Obligations de conservation des données et de notification des violations

Feb 29, 2024
Share

Face à la multiplication des exigences et restrictions réglementaires concernant l'utilisation et la gestion des données sensibles, les entreprises s'exposent à un risque accru de pertes de revenus. Pire encore, le PDG et les membres du conseil d'administration peuvent être tenus personnellement responsables s'ils ne parviennent pas à se conformer à une réglementation en constante évolution.

Par exemple, les récentes modifications réglementaires telles que celles de la Securities and Exchange Commission (SEC) concernant Signalement des incidents et divulgation des informations en matière de cybersécurité La loi américaine impose aux sociétés cotées en bourse de signaler les incidents de cybersécurité dans un délai de quatre jours ouvrables. Elle exige également qu'elles détaillent leurs stratégies de gestion de la cybersécurité dans leurs rapports annuels. Ces réglementations incitent les entreprises à intégrer des clauses de conservation des données et de notification des violations de données dans leurs contrats avec leurs fournisseurs.

Quelles sont les obligations en matière de conservation des données et de notification des violations de données ?

Les règles de conservation des données définissent la durée pendant laquelle un fournisseur conserve les données de ses clients avant leur suppression. Une fois la relation client-fournisseur terminée, le fournisseur doit localiser et effacer de manière sécurisée les données du client, réduisant ainsi le risque d'incident de cybersécurité en limitant l'exposition des données. Par ailleurs, les notifications de violation de données constituent une obligation contractuelle pour les fournisseurs, qui doivent informer rapidement leurs clients de tout incident de sécurité entraînant un accès non autorisé ou une perte de données. Cela permet aux clients de prendre les mesures appropriées en cas de violation, comme informer les personnes concernées et prévenir tout dommage supplémentaire.

Pour mieux comprendre le contexte, les politiques de conservation des données et de notification des violations de données permettent aux clients de protéger l'utilisation et la gestion de leurs données par les fournisseurs avec lesquels ils collaborent. Un fournisseur peut détenir différents types de données sensibles, notamment les informations client (noms, adresses et autres données personnelles), les informations sur les employés et les données commerciales confidentielles (propriété intellectuelle et secrets commerciaux).

Quelles sont les lois existantes qui imposent la conservation des données et la notification des violations de données ?

Les principales raisons pour lesquelles les entreprises ont besoin d'une politique de conservation des données et de notification des violations sont de se protéger contre les responsabilités liées aux réclamations en matière de gestion des données, de remplir leurs obligations contractuelles envers leurs clients et de se conformer aux exigences réglementaires. Conférence nationale des législatures d'État (NCSL) Des rapports indiquent que huit États américains ont adopté de nouvelles lois sur la protection de la vie privée des consommateurs rien qu'en 2023. Parmi les lois existantes, plusieurs cadres juridiques et réglementations étatiques peuvent imposer à votre entreprise de se conformer aux lois sur la conservation des données et la notification des violations de données.

Loi sur la portabilité et la responsabilité en matière d'assurance maladie (HIPAA)

Il s'agit d'une loi fédérale sur la confidentialité des données de santé et des patients, établie pour contrôler informations de santé protégées (PHI) d'être divulgués sans le consentement ou la connaissance du patient.

Conservation des données : Règles de conservation des données HIPAA exiger des organismes concernés qu’ils conservent les données et les dossiers des patients pendant au moins six (6) ans.

Notification de violation : Les entités concernées ont l’obligation d’informer les personnes concernées et le Département américain de la santé et des services sociaux (HHS) « sans délai injustifié » et dans un délai maximal de 60 jours calendaires à compter de la date de découverte de la violation.

Règlement général sur la protection des données (RGPD)

Le Règlement général sur la protection des données Le RGPD est une loi sur la protection de la vie privée qui s'applique aux organisations qui traitent les données personnelles des individus dans l'Union européenne.

Conservation des données : RGPD mandate que les données personnelles ne soient conservées que pendant la période nécessaire à la réalisation des finalités pour lesquelles elles ont été initialement collectées (sauf à des fins scientifiques et de recherche).

Notification de violation : Article 33 la loi exige que les violations de la cybersécurité soient signalées aux autorités de surveillance dans les 72 heures suivant leur découverte.

Gramm-Loi Leach-Bliley (GLBA)

Le Loi Gramm-Leach-Bliley réglemente informations personnelles non publiques (NPI), obligeant les institutions qui fournissent des produits ou services financiers aux consommateurs (prêts, conseils financiers et d'investissement ou assurances) à divulguer comment elles partagent les informations des consommateurs et protègent leurs données.

Conservation des données : Les exigences sont de six (6) ans et comprennent la mise en œuvre de contrôles d’accès sécurisés pour protéger les informations financières stockées.

Notification de violation : En vertu de la Federal Trade Commission (FTC) nouvel amendement À compter de novembre 2023, les institutions financières victimes d'une violation de données devront en informer la FTC dans un délai de 30 jours si la violation concerne les données de 500 consommateurs ou plus.

Comment Cyera aide les entreprises à se conformer aux exigences en matière de conservation des données et de notification des violations de données

Cyera permet aux équipes de sécurité de comprendre où et pendant combien de temps les données sont stockées, afin que les organisations puissent honorer leurs obligations contractuelles dans une relation fournisseur-client.

Conservation des données :  Cyera crée un inventaire des données, incluant les données clients, la propriété intellectuelle et les données commerciales susceptibles d'avoir été partagées dans le cadre des relations fournisseur-client. Cyera offre aux organisations la visibilité nécessaire pour concilier les exigences opérationnelles de conservation des données, telles que la reprise après sinistre, avec les obligations contractuelles et réglementaires.

Minimisation des données : L'un des moyens les plus sûrs de protéger les données sensibles consiste à minimiser la surface d'attaque. Cyera aide les équipes de sécurité à identifier les données obsolètes ou redondantes qui enfreignent les politiques de conservation et doivent être supprimées.

Identification et atténuation des violations : En cas de violation de données, Cyera permet aux équipes de sécurité d'identifier rapidement les données impactées, notamment le nombre d'enregistrements et le lieu de résidence des personnes concernées. Le contexte de résidence est essentiel pour déterminer les juridictions à notifier. De plus, la plateforme Cyera permet aux équipes de visualiser les personnes ayant accès aux données et les failles de sécurité susceptibles d'avoir conduit à la violation. Ceci les aide à analyser l'impact de l'incident afin d'en déterminer l'ampleur, de le contenir et d'informer les parties prenantes des données compromises.

Pour en savoir plus sur la plateforme de sécurité des données de Cyera et mieux comprendre comment protéger vos données, veuillez consulter le site web suivant : cyera.io/demo.

Share