Ces dernières années, la protection des données est devenue une urgence nationale aux États-Unis, surtout en l'absence d'une loi fédérale sur la confidentialité et la protection des données. Le partage généralisé des données américaines données personnelles et sensibles a été perçue comme une forme d'exploitation, en particulier de la part des « pays préoccupants ». Pour remédier à ce problème flagrant, l'administration Biden a publié un décret (EO) visant à empêcher ces pays d'accéder aux données personnelles sensibles des Américains.
Qu'est-ce que l'ordonnance de protection des données personnelles sensibles : un aperçu
Le 28 février 2024, le président Biden a signé le décret 14117, « Empêcher l'accès aux données personnelles sensibles en masse des Américains et aux données du gouvernement américain par les pays préoccupants ». Ce décret constitue le plus important décret présidentiel visant à protéger la sécurité des données américaines. Il autorise le procureur général à empêcher les transferts massifs de données américaines vers des pays préoccupants et met en place des mesures de protection pour empêcher l'accès aux données sensibles des Américains. Il se concentre sur les informations les plus personnelles et sensibles des Américains, notamment les données génomiques. données biométriques, données personnelles de santé, données de géolocalisation, données financières, et certains types de les informations personnellement identifiables.
Voici quelques aspects essentiels du décret exécutif sur la protection des données sensibles et personnelles :
Pays préoccupants
L'EO ne mentionne pas de pays spécifiques, mais les hauts fonctionnaires identifient ces pays comme étant la Chine, la Russie, la Corée du Nord, l'Iran, Cuba et le Venezuela. TikTok, filiale de l'entreprise technologique chinoise ByteDance Ltd, est un point de discorde important, car elle compte plus de 150 millions d'utilisateurs américains – un chiffre sur lequel les dirigeants américains se sont le plus exprimés ces dernières années. L'administration Biden s'inquiète du trafic de données sensibles par TikTok. Karine Jean-Pierre, attachée de presse de la Maison Blanche, a déclaré : « Nous avons des inquiétudes, c'est pourquoi nous avons publié » le décret.
Risques de sécurité, droits à la vie privée et libertés civiles
Un facteur de motivation majeur derrière l'EO est la capacité de l'intelligence artificielle (IA) d'exploiter de vastes ensembles de données à des fins problématiques (ou pour créer de nouveaux modèles d'IA) susceptibles de nuire au public américain. Toute organisation traitant des données personnelles et sensibles doit comprendre comment L'IA impacte les risques et peut potentiellement exposer l’entreprise à une enquête réglementaire.
Ce décret représente une initiative croissante de l'administration pour contrôler les transactions de données, ce qui pourrait permettre à des puissances étrangères hostiles d'instrumentaliser ces données et d'utiliser l'IA pour cibler les Américains. Le suivi des Américains peut potentiellement donner lieu à une surveillance intrusive, des escroqueries, du chantage, des atteintes à la vie privée et des risques pour la sécurité, en particulier pour les militaires ou les acteurs de la sécurité nationale.
Un autre sujet de préoccupation est la capacité de ces pays à accéder à des données personnelles sensibles pour recueillir des informations sur des journalistes, des militants, des personnalités politiques et des groupes marginalisés afin d’intimider, de créer une dissidence, de modifier le paysage politique ou de limiter les libertés et les libertés civiles des États-Unis.
Les agences gouvernementales sont chargées de protéger les données
Le décret autorise les agences fédérales à édicter des réglementations interdisant les transferts massifs de certains types de données sensibles en provenance de « pays préoccupants ». Afin de protéger les données personnelles sensibles des Américains, l'administration Biden ordonne :
- Le ministère de la Justice publiera des réglementations visant à protéger les données sensibles des Américains contre l'accès et l'exploitation. La protection des données comprendra : données biométriques, données personnelles de santé, données génomiques, données de géolocalisation, données financières et identifiants personnels spécifiques. Le ministère de la Justice empêchera le transfert à grande échelle de ces données, dont on sait qu'elles sont collectées et utilisées à mauvais escient. De plus, le ministère doit protéger rigoureusement les données gouvernementales sensibles, notamment les informations de géolocalisation sur les sites gouvernementaux sensibles et les informations concernant les militaires.
- Les ministères de la Justice et de la Sécurité intérieure travailleront ensemble pour établir des normes de sécurité élevées afin d'empêcher l'accès aux données des Américains par des moyens commerciaux, tels que la disponibilité des données via des investissements, des fournisseurs et des relations de travail.
- Les ministères de la Santé et des Services sociaux, Défenseet Affaires des anciens combattants contribuera à garantir que les contrats, les subventions et les récompenses ne facilitent pas l’accès aux données de santé sensibles par les pays concernés, y compris par l’intermédiaire d’entreprises aux États-Unis.
- Le Bureau de la protection financière des consommateurs agira avec les autorités juridiques existantes pour protéger les Américains des courtiers en données qui vendent illégalement des données extrêmement sensibles.
Restrictions sur certains transferts de renseignements personnels
Le décret exécutif devrait permettre de maintenir la circulation des informations nécessaires aux relations avec les autres pays en matière de services financiers, de consommation, d'économie, de science et de commerce. Il insiste sur la cohérence avec le soutien des États-Unis à la libre circulation des données.
En plus de l'EO, le DOJ a publié un Avis préalable de proposition de réglementation (ANPRM), qui définit son plan de mise en œuvre de cette réglementation. Le DOJ est chargé de réglementer et de restreindre les transactions impliquant des services de courtage de données, des transferts massifs de données sensibles ou des données liées au gouvernement américain. L'ANPRM peut également imposer des exigences et des restrictions de sécurité importantes sur trois types de transactions de données massives : les contrats de vente, les contrats de travail et les contrats d'investissement.
Courtiers en données et ventes de données en masse
Aux États-Unis, les courtiers en données peuvent légalement collecter des informations personnelles pour établir des profils sur la population américaine, qui peuvent ensuite être loués ou vendus. La vente et la revente d'informations sont une pratique relativement courante chez les courtiers en données, mais ils peuvent légalement vendre des données à des pays préoccupants ou contrôlés par ces pays. Les courtiers en données créent une faille dans la protection de la sécurité nationale lorsque les données peuvent rapidement se retrouver entre les mains d'agences de renseignement étrangères, d'armées ou d'entreprises appartenant à des gouvernements étrangers.
Conformité et application
L'ANPRM ne prévoit actuellement aucune responsabilité stricte en cas de violation de la nouvelle réglementation. Cependant, le DOJ envisage d'imposer des sanctions civiles avec des mécanismes de notification préalable, de réponse et de décision finale. De plus, il est prévu d'établir des programmes de conformité basés sur les risques ; en cas de violation, le DOJ, dans toute mesure d'application, tiendra compte de ce programme.
Comment BigID aide les organisations à protéger leurs données personnelles et sensibles
Le décret s'inscrit dans le cadre de plusieurs initiatives mondiales visant à sécuriser la circulation et le transfert d'informations entre les pays. Il souligne l'importance pour les entreprises de comprendre quelles données elles collectent, comment elles sont utilisées et leur utilisation potentielle par des tiers.
BigID permet aux organisations de répondre aux exigences de l'OE en identifiant, gérant, surveillant et protégeant toutes les données personnelles et sensibles, y compris les transferts transfrontaliers et les exigences d'accès aux données. Avec BigID, les organisations peuvent :
- Découvrez les données : Découvrez et cataloguez vos données sensibles, y compris structurées, semi-structurées et non structurées, dans des environnements sur site et dans le cloud.
- Bénéficier d'une visibilité totale : Classez, catégorisez, étiquetez et étiquetez automatiquement les données sensibles avec une précision, une granularité et une échelle inégalées pour créer un inventaire de données cohérent afin de vous préparer aux audits réglementaires du DOJ.
- Atténuer les risques liés à l'accès aux données : Surveiller, détecter et répondre de manière proactive à l'exposition interne non autorisée, à l'utilisation et à l'activité suspecte autour des données sensibles.
- Transferts de données validés : Créez des politiques et attribuez la résidence aux sources de données et aux données des individus pour appliquer les exigences de résidence des données et surveiller et alerter sur les transferts de données.
- Rationaliser la remédiation : BigID aide à définir les actions de correction pour fournir des enregistrements d'audit avec intégration aux systèmes de billetterie comme Jira pour flux de travail de correction transparents.
- Assurer la conformité : Respecter automatiquement les règles de sécurité, de confidentialité et de conformité à l'IA et les cadres à l'échelle mondiale, quel que soit l'endroit où résident les données.
Planifiez une démo avec nos experts pour voir comment BigID peut aider votre organisation à sécuriser l'accès et à protéger les données personnelles sensibles afin de se conformer aux nouvelles exigences du décret exécutif.
Auteur
