GLBA

La loi Gramm-Leach-Bliley (GLBA, ou plus précisément la loi sur la modernisation des services financiers) oblige les institutions financières à sécuriser et à garantir la transparence des informations personnelles non publiques (NPI).

‍
Ces données peuvent inclure des relevés bancaires et fiscaux, des historiques d'adresses, des rapports de crédit, des transactions boursières, des investissements, et bien plus encore — y compris des métadonnées (données qui décrivent d'autres données et les relations qui y sont associées). La GLBA définit également quelles parties sont soumises à la réglementation, ainsi que les types de transactions qui constituent l'utilisation et l'accès aux données.

‍
Avant l’ère de l’information numérique (l’invention des ordinateurs centraux, au milieu des années 1960) et après la Grande Dépression aux États-Unis (début des années 1930), le Bank Holding Company Act (BHCA) et le Glass–Steagall Act (GSA) visaient à prévenir une nouvelle crise économique nationale en imposant des garde-fous à certains types d’institutions financières. Cependant, la crise des caisses d’épargne dans les années 1980 a semblé souligner la nécessité de révisions tenant compte des évolutions des principes et des technologies financières modernes. À ce moment-là, le Congrès a commencé à envisager un remplacement du BHCA et du GSA.

‍
En 1999, la loi GLBA a été adoptée, abrogeant la GSA et contribuant à moderniser la réglementation de l'industrie financière américaine. La loi de modernisation de 1999 a fait progresser les politiques et les protections concernant les informations personnelles.

‍
La loi de 1999 comporte trois principales dispositions relatives à la vie privée et à la protection des données :

• La règle de confidentialité financière : exige que les institutions financières divulguent leurs politiques et pratiques de confidentialité aux clients et permettent le droit de retrait.
• La règle de protection : les institutions financières doivent protéger les données de leurs clients contre tout accès, utilisation ou divulgation non autorisés.
• La règle de prétexte : les institutions financières et leurs agents ne doivent pas obtenir les données des clients par des moyens faux ou frauduleux.

‍
2021 marque la première révision majeure du GLBA avec la nouvelle version de la règle FTC Safeguards (en vigueur depuis le 9 juin 2023). Cette révision offre un guide complet des bonnes pratiques et des interdictions en matière de conformité au GLBA, notamment sur la sécurité, la confidentialité et l'intégrité des données financières, en fonction des risques et menaces propres à votre entreprise.

‍
Comme pour d'autres normes de gouvernance du secteur, les exigences de la GLBA comprennent plusieurs domaines spécifiques aux processus et à la mise en œuvre de la sécurité des données, tels que le contrôle d'accès, la destruction, la gestion des incidents, le personnel et la documentation. Se conformer à ces directives implique de définir un plan de gestion de la sécurité de l'information pour votre organisation, de déterminer des questions telles que la tolérance au risque, de réaliser des examens programmés, de construire une infrastructure sécurisée et de mettre en place des contrôles internes pour identifier, classer et protéger les informations des clients.