Comprendre la réglementation sur la protection des données aux États-Unis et comment SOAR peut vous aider

Tandis que Le Règlement général sur la protection des données (RGPD) est en vigueur dans toute l'Union européenne., Aux États-Unis, la réglementation en matière de protection des données varie d'un État à l'autre. Toutefois, cela pourrait changer avec la Loi de 2020 sur la protection et la sécurité des données des consommateurs (CDPSA), actuellement en cours d'examen législatif. Entre-temps, le Loi californienne sur la protection des données des consommateurs (CCPA) chef de file national en matière de réglementation de la protection de la vie privée.

Le RGPD et le CCPA partagent des objectifs communs concernant le droit d'accès, le droit à l'oubli et le droit de retrait. Le CCPA se distingue par l'obligation pour les sites web d'afficher une politique de confidentialité. Le RGPD, quant à lui, garantit le droit de rectification des données inexactes et exige un consentement explicite. Bien que les deux réglementations partagent des objectifs similaires en matière de notification des violations de données, elles présentent des différences quant aux délais, aux autorités compétentes et aux délais de notification aux personnes concernées.

La loi CCPA continue de faire référence aux États-Unis, mais même cette réglementation est susceptible d'être mise à jour, voire entièrement remaniée. C'est un phénomène que nous devrions observer dans les années à venir, la loi californienne sur la protection de la vie privée (CPRA) étant inscrite sur la liste des référendums de novembre 2020. Par ailleurs, une quinzaine de lois étatiques et fédérales sont actuellement en cours d'examen. En résumé, la protection des données évolue et se développe à un rythme accéléré.

De plus, la législation américaine en matière de protection des données s'adresse soit à un secteur spécifique, comme la loi HIPAA ou la loi GLBA, soit à un sous-ensemble précis de la population, à l'instar de la loi COPPA (Children's Online Privacy Protection Rule). Les organisations qui parviennent à maîtriser ce réseau complexe de réglementations y parviennent grâce à une collaboration étroite entre les équipes GRC (Gouvernance, Risque et Conformité), juridiques, IoT (Internet des objets) et cybersécurité. Cet effort collectif favorise également une évolution culturelle et des mentalités au sein de l'entreprise.

La protection des données ne peut plus être une simple réflexion après coup lors de la planification stratégique des opérations commerciales et des évolutions technologiques.

À l'instar du RGPD, les États-Unis commencent à prendre conscience des difficultés inhérentes à la fragmentation des réglementations édictées et appliquées par chaque État. C'est là qu'intervient la CDPSA, mentionnée précédemment. Celle-ci vise non seulement à résoudre ce problème par une réglementation centralisée et appliquée au niveau fédéral, mais elle définit également des seuils en fonction de trois caractéristiques des entreprises. La CDPSA définit une petite entreprise comme une entreprise employant moins de 500 personnes, réalisant un chiffre d'affaires brut moyen inférieur à 145 millions de dollars sur trois ans, et ne respectant aucun seuil en matière de données traitées.

Ce texte diffère légèrement du RGPD et présente des similitudes avec le CCPA concernant les seuils explicitement définis en fonction du chiffre d'affaires, du nombre d'employés et des activités de l'entreprise. Les États-Unis visent à trouver un équilibre entre le coût de la mise en conformité et les avantages de la protection des données des consommateurs. Si l'on se fie à l'histoire, la législation américaine privilégiera probablement les intérêts commerciaux. Si seulement nous pouvions prédire l'avenir, la législation américaine prévaudrait-elle sur les lois étatiques en matière de protection des données ? Par ailleurs, la législation fédérale peut-elle égaler, voire surpasser, les exigences du CCPA ? En attendant, nous pouvons encore développer nos programmes de protection des données en nous appuyant sur les meilleures pratiques.

Le défi

La plupart des organisations, grandes et petites, peinent à suivre l'évolution de la réglementation à l'échelle nationale et internationale. Se tenir au courant de toutes ces modifications réglementaires en matière de protection des données représente un véritable défi pour toutes les organisations.

L'effort nécessaire pour établir et maintenir la conformité en matière de protection des données au sein d'une organisation ne doit pas reposer sur une seule personne ou équipe, mais sur un effort collectif impliquant l'ensemble de l'organisation. Il s'agit d'échanger sur les enjeux et de définir les actions à entreprendre. Pour démarrer, il est essentiel de comprendre vos données tout au long de leur cycle de vie, de classifier les systèmes pour les environnements qui interagissent avec elles, d'identifier les tiers impliqués et de documenter le processus. En bref, il faut s'appuyer sur les bonnes vieilles politiques et procédures. Bien que l'idée de politiques et de procédures puisse vous séduire, nous y reviendrons plus tard. Sachez simplement que sans une compréhension documentée de vos données et de vos systèmes, vous risquez d'attirer l'attention des auditeurs ou des organismes de réglementation.

Lors de la cartographie du cycle de vie des données, veillez à prendre en compte tous les points d'entrée et de sortie possibles, ainsi que tout traitement automatisé. Cela peut s'avérer particulièrement complexe si vous externalisez vos activités marketing ou si vous utilisez des services de distribution et de campagnes par e-mail. Droit à l'oubli Dans ce cas précis, et si votre organisation peut accéder à la demande d'un citoyen de l'UE souhaitant la suppression de toutes ses données personnelles, y compris ses courriels, les processus métier secondaires ou externalisés, tels que les campagnes d'e-mailing automatisées, deviennent soudainement plus exposés aux risques de non-conformité.

La solution SOAR

Alors que les réglementations sur la protection des données continuent de mettre les organisations à l'épreuve, il existe des espoirs et des stratégies pour aligner les technologies, les ressources humaines et la conformité avec un solution d'orchestration, d'automatisation et de réponse en matière de sécurité (SOAR). En intégrant une plateforme SOAR aux systèmes concernés, les entreprises peuvent synchroniser et utiliser les données dans l'ensemble du centre des opérations de sécurité (SOC), des services informatiques, de la conformité et d'autres processus.

Les SOC et les services informatiques sont déjà surchargés de travail. Ajouter des responsabilités en matière de conformité risquerait de disperser leur temps et leur attention déjà précieux. C'est là que l'automatisation peut s'avérer utile.

SOAR permet à toute organisation de tirer parti de ses ressources humaines, de ses processus et de ses technologies existants, ce qui s'avère particulièrement utile lorsqu'il est nécessaire d'intégrer de nouvelles fonctions de conformité au sein d'une équipe. Étant donné que certains aspects de la conformité requièrent une intervention humaine, comme la validation de l'identité d'une personne concernée, une solution SOAR peut exécuter automatiquement les flux de travail désignés et alerter le personnel lorsqu'une intervention manuelle est requise. Mieux encore, le processus SOAR libère l'humain de toute tâche superflue en prenant en charge l'ensemble des opérations, à l'exception de l'évaluation et de la décision manuelles. Une fois la décision humaine prise et l'action appropriée définie, l'automatisation et l'orchestration SOAR prennent le relais pour finaliser le processus.

En tirant parti des connaissances acquises grâce aux ressources de conformité mentionnées précédemment et à l'automatisation des flux de travail, les équipes peuvent répondre rapidement aux demandes des personnes concernées tout en préservant le niveau de sécurité critique de l'organisation. Les organisations qui exploitent l'automatisation de leur solution SOAR peuvent éviter de surcharger leurs équipes SOC et informatiques en créant des flux de travail qui gèrent la plupart, voire la totalité, de ces processus sans intervention humaine.

Vous souhaitez en savoir plus ?

Si vous lisez ceci, votre organisation est probablement submergée par un afflux quotidien d'alertes provenant d'un paysage de menaces en constante évolution et se trouve confrontée à des processus et procédures réglementaires et de conformité complexes. Swimlane peut vous aider ! Visionnez ce webinaire à la demande., solution d'orchestration, d'automatisation et de réponse en matière de sécurité (SOAR) pour découvrir comment SOAR peut vous aider à automatiser vos rapports de conformité.

Webinaire : Rationalisation des exigences en matière de réponse aux incidents et de rapports de conformité

Alors que les équipes SOC continuent d'atténuer les cybermenaces et de s'y adapter, une chose demeure constante : la réponse aux incidents nécessitera toujours une documentation et un reporting. Dans le secteur de l'énergie, l'une des exigences de conformité courantes est la protection des infrastructures critiques de la North American Electric Reliability Corporation (NERC CIP), un ensemble de normes visant à sécuriser les actifs nécessaires à l'exploitation et à la stabilisation du réseau électrique nord-américain. Dans ce webinaire (replay), Bob Swanson, consultant en recherche sur la conformité, et Jay Spann, expert SOAR, expliquent comment SOAR peut simplifier et faciliter la création de rapports de conformité et de dossiers d'audit. Visionnez-le dès maintenant !

Regardez maintenant