L’État de l’Illinois a récemment voté plusieurs lois conçues pour renforcer les droits et protections de ses résidents en matière de confidentialité. Ces lois visent des objectifs similaires à ceux de réglementations internationales comme le GPDR de l’Union européenne et de lois américaines, comme le California Consumer Privacy Act (CCPA).
C’est pour mieux protéger les personnes physiques résidant dans l’État que le Personal Information Protection Act (PIPA) a été voté en juin 2005, pour une entrée en vigueur le 1er janvier 2006. En 2017, l’État a toiletté sa loi pour tenir compte des évolutions de la technologie et des méthodes de collecte de données, comme la biométrie.
Dans cet article vous découvrirez des informations essentielles sur la loi PIPA, ses cibles et la stratégie à suivre pour assurer la conformité de votre organisation.
- Qu’est-ce que le Personal Information Protection Act ?
- Qui est concerné par la loi PIPA ?
- Composants clés de l’Illinois Privacy Act
- Quelles données sont protégées par la loi PIPA ?
- Que puis-je faire pour me conformer à la loi PIPA ?
- Qui dois-je contacter si je suspecte une fuite de données ?
Qu’est-ce que le Personal Information Protection Act ?
La loi PIPA a été votée pour protéger les données personnelles des résidents de l’Illinois contre toute erreur de manipulation, utilisation incorrecte ou utilisation abusive. Elle impose diverses obligations aux entreprises et autres organisations qui collectent, manipulent ou enregistrent des données personnelles non publiques. Elle présente également les mesures que doivent prendre les entreprises en cas de violation de sécurité.
Par ailleurs, les entreprises et organisations possédant des informations personnelles sur des résidents de l’Illinois doivent mettre en place et maintenir des mesures de sécurité raisonnables pour protéger ces données contre tout accès, toute utilisation et toute modification non autorisés. Enfin, les organisations doivent également inclure des dispositions relatives à la protection des données dans les contrats signés avec les tiers qui stockent des données ou auxquels des données sont transmises.
Depuis son introduction, la loi PIPA vise à s’assurer que les informations personnelles et sensibles des résidents de l’Illinois sont manipulées, stockées et protégées de manière adéquate, et son actualisation est venue confirmer cet objectif.
Qui est concerné par la loi PIPA ?
Cette loi s’applique à l’ensemble des entreprises, organisations et entités qui collectent des données dans l’État. Cela inclut donc les entreprises, les administrations, les ONG, les universités et toute autre entité qui gère d’une manière ou d’une autre des informations personnelles non publiques, qu’elles soient ou non légalement immatriculées dans l’Illinois. Vous serez soumis à la loi PIPA quoi qu’il arrive dans la mesure où vous collectez ou gérez des données non publiques de citoyens de l’État.
De nombreuses entreprises appartenant à divers secteurs doivent connaître la loi PIPA et s’y conformer. Que vous travailliez dans le secteur de la santé ou de l’assurance et collectiez des données personnelles sur vos clients ou que vous soyez une entité marketing exploitant ce type de données pour générer des publicités ciblées, vous finirez par devoir vous conformer à cette loi si certains de vos utilisateurs vivent dans l’Illinois.
Composants clés de l’Illinois Privacy Act
La loi PIPA se compose de plusieurs éléments clés que les organisations concernées doivent connaître :
1. Notification en cas de fuite de données
Un des principaux objectifs de la loi est de faire en sorte que les résidents de l’Illinois soient informés de manière adéquate en cas de compromission de leurs données personnelles. En cas de fuite de données, l’entité doit informer toutes les personnes concernées, « le plus rapidement possible, sans délai excessif ». Ces notifications peuvent être écrites ou électroniques. Si ces moyens de communication ne sont pas envisageables, les collecteurs de données peuvent procéder à une notification générale par le biais d’organes de presse diffusés dans tout l’État.
2. Suppression des données
La loi PIPA demande aux entités de supprimer de manière sécurisée les données dont elles n’ont plus besoin pour assurer des services ou exécuter leurs activités. Cette disposition inclut les documents papier ou électroniques contenant les informations personnelles de résidents de l’Illinois. Les dossiers papier doivent être brûlés, déchiquetés ou éliminés par tout autre moyen approprié. Les dossiers électroniques doivent quant à eux être rendus illisibles et irrécupérables. Ces mesures assurent la sécurité et la confidentialité à long terme des consommateurs de l’Illinois.
3. Exigences de sécurité
La loi PIPA prévoit également que tous les collecteurs de données doivent prendre et maintenir des « mesures de sécurité raisonnables » pour protéger leurs dossiers contre les accès, acquisitions, destructions, utilisations, modifications et divulgations non autorisés. Elle ne précise pas la nature précise de ces mesures, mais les organisations peuvent se conformer à ces obligations en respectant les normes de protection des données fédérales ou de l’État, par exemple la norme HIPAA.
Quelles données sont protégées par la loi PIPA ?
Les types de données suivants sont les principales formes de données personnelles faisant l’objet de la loi PIPA :
- Numéros de sécurité sociale
- Permis de conduire ou pièce d’identité de l’État
- Numéro de passeport fédéral
- Numéros de comptes médicaux
- Numéros de comptes financiers
- Numéros de cartes de crédit et de débit
- Mots de passe et codes de sécurité de comptes divers
Que puis-je faire pour me conformer au Personal Information Protection Act de l’Illinois ?
La conformité à la loi PIPA ne passe pas nécessairement par des processus difficiles ou complexes. Quelques étapes simples peuvent suffire à garantir que la collecte, le stockage et l’élimination des données des citoyens de l’Illinois sont sécurisés et 100 % compatibles avec la loi.
1. Passez en revue vos processus administratifs
Une des meilleures choses à faire pour se conformer à la loi PIPA consiste à reprendre l’intégralité de vos processus administratifs en lien avec la collecte d’informations confidentielles et la politique de confidentialité globale des données des citoyens de l’Illinois. Étudiez de près la façon dont vous recueillez des données et lesquelles sont soumises à la loi PIPA. En cartographiant l’ensemble du processus, vous verrez clairement quelles sont vos éventuelles lacunes.
2. Mettez en place un système de notification des fuites de données
Un des principaux objectifs de la loi est de faire en sorte que les résidents de l’Illinois soient informés de manière adéquate en cas de compromission de fuite de données. En plus de revoir vos processus administratifs, vérifiez également quelles sont vos bonnes pratiques documentées pour la notification de ces incidents. Assurez-vous d’être capable d’informer rapidement les personnes concernées par e-mail ou courrier, mais aussi de disposer de contacts dans les médias pour communiquer sur les violations auprès des personnes que vous n’êtes pas en mesure de contacter directement.
3. Chiffrez l’ensemble des communications
Plus spécifiquement, le chiffrement des communications par e-mail est une mesure clé pour éviter les fuites de données et garantir une conformité de tous les instants à la loi PIPA. Le chiffrement des e-mails devient la norme, et il est de plus en plus souvent exigé par les lois internationales et américaines. La mise en place d’une technologie de chiffrement peut contribuer à éviter les fuites de données et vous éviter ainsi de devoir vous acquitter des obligations de notification prévues par la loi PIPA.
4. Supprimez les informations confidentielles
La suppression d’informations personnelles constitue une bonne pratique de base en matière de sécurité des données et il s’agit d’un point particulièrement important pour la conformité à la loi PIPA. Assurez-vous que votre collecte de données et votre plan de sécurité incluent des processus détaillés et complets de suppression des données, qu’elles soient sous forme physique ou numérique. Comme nous l’avons vu, les documents papier doivent être déchiquetés ou brûlés, et les supports numériques rendus irrécupérables. Si vous n’avez pas besoin de données personnelles pour fournir des services ou mener votre activité, supprimez-les sans tarder.
Qui dois-je contacter si je suspecte une fuite de données ?
Si vous suspectez une fuite de données, vous devez contacter les parties appropriées pour assurer votre conformité à la loi PIPA et éviter les amendes et autres pénalités. La plateforme Varonis de sécurité des données vous aidera à surveiller vos systèmes et détecter les fuites dès qu’elles surviennent. Vous aurez ainsi la certitude de pouvoir contacter les parties appropriées dans les délais prévus par la loi PIPA.
Voici les personnes, parties et entités à contacter si vous suspectez une fuite de données concernant un résident de l’Illinois.
- Service de la police de l’Illinois dédié à la cybercriminalité. +1 217 782 6637
- Services des annonces légales du Chicago Sun Times. +1 312-321-2345
- Procureur général de l’Illinois. 1-800-243-0618
- Ligne d’assistance de Varonis pour la conformité à la loi PIPA. +33.186.26.78.00
Conclusion
Les réglementations comme le California Privacy Rights Act incitent de plus en plus d’États, l’Illinois notamment, à adopter des normes et pratiques similaires. C’est dans ce contexte que la loi PIPA a vu le jour et été actualisée récemment. Mais pour se conformer à cette loi, il ne suffit pas de prévenir les bonnes personnes en cas de fuite de données. La meilleure chose à faire pour protéger les données des citoyens de l’Illinois est d’agir en amont pour éviter que ces fuites ne surviennent. Des technologies comme le chiffrement des e-mails et une détection avancée des menaces permettent de réduire le risque de fuite et de maintenir la conformité à la loi PIPA sur le long terme.
Que dois-je faire maintenant ?
Vous trouverez ci-dessous trois solutions pour poursuivre vos efforts visant à réduire les risques liés aux données dans votre entreprise:
Planifiez une démonstration avec nous pour voir Varonis en action. Nous personnaliserons la session en fonction des besoins de votre organisation en matière de sécurité des données et répondrons à vos questions.
Consultez un exemple de notre évaluation des risques liés aux données et découvrez les risques qui pourraient subsister dans votre environnement. Cette évaluation est gratuite et vous montre clairement comment procéder à une remédiation automatisée.
Suivez-nous sur LinkedIn, YouTube et X (Twitter) for pour obtenir des informations sur tous les aspects de la sécurité des données, y compris la DSPM, la détection des menaces, la sécurité de l’IA et plus encore.