Privacy and data protection

La confidentialité et la protection des données sont de plus en plus importantes pour les entreprises. L’importance de ces domaines d’intérêt découle en partie de l’avantage concurrentiel, car les clients s’attendent à une protection rigoureuse de leurs données. En même temps, différentes juridictions ont établi des lois et des réglementations strictes concernant la gestion et la protection de certaines catégories de données. Parmi les plus influentes figure le Règlement général sur la protection des données (RGPD) de l’Union européenne, qui s’applique aux données stockées partout dans l’Union et fixe également des limites au transfert vers d’autres juridictions des données protégées associées aux citoyens de l’UE.

De nombreux pays ont leur propre conception de la confidentialité, et les organisations internationales sont soumises aux exigences des juridictions dans lesquelles elles opèrent. Comme les sanctions liées au non-respect de ces règles se sont accrues (par exemple, la violation du RGPD peut entraîner une amende allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel de l’entreprise), les sociétés estiment qu’il devient de plus en plus important de gérer ces domaines de risque. Aux États-Unis, les informations relatives à la santé font l’objet d’une protection stricte (Health Insurance Portability and Accountability Act [HIPAA]), et l’État de Californie a élargi une loi sur la protection de la vie privée des consommateurs, dont l’objectif est très similaire à celui du RGPD (California Privacy Rights Act [CPRA]).

Le terme « données » a traditionnellement été utilisé comme un sous-terme pour désigner les formes d’information numérique. Dans le contexte de la gestion des risques, la distinction entre données et information reste valable ; toutefois, les professionnels du risque doivent savoir que les lois et réglementations relatives à la confidentialité des données peuvent également inclure des informations sous format non numérique.

Les professionnels doivent comprendre que la confidentialité est un domaine dynamique, soumis à des changements constants, et que les règles applicables dans certains contextes peuvent entrer en conflit avec celles en vigueur dans d’autres, selon la géographie ou le type de données concerné. Même dans un environnement infonuagique, le stockage physique des données peut imposer des obligations à une organisation, et les accords internationaux ne sont pas toujours fiables à long terme. Par exemple, le programme « Safe Harbor » entre les États-Unis et l’UE, créé pour faciliter la conformité au RGPD, a été jugé insuffisant par une cour européenne en 2020. Chaque ensemble de lois et de règlements propres à un contexte donné nécessite une étude approfondie du rôle et des responsabilités du professionnel du risque, et il convient de rester informé de l’évolution constante de ces domaines.

En résumé, la confidentialité est très proche de la notion de confidentialité des informations, c’est-à-dire qu’elle vise à garantir que personne n’accède à l’information sans y être autorisé.

Quelles mesures de sécurité mettez-vous en œuvre pour garantir la confidentialité des données ?