4 éléments essentiels pour se conformer au nouveau règlement sur la protection des données

juillet
14, 2019

5 min de lecture

Les opinions exprimées par les contributeurs de l'Entrepreneur sont les leurs.

La vague de réglementation qui a débuté en Europe avec le règlement général sur la protection des données (GDPR) a traversé le bassin. La législature californienne a récemment réclamé des règles plus strictes régissant l'utilisation de données sur les clients par les grandes entreprises du secteur de la technologie. Les législateurs du Massachusetts envisagent une nouvelle proposition qui donnerait plus de poids aux citoyens contre les entreprises qui collectent ou utilisent des données personnelles de manière inappropriée. .

La proposition semble aller à l’encontre de l’atmosphère propice à la technologie que les politiciens du Massachusetts ont beaucoup travaillé pour cultiver et tenter d’attirer plus de startups dans la région et de la transformer en un centre d’innovation. Mais cela indique un changement croissant dans les attentes en matière de protection de la vie privée dans les technologies et de responsabilité des entreprises.

Liés: La confidentialité des données client compte-t-elle réellement? Il faut.

Cause de l'alarme

À ce stade, les entreprises doivent être parfaitement conscientes des risques inhérents à la gestion et au stockage des données des clients. Une multitude d'infractions de haut niveau et très médiatisées ont montré au monde les conséquences désastreuses de la mauvaise gestion des données. Ces attaques ont touché de grandes entreprises de presque tous les secteurs, des millions de consommateurs et coûté des milliards de dollars aux entreprises, ne faisant que renforcer les activités cybercriminelles.

Les groupes d'analyse du sang Quest Diagnostics et LabCorp sont deux des dernières victimes . de ces attaques. Un pirate informatique a violé le système de sécurité de l'American Medical Collection Agency, un fournisseur tiers utilisé par les deux sociétés, ce qui a compromis les données personnelles sensibles de près de 20 millions de patients.

] Pour gagner la confiance de vos clients en matière de confidentialité des données, vous devez changer le texte narratif

Les personnes qui devraient être concernées

Les entreprises qui comprennent les données dont elles disposent et les politiques de gestion fiables ne devraient pas craindre de resserrer les réglementations. Étant donné que la plupart des startups modernes naissent dans le cloud, la mise en conformité devrait être relativement simple lorsque de nouvelles lois sont adoptées. Ces entreprises exploitent probablement déjà un système de gestion de contenu sécurisé et peuvent facilement en adopter un sinon.

Toutefois, si les données de l'entreprise sont réparties sur plusieurs systèmes de stockage, tels que du matériel sur site, des logiciels et des systèmes basés sur le cloud, la conformité peut prouver plus difficile. Avec plus d'emplacements de stockage de données, une surveillance accrue est nécessaire pour assurer la sécurité de ces données.

Les données dispersées des clients ne sont pas une cause d'alarme, mais les entreprises qui ne disposent pas d'un système de gestion clair et ne procèdent pas régulièrement Les audits de données se trouveront en violation des termes de la nouvelle législation devant entrer en vigueur dans un proche avenir. C'est une situation que toute entreprise voudrait éviter.

En fonction de la gravité de la négligence et du coût des ramifications juridiques qui en résultent, les conséquences de la violation des lois relatives à la protection de la vie privée des consommateurs pourraient être aussi dommageables que celles-ci Elle-même, en particulier parce que la plupart des startups fonctionnent avec des budgets extrêmement limités.

Comment rester en avance sur les réglementations

Dans cet esprit, vous pouvez suivre quatre étapes pour anticiper les réglementations et minimiser leur impact sur votre entreprise. :

1. Restez informés des changements intervenus dans le secteur.

France condamnée à une amende de 56,8 millions de dollars à Google pour avoir enfreint le règlement général. Bien qu’il soit bien conscient des implications de la loi, le géant de la technologie n’a pas ajusté ses activités et a violé les lois sur la protection des données en raison d’une mauvaise utilisation des données des clients et des utilisateurs en ligne. Attendre pour changer s'est avéré coûteux pour Google; imaginez à quel point cela pourrait être dommageable pour une start-up dont les frais généraux sont élevés.

Lié: Personnalisation et vie privée dans un monde de GDPR

2. Réalisez des audits de données réguliers.

Vous devez toujours avoir une idée précise du lieu de stockage des données et des employés qui en sont responsables. Vos actifs de données peuvent inclure un logiciel de gestion de la relation client, des informations sur les achats au point de vente, des outils de marketing par courrier électronique, des serveurs de l'entreprise et d'autres plates-formes. Quoi qu'il en soit, vous devez disposer de protections spécifiques à votre plate-forme.

Lorsque Marriott International n'a pas effectué son audit de routine de cybersécurité, 500 millions d'enregistrements client ont été publiés en raison de la manque de diligence raisonnable. Prendre le temps d'être minutieux et d'effectuer des audits de données est essentiel pour comprendre où en sont vos protections et où elles doivent être améliorées.

3. Supprimez les données inutiles sur les clients et les employés.

Réduire au minimum les données que vous stockez minimise également les zones potentielles d'attaque et d'exploitation par les cybercriminels. La suppression des anciennes données donne à vos employés une meilleure idée des informations dont ils ont le plus besoin et qu’ils doivent utiliser régulièrement.

Lorsque la société de taxis Taxa 4×35 n’a pas supprimé tous ses enregistrements de trajet comme le prescrivait le GDPR, il encourt une amende de 180 000 $. Il a gardé les numéros de téléphone de ceux qui utilisaient ses services et a simplement effacé leurs noms. S'en tenir aux règles de minimisation des données est d'une importance cruciale, comme le montre cet exemple très clairement.

4. Maintenez les certifications et la technologie à jour

La fameuse fuite de 2017 à Equifax était le résultat d’une vulnérabilité du logiciel Apache Struts qui faisait partie du portail de résolution des conflits de la société. Après que les employés n’aient pas installé de correctif, les pirates informatiques ont pu pénétrer dans les systèmes de la société au détriment de 143 millions de clients.

La croissance technologique transforme le monde et la réglementation tente de se maintenir. Pour cette raison, il est probable que de plus en plus d’entre elles seront mises en place. La réglementation californienne reste la plus restrictive aux États-Unis à l’heure actuelle, mais elle servira probablement de base réglementaire pour un certain nombre de pays dans un avenir proche.

Les consommateurs doivent être rassurés et protégés des entités en qui ils ont confiance. Il incombera aux entreprises de fournir ces informations, et s’y soustraire risque de coûter cher. À mesure que le pouvoir de la technologie s'accroît, les régulateurs devront le garder aussi bien exploité que possible et le plus sûr possible.