financiers et de nombreux autres secteurs d’activité, Rubrik peut aider votre organisation à chaque étape du processus. Rubrik Security Cloud s’appuie sur la sécurité des données Zero Trust pour protéger vos données et votre entreprise, et contribue à garantir le respect des normes les plus strictes en matière de conformité et de sécurité des données.