Data Insider

Qu’est-ce que la conformité réglementaire ?

La conformité réglementaire consiste à s’assurer qu’une entreprise respecte les lois en vigueur régissant la façon dont elle exerce ses activités.

Les réglementations exigent généralement que les entreprises respectent des mandats généraux ou spécifiques à un secteur. Par exemple, HIPAA, qui régit les données de santé, et PCI DSS, qui réglemente les responsables du traitement des cartes de paiement, exigent le traitement sécurisé des données personnelles des individus. D’autres règlements, comme la CCPA et le RGPD, s’appliquent à toutes les industries ou presque d’une région géographique donnée. Les réglementations de conformité peuvent aussi varier considérablement selon leurs objectifs, comme le NISD ou le NERC qui visent la protection et la disponibilité des infrastructures nationales essentielles.

Cet article explore quelques normes réglementaires courantes ainsi que leurs exigences générales et les problèmes et défis liés à la conformité.

Vue d’ensemble de la conformité réglementaire

Comment mettre en œuvre la conformité réglementaire dans l’IT ?

Un ensemble de lois, de réglementations et de normes applicables aux entreprises exige la divulgation publique des violations de sécurité impliquant des informations privées. Les entreprises sont contraintes ou incitées à mettre en place des programmes de sécurité des informations et à les améliorer afin d’éviter les violations de sécurité, les pénalités, les sanctions et les gros titres embarrassants.

Elles peuvent appliquer leurs mandats de conformité réglementaire par le biais de la gouvernance de la sécurité, qui intègre des activités telles que la gestion des risques. Celle-ci couvre les risques de conformité réglementaire, la réponse aux incidents, l’amélioration des processus, l’identification des événements, la planification de la continuité des activités et de la reprise après sinistre, la gestion des ressources, ainsi que la mise en place de mesures permettant de mesurer les progrès et l’efficacité. Grâce à la gouvernance de la sécurité des informations, les entreprises peuvent établir une structure efficace et une définition claire des rôles et des responsabilités, en phase avec les parties prenantes de l’entreprise, l’équipe juridique et l’IT. Entre autres choses, la gouvernance de la sécurité permet d’identifier les risques de conformité et de mettre en place des mesures d’atténuation dans les politiques de sécurité informatique, et notamment les contrôles techniques et organisationnels ainsi que des directives pour les équipes opérationnelles.

Le coût de la conformité

Atteindre et maintenir les exigences des diverses réglementations de conformité est un processus complexe et coûteux. Les équipes juridique et IT doivent traduire les réglementations dans leur entreprise, évaluer les écarts, puis créer et réviser des politiques et des directives de sécurité informatique. Il faut également que les entreprises mettent en œuvre de nouveaux processus ou de nouvelles capacités tout en modifiant les outils existants, en supervisant régulièrement l’efficacité et en fournissant la validation de la conformité aux entités gouvernementales ou aux contrôleurs IT. Pour beaucoup d’entreprises, le temps, les ressources et le personnel nécessaires entraînent des millions de dollars de dépense en plus des coûts d’exploitation habituels. Pourtant, assurer la conformité coûte souvent bien moins cher que les amendes infligées en cas de violation de la réglementation, sans parler du temps et des efforts nécessaires pour regagner la confiance des clients.

Exigences

Qu’est-ce que l’HIPAA ?

L’HIPAA est la loi américaine sur la portabilité et la responsabilité des assurances de santé. Adoptée en 1996, la loi HIPAA harmonise le traitement des données médicales recueillies par les cabinets, les hôpitaux, les compagnies d’assurance maladie et d’autres fournisseurs de soins de santé. Le respect de la conformité HIPAA est contrôlé par le département américain de la Santé et des Services sociaux (HHS) et son sous-groupe, le Bureau des droits civils (OCR). Les défauts de conformité peuvent entraîner des sanctions civiles et pénales pouvant atteindre 50 000 dollars pour les infractions civiles et jusqu’à 10 ans de prison pour les violations criminelles.

L’HIPAA incorpore plusieurs dispositions réglementaires interconnectées :

  1. la règle de confidentialité HIPAA. Cette règle HIPAA définit des normes nationales pour l’accès aux informations médicales des patients (PHI), qui comprennent toutes les informations contenues dans les dossiers médicaux d’une personne : coordonnées, numéros de sécurité sociale, données financières, diagnostics, traitements et autres données personnelles. Elle s’applique uniquement aux « entités couvertes » selon l’HIPAA.
  2. Règle de sécurité HIPAA. Cette règle fournit des directives spécifiques pour les PHI et régit la façon dont elles sont créées, stockées, transmises ou reçues par voie électronique (également appelés ePHI). En raison du partage des données électroniques, cette règle s’applique à la fois aux entités couvertes par HIPAA et à leurs « associés commerciaux », les fournisseurs de services qui gèrent les PHI.
  3. la règle de notification de violation HIPAA. Cette règle décrit les procédures que les entités couvertes par la loi HIPAA et leurs associés doivent appliquer en cas de divulgation d’informations médicales confidentielles.
  4. la règle d’application HIPAA. Cette règle détaille les procédures et les sanctions relatives aux violations HIPAA.
regulatorycompliance-hipaa

La conformité HIPAA établit des normes qui encadrent la façon dont les établissements de santé, des hôpitaux aux assureurs, traitent les données des patients.

Qu’est-ce qu’une violation selon l’HIPAA ?

Le HHS définit une violation HIPAA comme « de façon générale, une utilisation ou une divulgation non autorisée selon la règle de confidentialité, qui compromet la sécurité ou la confidentialité d’informations de santé protégées ». Par exemple, le vol d’un ordinateur portable non chiffré contenant des centaines de PHI de patients, dans une pièce non sécurisée d’un cabinet de médecin, constituerait une violation.

Qu’exige la conformité HIPAA ?

La conformité HIPAA exige la protection des informations médicales confidentielles des patients sous toutes ses formes : verbales, physiques et électroniques. La revue HIPAA Journal décrit sept étapes pour se mettre en conformité avec la norme HIPAA : élaboration et application de politiques et de procédures, désignation d’un responsable de la conformité HIPAA, formation efficace des employés et de la direction, mise en place de canaux de communication efficaces, supervision et contrôles internes, réponse aux violations, mise en œuvre de mesures correctives, évaluation des politiques et des procédures, suivie de leur modification si nécessaire.

Qu’est-ce que le RGPD ?

Le RGPD, qui signifie règlement général sur la protection des données, a été adopté en 2016 et s’applique à toutes les entreprises de l’UE, ainsi qu’à celles qui sont basées à l’étranger mais qui exercent leurs activités ou ont des clients dans l’Union européenne. Depuis son entrée en vigueur en 2018, le RGPD est la principale loi régissant la protection et la confidentialité des données personnelles des individus dans l’Union européenne. Le RGPD, qui a remplacé la directive européenne sur la protection des données 95/46/CE, a introduit de nouvelles exigences pour toutes les transactions, notamment :

  • l’obtention du consentement des clients lors de la collecte ou du traitement des données ;
  • la « pseudonymisation » des données recueillies pour protéger la vie privée ;
  • la notification des violations de données dans les 72 heures suivant la détection des incidents ;
  • la mise en place de directives pour le transfert sécurisé des données d’un pays à l’autre ;
  • la désignation d’un délégué à la protection des données (DPO) au sein de certaines entreprises, afin de superviser la conformité au RGPD.

Toute non-conformité peut entraîner des amendes pouvant atteindre 4 % des ventes mondiales annuelles ou 20 millions d’euros, selon la valeur la plus élevée.

Qu’est-ce qu’une violation selon le RGPD ?

Une violation du RGPD est « une violation de la sécurité qui entraîne la destruction, la perte, la modification, la divulgation ou la consultation non autorisée des données personnelles transmises, stockées ou traitées de quelque manière que ce soit ». Cette interprétation large peut englober tout ce qui pose un risque de conformité, du piratage d’un réseau informatique exposant des informations de clients, à l’effacement accidentel d’un disque dur sans sauvegarde.

Qu’exige la conformité au RGPD ?

La conformité au RGPD exige que les responsables du traitement (généralement les entreprises qui possèdent les données) et les sous-traitants (les entités qui traitent les données des clients pour le compte du responsable du traitement) respectent les normes établies pour la collecte, le stockage et le traitement des données des citoyens de l’UE.

regulatory-compliance-key-features

La première étape de la conformité au RGPD consiste à évaluer toutes vos sources de données et à dresser un inventaire de toutes les données personnelles que vous détenez. Ensuite, vous devrez documenter et diffuser les règles de confidentialité du RGPD dans l’ensemble de l’entreprise et mettre en œuvre le niveau de protection requis pour les données personnelles.

Qu’est-ce que la PCI ?

Mise en place en 2004, PCI est l’abréviation courante de la norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS). Depuis, elle a été régulièrement mise à jour pour renforcer les normes de sécurité du traitement des paiements en ligne et hors ligne. La PCI DSS s’applique à toute entreprise qui accepte, transmet ou stocke des données de titulaire de carte, quelle que soit la taille ou le nombre des transactions. Ces normes sont gérées par le conseil des normes de sécurité de l’industrie des cartes de paiement et sont appliquées par les dirigeants des cinq principales marques de cartes de crédit/débit. Les infractions à la norme PCI peuvent entraîner une amende de 5 000 $ à 100 000 $ par mois pour la banque incriminée.

Qu’est-ce qu’une violation selon la PCI ?

Une violation PCI est un incident au cours duquel les données d’un titulaire de carte de crédit sont obtenues, visualisées ou dérobées sans autorisation. Une violation peut être le résultat d’un piratage, du vol d’un ordinateur portable non sécurisé ou d’un incident qui expose les données personnelles d’un titulaire de carte à des utilisateurs non autorisés.

Qu’exige la conformité PCI ?

Les exigences de conformité PCI s’articulent autour du volume de transactions d’une entreprise. Chaque grande marque de carte a ses petites spécificités, mais on observe généralement quatre niveaux de conformité.

  • Niveau 1 : commerçants qui traitent plus de 6 millions de transactions par an.
  • Niveau 2 : commerçants qui traitent entre 1 et 6 millions de transactions par an.
  • Niveau 3 : commerçants qui traitent entre 20 000 et 1 million de transactions d’e-commerce par an.
  • Niveau 4 : commerçants qui traitent moins de 20 000 transactions d’e-commerce par an, ainsi que tous les autres revendeurs qui traitent jusqu’à 1 million de transactions par an.

La norme PCI DSS spécifie 12 exigences principales pour protéger les données des titulaires de carte :

  1. installer et entretenir un pare-feu ;
  2. ne pas utiliser les mots de passe et autres mesures de sécurité par défaut créés par les fournisseurs des systèmes ;
  3. protéger les données des possesseurs de carte ;
  4. chiffrer la transmission des données des possesseurs de carte sur les réseaux ouverts et publics ;
  5. utiliser et mettre régulièrement à jour un logiciel antivirus ;
  6. développer et entretenir des systèmes et des applications sécurisés ;
  7. limiter l’accès aux données des possesseurs de carte aux seules personnes ayant besoin de les connaître ;
  8. attribuer un identifiant unique à chaque personne disposant d’un accès informatique ;
  9. limiter l’accès physique aux données des possesseurs de carte ;
  10. tracer et superviser tous les accès aux ressources réseau et aux données des possesseurs de carte ;
  11. tester régulièrement les systèmes et processus de sécurité ;
  12. maintenir une politique traitant de la sécurité des informations et s’appliquant à tout le personnel.
Qu’est-ce que le NIST ?

Le NIST, pour institut américain des normes et de la technologie, est un organisme gouvernemental du département américain du Commerce, dépourvu d’autorité de régulation, qui établit des normes pour les industries scientifiques et technologiques. Ces normes, entre autres, aident les organismes fédéraux et les entrepreneurs à respecter les exigences de la loi fédérale sur la gestion de la sécurité de l’information (FISMA).

L’une des normes les plus largement adoptées est le cadre de cybersécurité (Cybersecurity Framework, ou CSF), basé sur le volontariat et conçu pour répondre aux besoins d’un large éventail d’entreprises et autres organisations cherchant à évaluer leurs contrôles de sécurité et à évaluer les risques de manière proactive. Le cadre de cybersécurité est organisé en cinq « fonctions » principales, qui incluent des directives sur l’identification, la protection, la détection et la prise en charge d’un large éventail de menaces de cybersécurité, ainsi que le rétablissement après coup.

Les normes du NIST incluent également la norme FIPS (normes fédérales de traitement de l’information), un ensemble de normes de cybersécurité élaborées par le gouvernement fédéral des États-Unis pour les agences gouvernementales, les sous-traitants et les fournisseurs non militaires. Entre autres choses, la norme FIPS définit des exigences en matière de sécurité informatique et d’interopérabilité en l’absence de normes sectorielles plus larges, et elle fournit une structure autour de l’encodage des données, du traitement des documents, des algorithmes de chiffrement et d’autres processus de sécurité IT.

Qu’est-ce qu’une violation selon le NIST ?

Le NIST ne définit pas spécifiquement les violations. Par contre, les normes, les bonnes pratiques et les directives du NIST fournissent un cadre permettant de protéger les données contre les menaces et les attaques provenant aussi bien de l’intérieur que de l’extérieur de l’entreprise. Elles peuvent ainsi contribuer à prévenir les violations telles que définies par d’autres réglementations, dont l’HIPAA.

Qu’exige la conformité NIST ?

Les normes de conformité NIST peuvent varier, car elles sont souvent conçues pour répondre à des exigences réglementaires spécifiques. L’institut décrit notamment neuf étapes pour la conformité FISMA :

  1. classer les informations à protéger ;
  2. sélectionner des contrôles de base minimum ;
  3. affiner les contrôles à l’aide d’une procédure d’évaluation des risques ;
  4. documenter les contrôles dans le plan de sécurité du système ;
  5. mettre en œuvre des contrôles de sécurité dans les systèmes d’information appropriés ;
  6. évaluer l’efficacité des contrôles de sécurité une fois qu’ils ont été mis en œuvre ;
  7. déterminer le risque, à l’échelle de l’agence, pour la mission ou sa justification commerciale ;
  8. autoriser le système informatique à des fins de traitement ;
  9. superviser les contrôles de sécurité de façon continue.

De nombreuses règles du NIST sont décrites dans la publication spéciale du NIST série 800, qui traite des besoins de sécurité et de confidentialité des systèmes de données et d’information du gouvernement.

Comment atteindre la conformité NIST ?

Si vous faites des affaires avec le gouvernement fédéral, vous devrez identifier les mandats que vous êtes tenu de respecter. La publication spéciale 800-171 offre un bon point de départ : elle explique comment les systèmes d’information et les politiques doivent être configurés pour protéger les informations non classifiées contrôlées (CUI). Si vous travaillez avec des sous-traitants, vous devrez également vous assurer de leur conformité.

Qu’est-ce que COPPA ?

La COPPA, la loi sur la protection et la confidentialité des enfants en ligne, est une loi fédérale promulguée en 1998 qui oblige les entreprises exploitant des applications, des sites web et d’autres services en ligne à aviser les parents et à obtenir leur consentement avant de recueillir des informations personnelles auprès d’enfants de moins de 13 ans. Ces informations incluent le nom, l’adresse, les coordonnées en ligne, le numéro de sécurité sociale, le nom d’utilisateur ou le nom d’écran, les informations de géolocalisation, tout type de photo, de vidéo ou de fichier audio contenant une image ou une voix d’un enfant, ou un identificateur persistant (comme un cookie) pouvant être utilisé pour reconnaître un enfant. La FTC exige que les tribunaux puissent tenir les opérateurs responsables de sanctions civiles pouvant aller jusqu’à 42 530 $ par violation de la COPPA.

Qu’est-ce qu’une violation selon la COPPA ?

Une violation de la COPPA peut être toute infraction aux mandats légaux relatifs à la collecte et à l’utilisation des données des enfants. Par exemple, un site de diffusion de musique en continu enfreindrait la COPPA s’il permettait à un enfant de moins de 13 ans de créer un compte sans obtenir au préalable le consentement parental. Une entreprise pourrait également se trouver en infraction si elle prend des mesures pour respecter les règles de la COPPA et que ces méthodes échouent.

Qu’exige la conformité COPPA ?

La conformité à la COPPA peut être réduite à trois exigences fondamentales : obtenir le consentement parental vérifiable avant de recueillir des données auprès d’un enfant de moins de 13 ans, protéger la confidentialité, la sécurité et l’intégrité de ces données, et publier des politiques de confidentialité claires expliquant comment les données collectées sont utilisées et stockées. Pour se mettre en conformité aux exigences de la COPPA, la FTC fournit une FAQ détaillée et vous recommande de lire les documents d’orientation sur la protection de la vie privée des enfants de la FTC ainsi que le « Plan de conformité en six étapes pour votre entreprise » de la FTC. Vous pouvez également envoyer un e-mail à la hotline de la COPPA à l’adresse CoppaHotLine@ftc.gov.

Qu’est-ce que la CCPA ?

La CCPA, ou loi de Californie sur la protection des consommateurs, entrée en vigueur le 1er janvier 2020, encadre la façon dont les entreprises qui font des affaires en Californie peuvent recueillir et utiliser les informations personnelles des consommateurs. Selon cette loi, les informations personnelles sur les consommateurs englobent aussi bien les adresses IP, l’historique d’achat et les profils psychologiques que les coordonnées. La CCPA stipule que les résidents de Californie ont le droit de savoir quelles informations personnelles sont recueillies à leur sujet, à qui ces informations sont communiquées et si ces informations sont vendues. Elle leur accorde également le droit d’accéder aux informations personnelles qui ont été collectées à leur sujet ou de refuser la vente de leurs données, tout en leur garantissant un service et des prix égaux, qu’ils exercent ou non ces droits de confidentialité.

Qu’est-ce qu’une violation selon la CCPA ?

Une violation CCPA est tout ce qui enfreint la loi californienne sur la violation des données, qui stipule que les entreprises doivent informer tout résident californien si ses informations personnelles non chiffrées sont volées ou consultées sans autorisation. La CCPA élargit la définition d’« informations personnelles » pour inclure tout ce qui « identifie, se rapporte à, décrit, ou peut être associé à, un consommateur ou à un ménage donné, ou pourrait raisonnablement lui être relié, directement ou indirectement ».

Qu’exige la conformité CCPA ?

La mesure la plus importante que les entreprises peuvent prendre pour atteindre la conformité à la CCPA consiste à déterminer quelles « informations personnelles » elle détient selon la définition de la CCPA, où elles sont stockées et comment elles sont partagées. Ensuite, vous devrez mettre à jour votre politique de confidentialité, puis examiner la façon dont vous allez répondre aux demandes de consultation, de suppression et d’interdiction de vente des données émises par les clients, ainsi que la façon dont vous allez séparer les données clients dont la vente est autorisée, de celles pour lesquelles elle est interdite.

Pour résumer

La conformité est incontournable

La conformité exige de la vigilance, et les faux-pas peuvent avoir un impact important sur les résultats. Chaque année, de nouvelles exigences réglementaires de plus en plus normatives entrent en vigueur. Dans ce contexte, la conformité peut constituer le plus grand défi auquel les entreprises sont confrontées. Mais si la conformité implique un investissement important en ressources, les coûts de non-conformité, en termes de pénalités et de dommages à la réputation de votre entreprise, peuvent être bien plus élevés. Les exigences réglementaires visent à atténuer les risques. La meilleure façon de protéger votre entreprise consiste à déterminer de manière proactive les réglementations spécifiques qui s’appliquent à votre activité, puis à élaborer un plan de conformité complet pour les respecter.