Maîtriser la protection des données : un guide complet pour la protection des informations sensibles
À quand remonte la dernière fois que vous avez confié un secret ? Avez-vous conseillé à une personne de confiance de ne pas le partager avec d'autres personnes, ou l'avez-vous confié à une personne qui adore les ragots ? Dans le monde technologique actuel, les données sensibles sont le secret le plus important. Les entreprises de divers secteurs collectent, traitent, stockent et échangent diverses formes d'informations concernant leurs clients, leurs fournisseurs et leurs employés. Au cœur de cette vaste masse de données se trouvent des éléments essentiels de informations sensibles qui exigent une protection stricte contre accès non autorisé et l'abus.
Qu’est-ce qui est considéré comme une information sensible ?
Les informations sensibles englobent toutes les données qui, si elles étaient compromises, pourraient entraîner un préjudice, une perte ou un accès non autorisé. Cela inclut les informations personnelles identifiables (IPI), données financières, la propriété intellectuelle, dossiers de santé, et d’autres informations confidentielles.
Pourquoi est-il important de protéger les informations sensibles ?
L'importance de la protection des informations sensibles ne saurait être surestimée, notamment à l'ère du numérique où les violations de données sont de plus en plus fréquentes et présentent des risques importants pour les particuliers comme pour les organisations. Voici quelques points à considérer :
Protection de la vie privée
Les informations sensibles comprennent souvent des données personnelles telles que les noms, adresses, numéros de sécurité sociale et dossiers médicaux. La protection de ces informations est essentielle pour protéger la vie privée des personnes et prévenir le vol d’identité, la fraude ou d’autres formes d’exploitation. Les organisations ont la responsabilité de garantir que les données personnelles des individus sont traitées de manière sécurisée et utilisées uniquement à des fins légitimes.
Confiance et réputation
A violation de données La mauvaise gestion d'informations sensibles peut avoir de graves conséquences sur la réputation et la fiabilité d'une organisation. Les clients et les parties prenantes attendent des organisations qu'elles traitent leurs données avec soin et intégrité. Tout manquement à ces exigences peut entraîner une perte de confiance, une défection de la clientèle et une atteinte à la réputation de l'organisation, entraînant des répercussions financières et réputationnelles à long terme.
Conformité légale et réglementaire
De nombreuses lois et réglementations régissent la collecte, le stockage et l’utilisation des informations sensibles, y compris Règlement général sur la protection des données (RGPD), Loi sur la portabilité et la responsabilité en matière d'assurance maladie (HIPAA), Norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS), ainsi que diverses réglementations sectorielles. Le respect de ces réglementations est obligatoire et leur non-respect peut entraîner de lourdes sanctions, des amendes, des poursuites judiciaires et une atteinte à la réputation.
Transparence et responsabilité des entreprises
La protection des informations sensibles favorise transparence et responsabilité Au sein des organisations. En mettant en œuvre des mesures rigoureuses de protection des données, les organisations démontrent leur engagement envers des pratiques commerciales éthiques et leur responsabilité envers leurs parties prenantes. La transparence des pratiques de traitement des données renforce également la confiance entre clients, employés et partenaires, favorisant ainsi des relations plus solides et une pérennité à long terme.
Comment les données sensibles sont-elles protégées ?
Quel que soit l'emplacement ou le secteur d'activité de votre entreprise, la protection des informations sensibles et le respect des exigences réglementaires multiformes commencent par découverte complète des donnéesCela implique la cartographie, l’inventaire et la catégorisation de toutes les informations sensibles dans un référentiel centralisé.
Voici les mesures que les organisations doivent prendre pour protéger efficacement tous les types d’informations sensibles :
1. Identifier et classer les données sensibles
La première étape consiste à réaliser un inventaire complet de toutes les données et à les classer selon leur sensibilité. Cela implique d'identifier les informations personnelles identifiables (IPI), les données financières, la propriété intellectuelle, les dossiers médicaux et toute autre information confidentielle. La classification des données permet de prioriser les mesures de protection en fonction du niveau de risque associé à chaque catégorie de données.
2. Mettre en œuvre des contrôles d'accès
Limiter l'accès aux informations sensibles en mettant en place des contrôles d'accès stricts. Cela comprend : le contrôle d'accès basé sur les rôles (RBAC), où les autorisations d'accès sont accordées en fonction du rôle ou de la fonction d'un individu au sein de l'organisation. De plus, appliquez le principe du moindre privilège, en accordant aux utilisateurs uniquement le niveau d'accès minimal requis pour exercer leurs fonctions.
3. Stockage et transmission sécurisés
Assurez-vous que données sensibles Les données sont stockées et transmises de manière sécurisée. Utilisez des solutions de stockage de données sécurisées, telles que des bases de données chiffrées et des systèmes de stockage de fichiers sécurisés, pour protéger les données au repos. Utilisez des protocoles de communication sécurisés, tels que HTTPS et VPN, pour crypter les données lors de leur transmission sur les réseaux, empêchant ainsi leur interception ou leur écoute clandestine par des acteurs malveillants.
4. Mettre à jour et corriger régulièrement les systèmes
Maintenez vos logiciels, applications et systèmes à jour avec les derniers correctifs et mises à jour de sécurité. Les vulnérabilités des logiciels obsolètes peuvent être exploitées par des cybercriminels pour accéder sans autorisation à des informations sensibles. L'application régulière de correctifs aux systèmes permet d'atténuer ces risques. renforce la posture de sécurité de l'organisation.
5. Former les employés aux meilleures pratiques de sécurité
Sensibilisez vos employés à la sécurité et aux bonnes pratiques de traitement des informations sensibles. Proposez des formations sur la reconnaissance des tentatives d'hameçonnage, l'utilisation de mots de passe forts, le stockage et la transmission sécurisés des données, et le signalement des incidents de sécurité ou des activités suspectes. Des équipes bien informées sont essentielles pour maintenir une défense efficace contre les cybermenaces.
6. Surveiller et auditer l'accès
Mettre en œuvre des mécanismes de surveillance et d'audit pour suivre l'accès aux données sensibles et détecter les activités suspectes ou non autorisées. Surveiller les journaux d'activité des utilisateurs, les tentatives d'accès et les transferts de données afin d'identifier les incidents ou failles de sécurité potentiels. Réaliser régulièrement des audits et des évaluations de sécurité pour garantir le respect des politiques et réglementations de sécurité.
7. Établir des procédures de réponse aux incidents
Développer et documenter procédures de réponse aux incidents Répondre efficacement aux incidents de sécurité ou aux violations de données. Définir les rôles et responsabilités, établir des canaux de communication et décrire les étapes de confinement, d'investigation et d'atténuation des incidents de sécurité. Préparer des plans de réponse aux incidents et réaliser régulièrement des exercices ou des simulations pour tester la capacité de l'organisation à gérer efficacement les incidents de sécurité.
8. Examiner et mettre à jour régulièrement les politiques de sécurité
Revoir et mettre à jour régulièrement les politiques, procédures et contrôles de sécurité afin de s'adapter à l'évolution des menaces et des exigences réglementaires. Veiller à ce que les politiques de sécurité soient complètes, clairement communiquées aux employés et appliquées de manière uniforme dans toute l'organisation. Évaluer et améliorer régulièrement les mesures de sécurité en fonction des menaces émergentes, des meilleures pratiques du secteur et des enseignements tirés des incidents de sécurité.
Types d'informations sensibles
Pour explorer les différents types d’informations sensibles que diverses réglementations définissent et surveillent, commençons par les bases de PII et PI, puis explorez des itérations plus spécifiques, en particulier celles qui concernent certains secteurs verticaux.
Nous explorerons ensuite comment ces réglementations se chevauchent et comment protéger les informations sensibles dans toute l’entreprise, quel que soit votre secteur d’activité ou votre organisation.
PII : Informations personnelles identifiables
Les informations personnelles identifiables (IPI) sont des informations permettant de distinguer ou de retracer l'identité d'un individu, seules ou combinées à d'autres informations personnelles ou identifiantes. Ces données sont essentielles dans divers secteurs pour identifier, contacter ou localiser une personne et sont soumises à des protections juridiques strictes en raison de leur nature sensible.
La protection des données personnelles est essentielle pour protéger les individus contre l'usurpation d'identité, la fraude et autres atteintes à la vie privée. L'accès non autorisé aux données personnelles peut entraîner des dommages personnels et financiers importants.
Comment PII a-t-il évolué ?
La notion d'informations personnelles identifiables (IPI) a évolué avec les progrès technologiques et l'évolution des normes sociétales. Initialement axée sur des identifiants simples comme les noms et les numéros de sécurité sociale, la définition des IPI s'est élargie aux données numériques et biométriques à mesure que le paysage numérique s'est développé. Les organismes de réglementation continuent d'adapter leurs cadres réglementaires pour répondre aux nouveaux défis en matière de confidentialité et aux évolutions technologiques.
Principales caractéristiques des PII
Identifiants PII directs
- Nom et prénom
- Numéro de sécurité sociale (SSN)
- Numéro de permis de conduire
- Numéro de passeport
- Adresse email
- Numéro de téléphone
Identifiants PII indirects
Informations pouvant être combinées à d'autres données pour identifier une personne. Exemples :
- Date de naissance
- Genre
- Code postal
- adresse IP
- Données biométriques (par exemple, empreintes digitales, données de reconnaissance faciale)
Cadres réglementaires régissant les informations personnelles identifiables
- Règlement général sur la protection des données (RGPD) : Applicable dans l'Union européenne, le RGPD est l'une des lois les plus complètes en matière de protection des données. Il définit les données personnelles de manière large et impose des exigences strictes en matière de traitement, de gestion et de conservation des données personnelles identifiables.
- Loi californienne sur la protection de la vie privée des consommateurs (CCPA) : Cette loi de l'État américain accorde aux résidents de Californie des droits sur leurs informations personnelles, notamment le droit de savoir quelles données sont collectées, le droit de supprimer des données et le droit de refuser la vente de données.
- Loi sur la portabilité et la responsabilité en matière d'assurance maladie (HIPAA) : Aux États-Unis, la loi HIPAA réglemente la protection des informations personnelles identifiables liées à la santé, garantissant ainsi la protection des informations médicales.
- Directives de la Commission fédérale du commerce (FTC) : La FTC applique les lois de protection des consommateurs aux États-Unis, y compris celles relatives à la confidentialité et à la sécurité des données.

PI : Informations personnelles
Les renseignements personnels (RP) désignent toute donnée permettant d'identifier, de contacter ou de localiser une personne, directement ou indirectement. Cette catégorie est vaste et englobe un large éventail de types d'informations, qui peuvent varier selon le contexte et les définitions juridiques spécifiques applicables dans différentes juridictions.
La protection des données personnelles est essentielle pour prévenir les accès non autorisés, susceptibles d'entraîner des vols d'identité, des fraudes financières et d'autres atteintes à la vie privée. Garantir la confidentialité et la sécurité des données personnelles contribue à préserver la vie privée et la confiance des individus.
Comment les données PI ont-elles évolué ?
La définition et la portée des renseignements personnels ont considérablement évolué avec les avancées technologiques et l'évolution du paysage réglementaire. Initialement axé sur les identifiants évidents comme les noms et les numéros de sécurité sociale, le concept inclut désormais les empreintes numériques, les données biométriques et d'autres identifiants émergents. Les organismes de réglementation continuent d'adapter leurs définitions et leurs protections pour répondre aux nouveaux défis en matière de confidentialité posés par l'innovation technologique.
Caractéristiques clés de l'IP
Identifiants directs
Informations permettant d'identifier directement une personne sans nécessiter de données supplémentaires. Exemples :
- Nom et prénom
- Numéro de sécurité sociale (SSN)
- Numéro de permis de conduire
- Numéro de passeport
- Adresse email
- Numéro de téléphone
Identifiants indirects
Informations qui, combinées à d'autres données, permettent d'identifier une personne. Exemples :
- Date de naissance
- Genre
- Code postal
- adresse IP
- Identifiants de l'appareil
- Données de géolocalisation
SPI — Informations personnelles sensibles
Informations personnelles sensibles (SPI) dans le cadre de la prochaine Loi californienne sur les droits à la vie privée (CPRA) est un nouveau terme défini couvrant les données qui sont liées à un individu mais qui ne l'identifient pas directement —et peut causer du tort si elle est rendue publique. Les SPI comprennent des informations personnelles qui révèlent :
- le numéro de sécurité sociale, de permis de conduire, de carte d'identité d'État ou de passeport d'un consommateur
- identifiants de compte, numéros de compte financier, de carte de débit ou de carte de crédit en combinaison avec tout code de sécurité ou d'accès requis,
- mot de passe ou identifiants permettant l'accès à un compte
- géolocalisation précise
- l'origine raciale ou ethnique, les croyances religieuses ou philosophiques ou l'appartenance syndicale
- le contenu du courrier, des courriels et des SMS d'un consommateur, sauf si l'entreprise est le destinataire prévu de la communication
- données génétiques, y compris
- le traitement d’informations biométriques dans le but d’identifier de manière unique un consommateur ;
- les renseignements personnels recueillis et analysés concernant la santé d'un consommateur ; ou
- informations personnelles collectées et analysées concernant la vie sexuelle ou l'orientation sexuelle d'un consommateur
NPI — Informations personnelles non publiques
Les informations personnelles non publiques, ou INP, sont un type d'informations sensibles créées et définies par le Loi Gramm-Leach Bliley (GLBA), qui réglemente spécifiquement les institutions de services financiers.
Les NPI n’incluent pas les informations accessibles au public et sont définies comme des « informations financières personnellement identifiables qui sont :
- fourni par un consommateur à une institution financière
- résultant d'une transaction ou d'un service effectué pour le consommateur, ou
- autrement obtenu par l’institution financière. »
Les NPI peuvent inclure des noms, des adresses, des numéros de téléphone, des numéros de sécurité sociale, des numéros de compte bancaire et de carte de crédit, des achats par carte de crédit ou de débit, des dossiers judiciaires provenant d'un rapport de consommation ou toute autre information financière du consommateur qui :
- un consommateur fournit à une institution financière
- résulte d'une transaction ou d'un service effectué pour le consommateur
- est autrement obtenu par les institutions financières
- Le NPI n'inclut pas les informations qui ont été rendues publiques ou largement diffusées dans les médias ou dans les archives publiques du gouvernement.
Les réglementations pertinentes relatives aux informations personnelles non publiques comprennent : GLBA, NYDSF / NYCRR 500
MNPI — Informations importantes non publiques
Informations matérielles non publiques, ou MNPI, sont des données relatives à une société, à ses participations et à ses filiales, qui n'ont pas été diffusées publiquement ou mises à la disposition des investisseurs en général - et qui pourraient avoir un impact sur le cours de l'action de la société.
Le règlement vise à surveiller et à prévenir les délits d'initiés en empêchant les détenteurs d'INPI de les utiliser à leur avantage lors de transactions d'actions ou d'autres titres, ou de les partager avec d'autres personnes susceptibles de les utiliser à leur avantage. Toute transaction impliquant l'utilisation d'INPI est considérée comme illégale, que la personne qui agit en vertu de ces informations soit ou non un employé de l'entreprise.
L'utilisation ou la connaissance des informations confidentielles et non confidentielles (IMN) détermine en partie la légalité du délit d'initié. Ainsi, si tous les délits d'initiés ne sont pas illégaux (comme lorsque les employés achètent ou vendent des actions de leur entreprise et se conforment aux exigences d'enregistrement et de dépôt auprès de la Securities and Exchange Commission (SEC), l'organisme de réglementation), toute opération impliquant des informations confidentielles et non confidentielles (IMN) est illégale.
La dimension « matérielle » d'une information financière non significative (IMN) exige que l'information soit suffisamment significative pour influencer la valeur de l'action de la société. Si l'information n'est pas susceptible d'influencer raisonnablement le cours de l'action, elle n'est pas considérée comme une IMN.
Les types de MNPI comprennent, sans toutefois s'y limiter :
- informations d'entreprise provenant soit de l'entreprise concernée, soit d'organismes de réglementation, de législateurs ou d'institutions financières extérieurs
- rapports de revenus et autres documents financiers
- actions ou plans d'entreprise à venir, tels que les introductions en bourse (IPO), les acquisitions ou les fractionnements d'actions
- résultats des procédures judiciaires
- décisions d'agences comme la FDA
Les réglementations pertinentes pour le MNPI comprennent les Securities and Exchange Commission (SEC) et Exchange Act — Règlement FD (Divulgation équitable)
Informations privées
Les informations privées sont l'ensemble des données sensibles réglementées par la loi de New York Stop Hacks and Improve Electronic Data Security (NY SHIELD).
BOUCLIER DE NEW YORK s'applique à « toute personne ou entreprise qui possède ou concède sous licence des données informatisées comprenant des informations privées » d'un résident de New York — également appelées « entreprises couvertes ».
Informations privées Cette définition s'étend aux « informations personnelles », qui étaient le type de données initialement réglementé par la loi new-yorkaise sur les violations de données, avant l'entrée en vigueur du SHIELD. La loi new-yorkaise définissait les informations personnelles comme « toute information concernant une personne physique qui, grâce à son nom, son numéro, sa marque personnelle ou tout autre identifiant, peut être utilisée pour identifier cette personne physique ».
Pour définir les informations privées, la loi SHIELD a élargi cette définition pour inclure « les informations personnelles constituées de toute information combinée à un ou plusieurs des éléments de données suivants, lorsque l'élément de données ou la combinaison d'informations n'est pas chiffré — ou est chiffré avec une clé de chiffrement qui a également été consultée ou acquise. »
Les éléments de données couverts sont :
- numéro de sécurité sociale
- numéro de permis de conduire ou numéro de carte d'identité de non-conducteur
- informations biométriques — ou représentation numérique des caractéristiques physiques uniques d'un individu, telles qu'une empreinte digitale, une empreinte vocale, une image de la rétine ou de l'iris, ou toute autre mesure physique unique qui pourrait authentifier l'identité d'un individu
- numéro de compte ou numéro de carte de crédit/débit, soit en combinaison avec tout code de sécurité, code d'accès ou mot de passe requis qui permettrait l'accès, soit sans ces informations d'identification supplémentaires
Les informations privées n’incluent pas les données accessibles au public qui sont légalement disponibles dans les archives gouvernementales au niveau fédéral, étatique ou local.
Le point le plus important à retenir est que les informations privées intègrent une combinaison de différents types de données personnelles, comme un nom d'utilisateur ou un e-mail avec une question de sécurité ou un mot de passe.
PHI / ePHI — Informations médicales protégées / Informations médicales protégées électroniquement
Informations médicales protégées, ou PHI, est un type d'informations sensibles réglementées par la loi sur la portabilité et la responsabilité en matière d'assurance maladie (HIPAA) — une réglementation américaine pour les prestataires de soins de santé, les régimes d'assurance maladie et les assureurs, les centres d'échange d'informations sur les soins de santé ou les entreprises associées aux organismes de soins de santé — également appelées collectivement « entités couvertes par la HIPAA » ou simplement « entités couvertes ».
Les RPS sont des informations médicales permettant d'identifier une personne, ou créées, utilisées ou divulguées dans le cadre de la prestation de soins de santé. Cela comprend les informations passées, présentes et futures sur l'état de santé physique ou mentale d'une personne, telles qu'elles figurent dans les dossiers physiques, les dossiers électroniques et même les conversations entre patients et cliniciens.
Les dossiers médicaux, les antécédents médicaux, les services de santé rendus, les résultats d'analyses ou de laboratoires, les ordonnances, les rendez-vous, les formulaires patients, les factures médicales et les communications avec les prestataires de soins ou les patients sont tous des RPS. Toute information est considérée comme RPS si elle peut être liée à une personne, même si elle serait considérée comme une RP en vertu d'une autre réglementation (par exemple, les noms, les numéros de sécurité sociale, les dates de naissance).
Les PHI comprennent 18 identifiants, dont chacun est considéré comme un PHI s'il est traité par une entité couverte :
- noms
- dates
- numéros de téléphone
- données géographiques
- numéros de fax
- numéros de sécurité sociale
- adresses e-mail
- numéros de dossiers médicaux
- numéros de compte
- numéros de bénéficiaires du régime de santé
- numéros de certificat/licence
- identifiants et numéros de série des véhicules, y compris les plaques d'immatriculation
- URL Web
- identifiants d'appareils et numéros de série
- adresses de protocole Internet
- photos de face et images comparables
- identifiants biométriques
- tout numéro ou code d'identification unique
Les informations de santé protégées (ISP) contenues dans des fichiers numériques sont appelées « informations de santé protégées électroniquement » (ePHI). La réglementation HIPAA exige des entités concernées qu'elles garantissent l'inviolabilité et l'intégrité des ISP par des mesures de protection administratives, techniques et physiques.
Données réglementées, commerciales, confidentielles et à haut risque
En adoptant une vision plus large des données sensibles que les organisations peuvent posséder, les entreprises doivent réfléchir à la manière dont elles traitent les données réglementées, les données commerciales, les données confidentielles et les données à haut risque – les joyaux de la couronne d’une organisation.
Ces catégories peuvent inclure des informations telles que la propriété intellectuelle (PI), notamment les secrets commerciaux, les brevets, les droits d'auteur et les marques déposées. Elles peuvent inclure des données financières ou de santé hautement sensibles, des informations personnelles devant rester confidentielles, ainsi que des données obscures (dark data) pouvant se cacher dans des silos, des serveurs fantômes ou des flux de données, et dont l'exposition présente un risque de sécurité accru.
Il peut s'agir de données sensibles spécifiques à l'entreprise, essentielles pour l'entreprise, mais non traditionnellement qualifiées de sensibles ou réglementées. Il peut également s'agir de données transactionnelles essentielles à la lutte contre le blanchiment d'argent (AML), aux identifiants clients, etc.
Ces types de données sensibles chevauchent souvent les définitions de données PI, PII, SPI, NPI, PHI et autres, mais peuvent nécessiter d'être classés, mappés et catalogués en fonction d'autorisations d'accès spécifiques ou d'exigences de reporting, ou étiquetés de manière personnalisée pour des besoins commerciaux spécifiques.
Les entreprises qui disposent de la capacité de classer et de corréler leurs données, non seulement conformément à la réglementation, mais aussi en fonction des catégories de risques, des principes de confidentialité et d'autres éléments pertinents à leur fonctionnement, peuvent mieux contextualiser, comprendre et exploiter leurs données. Cette visibilité permet aux entreprises de :
- activer la notation des risques
- assurer des contrôles d'accès appropriés
- opérationnaliser les efforts de minimisation des données et les flux de travail de conservation
- établir des normes de qualité des données, et plus encore.
D'un point de vue commercial, permettre une visibilité complète sur vos données réduira considérablement les risques, renforcera les protections contre les accès non autorisés, conduira à des informations commerciales significatives et, en fin de compte, contribuera à libérer la valeur de vos données.
Qu'est-ce qu'une information compartimentée sensible ?
Les informations sensibles compartimentées (ISC) sont un type d'informations classifiées utilisées par le gouvernement des États-Unis et les agences de renseignement de certains autres pays. Les ISC désignent des informations hautement sensibles qui nécessitent un traitement et une protection spécifiques pour empêcher toute divulgation non autorisée.
Les informations SCI sont classifiées à un niveau supérieur à celui des informations « Top Secret » et sont divisées en compartiments selon leur degré de sensibilité et le besoin d'en connaître des personnes autorisées à y accéder. Chaque compartiment est désigné par un mot de code indiquant son niveau de sensibilité et le type d'informations qu'il contient.
L'accès aux informations du SCI est strictement contrôlé et limité aux personnes disposant du niveau d'habilitation approprié et du principe du besoin d'en connaître. Les personnes autorisées à accéder aux informations du SCI doivent se soumettre à des vérifications approfondies de leurs antécédents, obtenir des habilitations de sécurité et suivre des formations régulières afin de garantir la sécurité du traitement et de la protection des informations sensibles.
Les exemples d’informations SCI comprennent les rapports de renseignement, les plans militaires et d’autres informations classifiées liées à la sécurité nationale ou aux relations étrangères.
Exceptions réglementaires par secteur vertical et par emplacement
Selon le secteur d'activité d'une organisation, celle-ci peut être tenue de se conformer à de multiples réglementations et de déterminer quelles données sensibles sont régies par tel ou tel ensemble de règles, et lesquelles sont soumises à plusieurs ensembles de règles. L'établissement de ce « diagramme de Venn » pour des pratiques réglementaires responsables nécessite une fonctionnalité sophistiquée de classification des données.
Par exemple, une société de prêt hypothécaire soumise à la fois à la GLBA et à la CCPA (ou à la prochaine CPRA) devra toujours suivre attentivement ses informations personnelles non financières (INF) pour se conformer à la GLBA et à ses obligations de reporting (ainsi qu'à d'autres réglementations financières), mais constatera que ses INF sont exemptées des exigences du CCPA. Parallèlement, les données collectées, traitées et stockées par l'organisme de prêt hypothécaire, qui ne sont pas considérées comme des INF, peuvent néanmoins être soumises aux exigences du CCPA relatives aux informations personnelles sensibles.
D'autre part, une entreprise de services de santé qui opère en France, au Brésil et dans plusieurs États américains, dont New York et la Californie, devra déterminer et catégoriser lesquelles de ses données sont soumises aux PHI en vertu de la loi HIPAA, aux PI en vertu du RGPD, LGPD, NY SHIELD et CCPA — et bientôt SPI dans le cadre de la CPRA — et les traiter en conséquence pour répondre aux différentes normes de déclaration requises par chacune d'elles. Pour compliquer encore les choses, les entreprises opérant à l'international doivent également tenir compte des exigences en matière de transferts transfrontaliers.
Les complications posées par de multiples réglementations peuvent entraîner un véritable bourbier pour les programmes de gouvernance, de sécurité et de confidentialité des données, si les données de l'entreprise ne sont pas correctement cartographiées, étiquetées, cataloguées et nettoyées.
Existe-t-il des données sensibles plus vulnérables que d’autres ?
- Informations d'identification personnelle (PII) : Les informations personnelles identifiables sont souvent ciblées par les cybercriminels, car elles peuvent servir à commettre des vols d'identité, des fraudes financières ou d'autres formes d'activités malveillantes. Les numéros de sécurité sociale et de carte de crédit sont particulièrement recherchés par les pirates.
- Informations sur la santé : Les informations sur la santé sont considérées comme sensibles car elles peuvent être utilisées pour identifier et cibler des personnes souffrant de problèmes de santé spécifiques, et peuvent également être utilisées pour la fraude à l’assurance ou d’autres types d’escroqueries financières.
- Informations financières : Les informations financières sont une cible privilégiée pour les cybercriminels, car elles peuvent servir à voler de l'argent, ouvrir des comptes de crédit ou effectuer des achats frauduleux. Les coordonnées bancaires, les numéros de carte de crédit et les informations fiscales sont des éléments extrêmement précieux pour les pirates.
- Propriété intellectuelle : La propriété intellectuelle, comme les secrets commerciaux, les codes logiciels propriétaires et les brevets, est souvent la cible de l’espionnage industriel ou des cybercriminels cherchant à voler des informations précieuses à des fins financières.
- Informations biométriques : Les informations biométriques telles que les empreintes digitales, la reconnaissance faciale et l'iris sont considérées comme hautement sensibles, car elles ne peuvent être modifiées comme un mot de passe ou un numéro de carte de crédit. Une fois compromises, ces informations peuvent être utilisées pour usurper une identité ou mener d'autres activités malveillantes.
Perte de données sensibles : quels sont les enjeux ?
Le risque de perte de données sensibles est important et peut avoir de graves conséquences pour les particuliers comme pour les organisations. Voici quelques-uns des risques potentiels liés à la perte de données sensibles :
- Vol d'identité : Les données sensibles telles que les informations personnelles et financières peuvent être utilisées pour voler l'identité d'un individu, permettant aux pirates d'accéder aux comptes bancaires, d'ouvrir des comptes de crédit et d'effectuer des achats frauduleux.
- Atteinte à la réputation : Si les données sensibles d’une organisation ou d’un individu sont perdues, cela peut nuire à sa réputation, entraînant une perte de confiance parmi les clients, les consommateurs ou les partenaires.
- Conséquences juridiques et réglementaires : Selon le type de données perdues, les organisations et les particuliers peuvent être soumis à des poursuites judiciaires ou réglementaires, à des amendes ou à d’autres sanctions pour ne pas avoir protégé adéquatement les informations sensibles.
- Pertes financières : La perte de données sensibles peut entraîner des pertes financières pour les particuliers et les organisations, notamment des coûts directs associés aux efforts de correction, des frais juridiques et des dommages à la propriété intellectuelle.
- Risques pour la sécurité nationale : La perte de données sensibles peut également présenter des risques pour la sécurité nationale si les informations perdues sont liées à des opérations gouvernementales ou militaires.
BigID pour tous les types de données sensibles
Quel que soit l'endroit où votre entreprise opère ou le secteur dans lequel vous évoluez, le respect d'un ensemble complexe d'exigences réglementaires commence par une découverte approfondie des données qui cartographie, inventorie et catégorise toutes vos informations sensibles, le tout en un seul endroit.
BigID's découverte et classification des données va au-delà des techniques de découverte traditionnelles, qui ne consultent qu'un seul type de données, et la découverte de données ciblée, qui ne trouve que les données que vous connaissez déjà. Grâce à l'apprentissage automatique avancé, vous pouvez protéger toutes les informations personnelles identifiables (PII), les informations personnelles identifiables (PI), les informations de sécurité (SPI), les informations de santé protégées (PHI) et bien plus encore de votre organisation ; identifier les données soumises à telle ou telle réglementation ; maintenir des normes de reporting précises ; et garantir la conformité à toutes les réglementations.
Voici quelques façons La plateforme d'intelligence de données inégalée de BigID peut aider:
- classez toutes vos données sensibles — de tous types — pour connaître son objectif d'utilisation, sa qualité, ses impacts sur les risques, etc.
- cataloguer automatiquement les données sensibles et métadonnées dans des sources structurées, non structurées, cloud, Big Data, NoSQL, data lake et partout ailleurs
- rechercher, signaler et étiqueter les données associées
- identifier automatiquement les données en double, dérivées et similaires
Planifier une démonstration pour en savoir plus sur les informations sensibles que votre organisation doit protéger et sur la manière de tirer le meilleur parti de vos données.