Obligations de conservation des données et de notification des violations de données

À mesure que les entreprises font face à des exigences et restrictions réglementaires accrues concernant l'utilisation et la gestion des données sensibles, elles sont confrontées au risque supplémentaire de perte de revenus. Pire encore, le PDG et les membres du conseil d'administration peuvent être tenus personnellement responsables s'ils ne parviennent pas à se conformer aux réglementations en constante évolution.

Par exemple, des évolutions récentes de la réglementation, comme celles de la Securities and Exchange Commission (SEC) concernant la déclaration d'incidents et la divulgation en matière de cybersécurité, imposent aux sociétés cotées aux États-Unis de signaler les incidents de cybersécurité dans un délai de quatre jours ouvrables. Elles exigent également que les entreprises publiques détaillent leurs stratégies de gestion de la cybersécurité dans leurs rapports annuels. De telles réglementations poussent les entreprises à intégrer des engagements de conservation des données et de notification des violations dans leurs contrats avec les fournisseurs.

Quelles sont les obligations en matière de conservation des données et de notification des violations de données ?

Les règles de conservation des données établissent la durée pendant laquelle un fournisseur conserve les données des clients avant qu'elles ne soient supprimées. Une fois que la relation fournisseur-client prend fin, le fournisseur doit retrouver et effacer de manière sécurisée les données du client, réduisant ainsi la probabilité d'un incident de cybersécurité en limitant l'exposition des données. D'autre part, les notifications de violation de données sont des exigences contractuelles pour les fournisseurs afin d'informer rapidement les clients de tout incident de sécurité qui conduit à un accès non autorisé ou à une perte de données. Cela donne aux clients la possibilité de prendre des mesures appropriées lorsqu'une violation se produit, comme informer les personnes concernées et prévenir d'autres dommages.

Pour plus de contexte, les politiques de conservation des données et de notification des violations sont des moyens pour les clients de protéger l'utilisation et la gestion de leurs données par les fournisseurs avec lesquels ils travaillent. Un fournisseur peut détenir différents types de données sensibles appartenant au client, notamment des informations sur les clients (noms, adresses et autres données personnelles), des informations sur les employés et des données commerciales confidentielles (propriété intellectuelle et secrets commerciaux).

Quelles lois existantes imposent la conservation des données et les notifications de violation ?

Les principales raisons pour lesquelles les entreprises ont besoin d'une politique de conservation des données et de notification des violations sont de se protéger contre les responsabilités liées à la gestion des données, de remplir les obligations contractuelles envers les clients et de se conformer aux exigences réglementaires. La National Conference of State Legislatures (NCSL) rapporte que huit États américains ont adopté de nouvelles lois sur la confidentialité des consommateurs rien qu'en 2023. Parmi les lois existantes, plusieurs cadres juridiques et réglementations au niveau des États peuvent exiger que votre entreprise respecte les lois sur la conservation des données et la notification des violations. ‍

Loi sur la portabilité et la responsabilité en matière d'assurance maladie (HIPAA)‍

Il s'agit d'une loi fédérale sur la confidentialité des données de santé et des patients, établie pour contrôler la protection des informations de santé (PHI) afin qu'elles ne soient pas divulguées sans le consentement ou la connaissance du patient. ‍

Conservation des données : Les règles de conservation des données HIPAA exigent que les organisations concernées conservent les données et dossiers des patients pendant au moins six (6) ans. ‍

Notification de violation : les entités concernées ont l'obligation d'informer les personnes affectées ainsi que le Département américain de la Santé et des Services sociaux (HHS) « sans retard déraisonnable » et au plus tard dans les 60 jours calendaires suivant la découverte de la violation.‍

Règlement général sur la protection des données (RGPD)

‍Le Règlement général sur la protection des données (RGPD) est une loi sur la confidentialité qui s'applique aux organisations qui traitent les informations personnelles des individus dans l'Union européenne. ‍

Conservation des données : Le RGPD exige que les données personnelles ne soient conservées que pendant la durée nécessaire à la réalisation des finalités pour lesquelles elles ont été initialement collectées (sauf à des fins scientifiques et de recherche). ‍

Notification de violation: L'article 33 stipule que les violations de cybersécurité doivent être signalées aux autorités de contrôle dans les 72 heures suivant leur découverte.‍

Gramm-Leach-Bliley Act (GLBA)

La loi Gramm-Leach-Bliley réglemente les informations personnelles non publiques (NPI), obligeant les institutions qui fournissent des produits ou services financiers aux consommateurs (prêts, conseils financiers et en investissement, ou assurances) à divulguer la manière dont elles partagent les informations des consommateurs et protègent leurs données.

‍Conservation des données : les exigences sont de six (6) ans et incluent la mise en place de contrôles d'accès sécurisés pour protéger les informations financières stockées.

‍Notification de violation : Selon la nouvelle modification de la Federal Trade Commission (FTC) de novembre 2023, les institutions financières victimes d'une violation doivent informer la FTC dans un délai de 30 jours si la violation concerne les données de 500 consommateurs ou plus.

Comment Cyera aide les entreprises à se conformer aux exigences de conservation des données et de notification des violations

Cyera permet aux équipes de sécurité de comprendre où et pendant combien de temps les données ont été stockées, afin que les organisations puissent respecter leurs obligations contractuelles dans une relation fournisseur-client.

‍Rétention des données :  Cyera crée un inventaire des données, y compris les données clients, la propriété intellectuelle et les données commerciales qui ont pu être partagées dans le cadre de relations fournisseur-client. Cyera offre aux organisations la visibilité nécessaire pour équilibrer les exigences opérationnelles de rétention, comme la reprise après sinistre, avec les exigences contractuelles ou réglementaires.

Minimisation des données : L'une des méthodes les plus sûres pour protéger les données sensibles consiste à réduire la surface d'attaque. Cyera aide les équipes de sécurité à identifier les données obsolètes ou redondantes qui enfreignent les politiques de conservation et doivent être supprimées.

‍Identification et atténuation des violations : En cas d'incident de violation, Cyera permet aux équipes de sécurité de comprendre rapidement quelles données ont été impactées, y compris le nombre d'enregistrements et la résidence des personnes concernées. Le contexte de résidence est important pour déterminer quelles juridictions doivent être notifiées en cas de violation. De plus, la plateforme de Cyera permet aux équipes de voir qui a accès aux données ainsi que les failles d'exposition qui pourraient conduire à une violation. Cela aide les équipes à analyser le rayon d'impact de l'incident afin de déterminer l'ampleur de l'attaque, de la contenir et d'informer les parties prenantes concernées des données perdues.

Pour en savoir plus sur la plateforme de sécurité des données de Cyera et mieux comprendre comment protéger vos données, veuillez visiter cyera.io/demo.