Protection des données à caractère personnel - Partie 2 : "Cadres pour la protection des données et de la vie privée"

Cadres pour la protection des données et de la vie privée

Découvrez les cadres robustes qui fournissent des conseils sur la mise en œuvre de pratiques efficaces de protection des données. Cet article fournit des informations pratiques sur la création de systèmes qui donnent la priorité à la confidentialité pour protéger les données personnelles sensibles.

Guide pour choisir et adopter un cadre de protection de la vie privée

Auteur : Minaz Khan, CISA
Date de publication : 26 février 2021
中 文



imageCOVID-19 a imposé des changements dans tous les aspects de la vie et des affaires en 2020, mais 2020 a également été une année importante dans le monde de la protection de la vie privée pour des raisons allant au-delà de la pandémie. En 2020, l’application du règlement général sur la protection des données (GDPR) de l’UE était en plein essor. La loi sur la protection de la vie privée des consommateurs (CCPA) est entrée en vigueur et a commencé à être appliquée. California’s Consumer Privacy Rights Act (CPRA)-appelé CCPA 2.0 par certains-a également été rédigé et approuvé. Dans le monde entier, 79 pour cent des organisations gèrent la conformité avec deux ou plusieurs règlements de confidentialité.1 Cette inondation de règlements de confidentialité a introduit un certain nombre de nouveaux défis, y compris les efforts de double respect, Politiques contradictoires ou changeantes, coûts opérationnels plus élevés et processus disparates.

En prenant une page du livre de jeu sur la cybersécurité, les équipes chargées de la confidentialité peuvent adopter un cadre de confidentialité (ou plusieurs cadres) pour rationaliser les efforts de conformité, élaborer une stratégie de confidentialité unifiée et mettre en place des programmes de confidentialité. Les équipes doivent déterminer comment préparer une entreprise à adopter le cadre, comment choisir un cadre approprié et comment l’intégrer dans l’entreprise.

Introduction au cadre de protection de la vie privée

Avant d’approfondir les nuances de la sélection et l’adoption d’un cadre de confidentialité, il est important de comprendre comment un cadre est défini et quels cadres de confidentialité sont disponibles. Un cadre de confidentialité est une collection complète de processus qui protègent les informations personnelles et abordent le risque pour la vie privée. Les deux principales caractéristiques d’un cadre de protection de la vie privée sont une structure claire et des principes généraux qui le rendent universellement applicable et facile à adopter. En raison de ces caractéristiques, les cadres peuvent aider les entreprises de toutes tailles, dans tous les secteurs et à tous les niveaux de maturité à évaluer et surveiller leurs programmes de confidentialité.

Aux États-Unis, les cadres de protection de la vie privée ont commencé à apparaître dans les années 70 avec l’avènement des principes de la pratique équitable de l’information (PIFP). 2 Certains cadres, tels que le cadre de protection des données du NIST (National Institute of Standards and Technology), sont simplement un ensemble de recommandations et ne sont appliqués par aucun organisme de réglementation. Mais les règlements, principes et normes tels que GDPR, FIPPs ou l’Organisation internationale de normalisation (ISO) ISO 29100 peuvent également être utilisés comme cadres. Certaines organisations ont choisi de faire du RGPD plus qu’une simple exigence réglementaire, en l’utilisant comme cadre d’orientation en raison de ses principes de confidentialité solides et de ses exigences spécifiques qui établissent des pratiques de protection des données solides. Ici, le terme "cadre" sera utilisé de manière générale pour inclure aussi les règles et règlements qui peuvent (et sont) utilisés pour construire, gouverner et maintenir des programmes de confidentialité. La figure 1 présente quelques-uns des principaux cadres et règlements relatifs à la protection de la vie privée.




imageIl convient de noter que certains cadres de confidentialité, y compris le cadre de confidentialité du NIST, les normes ISO 27701 et ISO 29100, ont été mis en évidence par leurs homologues en matière de cybersécurité : le cadre de cybersécurité du NIST (CSF), la publication spéciale du NIST (SP) 800-53 et l’ISO 27001/27002. Étant donné que ces cadres de cybersécurité sont utilisés dans l’industrie depuis longtemps, de nombreuses entreprises ont été encouragées à adopter des cadres de confidentialité complémentaires.

Préparation pour la sélection du cadre

La sélection d’un cadre nécessite des contributions de divers points de vue et une préparation minutieuse. Une entreprise ne devrait pas choisir le cadre de confidentialité du NIST simplement parce qu’elle suit déjà le CSF du NIST. De même, une entreprise ne doit pas construire tout son programme de confidentialité dans le RGPD parce qu’elle a des activités dans l’Union européenne. Il convient plutôt d’examiner un certain nombre de questions clefs avant de choisir un cadre (ou des cadres).

Question 1 : Qui devrait participer?

Bien qu’un cadre de confidentialité sera principalement utilisé par ceux qui se concentrent sur les efforts de confidentialité (par exemple, l’équipe de la vie privée, juridique, conformité, gestion des risques), il affectera de nombreuses autres parties de l’entreprise. Au contraire, les cadres et règlements suivis par d’autres parties de l’entreprise peuvent influencer le cadre de confidentialité choisi.

Pour évaluer correctement les cadres disponibles, il est nécessaire de mettre en place l’équipe de sélection appropriée. Les équipes de sélection peuvent varier en fonction de la taille et de la structure de l’organisation, de l’industrie et de l’environnement réglementaire. Cependant, les fonctions suivantes peuvent avoir un intérêt dans le choix d’un cadre car elles travaillent directement ou indirectement avec des informations personnellement identifiables (PII).

  • Cybersécurité : Les fonctions de cybersécurité et de protection de la vie privée devraient travailler en étroite collaboration. La cybersécurité utilise peut-être déjà un cadre qui a une contrepartie en matière de confidentialité. En outre, la cybersécurité peut fournir des informations sur les recommandations de sécurité des données qui sont appropriées pour l’entreprise.
  • Technologie de l’information : Les leaders avec la connaissance des systèmes qui touchent les informations personnelles sont une partie critique de ce processus. Les directeurs de l’information (CIO) et les directeurs technologiques (CTO) peuvent influencer la façon dont les systèmes et contrôles informatiques seront affectés par un cadre.
  • Sécurité de l’information : Les leaders de la sécurité de l’information sont dédiés à la protection des données entrantes et sortantes d’une entreprise et peuvent fournir des informations essentielles sur la façon dont les informations personnelles sont traitées et stockées dans toute l’entreprise.
  • Legal : Les équipes juridiques et de confidentialité sont souvent étroitement liées, parfois la même chose. L’équipe juridique peut discuter de la manière dont les différentes obligations réglementaires (fédérales, étatiques, régionales) se croisent avec le cadre sélectionné.
  • Conformité (audit interne, gestion des risques): les fonctions de conformité, telles que la gestion des risques et l’audit interne, sont très familiarisées avec les règlements et cadres déjà appliqués dans une entreprise. Ils ont également une vaste expérience en matière de tests et de validation, de documentation, de rétention, de vérification des correctifs et de rapports sur la conformité et les compétences de présentation qui peuvent être utilisées lors de l’évaluation et de la mise en œuvre des cadres. (Bien que la fonction d’audit interne puisse fournir des informations importantes au cours du processus de sélection, il est important que ces personnes ne participent pas à des activités susceptibles d’affecter leur indépendance future.)
  • Les principaux responsables des processus de l’entreprise : En plus des parties mentionnées ci-dessus, d’autres fonctions commerciales, généralement celles qui traitent des informations personnelles, sont affectées par les décisions relatives à la confidentialité des données. Ces fonctions varient d’une entreprise à l’autre, mais le marketing et les ressources humaines (RH) sont généralement les plus directement concernés. Les inclure dès le début peut assurer une adoption plus fluide.

Il est important d’inclure un certain nombre de fonctions commerciales dans le processus de sélection, mais quelqu’un doit avoir l’autorité pour prendre la décision finale. Cette autorité variera en fonction de la structure organisationnelle et de la maturité, mais il doit s’agir d’une personne très impliquée dans les efforts de confidentialité. Dans certaines entreprises, il pourrait être le directeur de la protection de la vie privée (CPO); dans d’autres, il pourrait être le chef de la conformité ou de la gestion des risques. Mais comme dans tout comité ou équipe, il doit y avoir une personne chargée de peser les opinions et de prendre des décisions.


LE CADRE APPROPRIÉ PEUT AMÉLIORER LA CONFIANCE DES CLIENTS EN SIMPLIFIANT LES PROCESSUS DE DEMANDE DES CONSOMMATEURS, EN RÉDUISANT LES RISQUES POUR LA VIE PRIVÉE ET EN DONNANT AUX INDIVIDUS UN MEILLEUR CONTRÔLE SUR LEURS INFORMATIONS.


Question 2 : En quoi un cadre serait-il bénéfique pour l’entreprise ?

Pour orienter le processus de sélection, l’équipe de sélection doit déterminer les problèmes de confidentialité auxquels l’entreprise est confrontée et la manière dont un cadre pourrait y faire face. Avoir une compréhension claire des problèmes et des solutions peut aider à la fois dans la sélection et l’application. Chaque entreprise a un ensemble différent de problèmes, et chaque cadre peut offrir des avantages différents. Certains des avantages potentiels comprennent la simplification de la conformité, l’obtention de résultats mesurables, la réduction des coûts et une meilleure atténuation des risques (figure 2).




imageQuestion 3 : Quelles opérations commerciales seront affectées ?

Lors de la sélection d’un cadre, il est essentiel de savoir quelles opérations commerciales (par exemple, l’industrie, les efforts de conformité déjà en cours, les géographies) seront à sa portée. Les exercices de cartographie des données, les sessions exploratoires et les diagrammes de flux de données peuvent aider à identifier ces opérations entrant dans le champ d’application. Comprendre comment un cadre peut soutenir, faire progresser ou interrompre les opérations en cours peut influencer la décision de le sélectionner. En fonction de l’industrie, de la structure et du modèle d’entreprise, les processus au sein du domaine varieront, mais l’équipe de sélection devra probablement étudier l’impact sur l’informatique, la sécurité, le marketing, les ressources humaines et tous les processus spécifiques de confidentialité.

Question 4 : Quels cadres sont déjà utilisés?

Avant de sélectionner un cadre, l’équipe de sélection doit connaître les cadres déjà existants dans l’entreprise. Les cadres déjà utilisés pourraient inclure la norme ISO 29100, les normes de protection des données personnelles ou les principes généralement acceptés en matière de protection de la vie privée (GAPP). L’un de ces cadres pourrait servir de base au processus d’adoption. En outre, le fait de commencer avec un cadre déjà établi et adopté contribuera à assurer l’efficacité des processus. Les organisations qui souhaitent améliorer leurs programmes de protection de la vie privée pourraient envisager de lier les cadres de protection de la vie privée aux cadres de cybersécurité. L’équipe doit accorder une attention particulière aux cadres de cybersécurité (par exemple, NIST CSF, NIST SP 800-53, ISO 27001) ainsi qu’à leurs homologues en matière de confidentialité (par exemple, NIST Privacy Framework, ISO 29100).

Question 5 : Quels règlements faut-il prendre en considération?

Pour de nombreuses entreprises, la protection de la vie privée est traditionnellement régie par des réglementations telles que le RGPD, le CCPA et la loi américaine sur la portabilité et la responsabilité en matière d’assurance maladie (HIPAA). Un grand nombre des cadres disponibles sont conformes aux exigences et principes énoncés dans ces règlements. En comprenant le paysage réglementaire de l’organisation, l’équipe de sélection peut choisir un cadre qui répond à ces exigences, ce qui permet d’accélérer les efforts de mise en conformité. Toutefois, si les réglementations ne sont pas respectées, le cadre deviendra une charge supplémentaire pour les défis réglementaires actuels.

Avec les réponses à ces cinq questions, l’équipe de sélection devrait être prête à commencer à évaluer les cadres de travail afin de trouver celui qui convient le mieux à l’entreprise.

Évaluation et sélection d’un cadre

De nombreux facteurs organisationnels doivent être pris en compte lors de l’évaluation des cadres. La considération la plus importante est : ce cadre soutient-il les objectifs de l’entreprise? Le cadre choisi doit avant tout être adapté aux objectifs de l’entreprise, à la stratégie organisationnelle et aux besoins des parties prenantes. Si aucun de ces éléments n’est respecté, il sera difficile à l’entreprise entière d’adopter le cadre, ce qui ne peut que nuire à sa réussite.

Par exemple, une entreprise peut vouloir investir dans le renforcement des relations avec les consommateurs. Le bon cadre peut améliorer la confiance des clients en simplifiant les processus de demande des consommateurs, en réduisant les risques pour la vie privée et en donnant aux individus un plus grand contrôle sur leurs informations.

Compte tenu de ces objectifs, l’équipe de sélection peut lancer le processus d’évaluation.

Trouver le bon réglage

Pendant la période d’évaluation, l’équipe de sélection doit déterminer si un cadre est adapté à l’entreprise en fonction de son secteur, de sa taille et de la maturité de ses opérations. La maturité est une considération essentielle. Les entreprises doivent se poser la question suivante : Dans quelle mesure les processus de collecte, de gestion, de stockage et de transfert des données sont-ils solides? Des contrôles de confidentialité et de sécurité sont-ils en place pour protéger ces données? Y a-t-il des politiques régissant ces processus? Les politiques et procédures sont-elles conformes à la réglementation applicable? Au-delà des considérations opérationnelles, les entreprises devraient se demander : existe-t-il des ensembles de compétences appropriés pour soutenir ces processus? Y a-t-il suffisamment de personnel pour mettre en œuvre et aligner les opérations actuelles sur ce cadre? Est-ce que ce cadre renforcera ou inhibera l’équipe chargée de la protection de la vie privée?

Les entreprises qui adoptent une approche de la protection des données fondée sur la conformité peuvent développer une mentalité de réussite ou d’échec. Cependant, la confidentialité est une discipline en constante évolution et il est important de se concentrer sur la maturation du programme de confidentialité, pas seulement en cochant les bonnes cases. Le cadre (ou les cadres) choisis doivent servir d’outil pour surveiller en permanence les politiques et pratiques de protection des données et identifier les possibilités de progresser dans les composantes du programme, le cas échéant.

Chaque entreprise est unique, mais la bonne nouvelle est que les cadres sont conçus pour être généraux, de sorte que leurs concepts et principes peuvent s’appliquer à une grande variété d’entreprises.

Il peut y avoir plus d’une réponse correcte

Avec un certain nombre de cadres parmi lesquels choisir, beaucoup d’entreprises ont du mal à trouver celui qui convient. Ce n’est pas inhabituel. Cependant, au lieu d’adapter le cadre à l’entreprise, beaucoup essaient d’introduire leurs processus organisationnels dans le cadre. C’est une erreur.

La meilleure approche consiste à trouver un cadre qui corresponde raisonnablement bien au secteur, aux objectifs et à la maturité de l’entreprise. Il est essentiel d’harmoniser les objectifs de l’entreprise et ceux du cadre. L’équipe de sélection doit ensuite lancer une série d’évaluations pour identifier les opérations ou les facteurs de risque qui ne sont pas couverts par le cadre. Les parties d’autres cadres peuvent alors être adoptées pour traiter ces domaines, ou l’entreprise peut concevoir des contrôles supplémentaires qui s’appliquent à eux.

Il pourrait également être l’occasion d’examiner les cadres d’entreprise existants afin de déterminer s’ils couvrent certains de ces domaines. C’est un avantage clé pour choisir un cadre de confidentialité qui s’intègre bien avec d’autres cadres. Par exemple, le cadre de confidentialité du NIST est étroitement lié au CSF du NIST et au NIST SP 800-53. Tous les trois utilisent la même structure, ce qui facilite l’alignement. Bien que le cadre de confidentialité ne fournisse pas de descriptions détaillées des mesures de sécurité des données, les sections correspondantes du cadre de cybersécurité sont fournies. Le choix d’un cadre relatif à la protection de la vie privée et d’un cadre complémentaire en matière de cybersécurité peut offrir une plus grande souplesse, extensibilité et cohérence.

Il est également essentiel de ne pas réagir à chaque nouvelle réglementation sur la protection des données, car cette approche peut entraîner des coûts supplémentaires ou des changements importants dans l’environnement commercial. Le cadre (ou les cadres) choisi doit fournir une vision holistique de la vie privée au sein de l’entreprise, en identifiant les chevauchements entre les différentes réglementations sur la vie privée, puis en les alignant en fonction de l’environnement organisationnel (c’est-à-dire où les données sont traitées).

Adoption d’un cadre

Comme pour tout projet d’intégration, il n’existe pas d’approche unique pour adopter un cadre de protection des données. Comme pour tous les autres aspects du processus, la façon dont un cadre est intégré dans l’entreprise varie selon le secteur, la maturité et la culture organisationnelle. Toutefois, l’équipe d’intégration peut prendre quatre mesures pour s’assurer que la mise en œuvre se déroule sans heurts (figure 3).




imageÉtape 1 : Cadre et règlement de la carte
Si l’entreprise a choisi plusieurs cadres ou a un certain nombre de règlements à respecter, il est probable qu’il y ait chevauchement. La délimitation des zones de contrôle et leur regroupement par règlement et cadre peut réduire la complexité. Il peut également identifier les lacunes dans un cadre et assurer l’alignement sur les exigences de conformité. Les équipes axées sur la conformité (par exemple, audit interne, gestion des risques) peuvent tirer parti de leur expérience et de leurs connaissances pour orienter la cartographie du cadre.

Étape 2 : Adaptation à l’entreprise
L’adaptation du cadre aux préoccupations spécifiques des entreprises en matière de protection de la vie privée et aux exigences réglementaires facilitera l’adoption. Lorsqu’un cadre est adapté à l’entreprise, il est plus facile pour les parties prenantes de l’intégrer dans les opérations commerciales. La modification des contrôles avec des fonctions spécifiques pour les aligner sur l’entreprise, les systèmes d’information et l’environnement opérationnel rendra le cadre plus facile à mettre en œuvre.

Étape 3 : Document
Il peut y avoir des cas où une zone de contrôle spécifique d’un cadre ne s’applique pas à une entreprise. Dans ces cas, il est préférable de documenter les raisons techniques et commerciales pour lesquelles l’entreprise a décidé de ne pas utiliser cette zone de contrôle spécifique. L’équipe ne devrait pas simplement ignorer cette section du cadre. Une documentation appropriée sur le raisonnement sous-jacent à chaque exception sera utile lors des audits et des évaluations. En outre, la documentation est essentielle pour assurer la transparence et la compréhension des opérations et stratégies de l’entreprise.

Étape 4 : Communication et gestion de projets
Comme pour tout projet, la communication est essentielle au succès de l’adoption du cadre. Les informations relatives aux nouveaux cadres doivent être communiquées à l’avance afin que les fonctions de base sachent que des changements sont attendus. La communication fréquente est vitale; l’envoi régulier de mises à jour et de rappels maintient l’adoption du cadre en premier dans l’esprit des gens. La transparence est également essentielle. Si des changements doivent être apportés à la suite de l’adoption du cadre, l’équipe chargée de la mise en œuvre ne doit pas le cacher aux parties prenantes. En étant au courant des changements, l’équipe peut obtenir le soutien approprié pour assurer une adoption sans heurts.

Conclusion

L’existence d’un cadre de protection des données est très importante pour l’investissement et la hiérarchisation des efforts d’une entreprise en matière de protection des données. Toutefois, il ne suffit pas que les recommandations du cadre et les contrôles correspondants soient écrits sur papier. L’entreprise doit disposer de processus solides pour mettre en œuvre, gérer et améliorer ces contrôles et garantir leur efficacité. Quel que soit le cadre ou la combinaison de cadres qu’une entreprise choisit, elle doit disposer d’une stratégie globale pour mettre en œuvre les recommandations du cadre afin de protéger les informations personnelles et assurer la sécurité des données.

Note finale

1 International Association of Privacy Professionals (IAPP), TrustArc, Measuring Privacy Operations 2019; Cookies, Local vs. Global Compliance, DSARs and More, USA, 2019, https://download.trustarc.com/dload.php/? f=SFYUMOCK-841
2 Département de la santé et des services humains des États-Unis, Bureau du secrétaire adjoint à la planification et à l’évaluation (ASPE), "Records, Computers, and the Rights of Citizens," 1973, https://aspe.hhs.gov/report/records-computers-and-rights-citizens

Minaz Khan, CISA, CIPT

Consultant principal en matière de cybersécurité et de confidentialité des données pour le Point focal. Son expérience comprend la réalisation d’évaluations de la confidentialité et de la cybersécurité, en se concentrant sur des réglementations telles que le règlement général sur la protection des données (GDPR) de l’UE et la loi américaine sur la portabilité et la responsabilité de l’assurance médicale (HIPAA), et spécialisée dans les cadres créés par l’Institut national des normes et de la technologie (NIST) et l’Organisation internationale pour la normalisation/Commission électrotechnique internationale (ISO/IEC). Auparavant, elle a travaillé en tant qu’auditeur informatique pour Boeing Distribution Services, où elle a effectué des évaluations de risques, des audits de systèmes d’information et des tests de conformité à la loi américaine Sarbanes-Oxley (SOX).


Article original en anglais : https://www.isaca.org/resources/isaca-journal/issues/2021/volume-2/a-guide-to-selecting-and-adopting-a-privacy-framework

Complete and Continue