Tout ce que vous devez savoir sur la confidentialité des données
Selon les Nations Unies, 137 pays dans le monde ont mis en place une législation visant à garantir la protection des données et le respect de la vie privée. Ce chiffre représente près de 71 % des pays à travers le monde. Et 9 % étudient actuellement des projets de loi, ce qui signifie que 80 % des pays exigent activement que les entreprises prennent des mesures pour protéger les informations personnelles.
Dans un monde où la collecte et l’utilisation d'informations personnelles sont devenues monnaie courante, les individus souhaitent qu'on renforce leurs droits à la protection de leurs données. Divers organismes gouvernementaux entendent ces demandes et interviennent afin de responsabiliser davantage les entreprises.
Vous trouverez ci-dessous des exemples des dernières lois votées sur le respect de la vie privée dans plusieurs régions du monde et ce que vous pouvez faire pour protéger et sécuriser vos données de sécurité physique.
Les dernières législations sur le respect de la vie privée dans le monde
Le Règlement général sur la protection des données (RGPD) a été l’une des premières lois officielles sur la protection des données en Europe. Depuis, des pays, des États et des régions ont emboîté le pas, promulguant leur propre législation pour permettre à chacun d’avoir un contrôle sur ses données. Par ailleurs, les organisations sont tenues responsables de leurs pratiques d’utilisation des données.
Les lois mondiales sur le respect de la vie privée sont de plus en plus nombreuses. Vous pensez peut-être que vous faites tout ce qu’il faut pour vous conformer aux réglementations en matière de protection des données et de respect de la vie privée, mais il est important de continuer à s’informer car les législations évoluent en permanence.
Voici plusieurs évolutions récentes de la législation sur le respect de la vie privée :
En Thaïlande, la Loi sur la protection des données personnelles de 2019 est entrée en vigueur en juin 2021. Il s’agit de la toute première loi qui porte précisément sur la confidentialité des données dans le pays et elle s’appuie en grande partie sur le RGPD. Le non-respect des dispositions réglementaires peut coûter aux organisations jusqu’à 4 % du chiffre d’affaires mondial et même des peines de prison.
Les principales obligations comprennent l’obtention du consentement pour le traitement des données, la prévention de l’accès non autorisé aux données personnelles, le transfert de données uniquement vers des pays ayant mis en place des normes renforcées de protection de la vie privée et le respect des droits des utilisateurs.
Au Canada, la Loi de mise en œuvre de la charte numérique (DCIA) 2022, également appelée « projet de loi C-27 », propose une réforme de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) sous forme de trois textes législatifs. Il s’agit notamment de la Loi sur la protection de la vie privée des consommateurs (CPPA), de la Loi sur le Tribunal des renseignements personnels et de la protection des données (PIDPTA) et de la Loi sur l’intelligence artificielle et les données (AIDA).
Bien que la DCIA 2022 ne soit pas encore entrée en vigueur, les modifications auront une incidence sur la loi canadienne de respect de la vie privée dans le secteur privé et fourniront de nouvelles règles pour le développement et le déploiement responsables de l’intelligence artificielle (IA).
Ayant toujours une longueur d’avance, la province de Québec a adopté son propre cadre global : une loi modernisant les dispositions législatives relatives à la protection des renseignements personnels. Pour les entreprises, les nouvelles dispositions comprennent la désignation d’une personne responsable de la protection des données et du signalement des incidents de confidentialité à la Commission d’accès à l’information (CAI) du Québec, ainsi que l’obligation d’information à la CAI avant toute mise en œuvre de technologie biométrique.
Aux États-Unis, la California Consumer Privacy Act a été la première et la plus avant-gardiste législation du pays. Mais déjà, de nouvelles modifications et extensions proposées dans le cadre de la nouvelle California Privacy Rights Act (CPRA) devraient entrer en vigueur en janvier 2023.
D’autres États, dont l’Utah, le Colorado, le Connecticut, la Virginie, la Pennsylvanie, le New Jersey et l’Ohio, ont également emboîté le pas. Ils ont mis en œuvre leurs propres lois ou sont actuellement en train d’adopter de nouvelles réglementations sur le respect de la vie privée.
Plus récemment, l’American Data and Privacy Protection Act (ADPPA) a fait l’objet d’un examen aux États-Unis. Elle vise à fournir un tout premier cadre en matière de confidentialité des données, imposé par le gouvernement fédéral dans l’ensemble du pays.
Au Royaume-Uni, le RGPD britannique et le Data Protection Act 2018 sont les principaux textes législatifs sur la protection des données. Mais à la fin de 2021, le gouvernement britannique a commencé à réévaluer les lois existantes dans le cadre d’une consultation formelle intitulée « Données : une nouvelle orientation (Data: A new direction) ». Des mois plus tard, en juin 2022, de nouvelles réformes de la législation britannique sur la protection de la vie privée ont été annoncées :
« Les réformes proposées au cours de la consultation offrent au Royaume-Uni l’occasion de remodeler son approche de la réglementation en dehors de l’UE et de saisir des opportunités grâce à ses nouvelles libertés réglementaires. »
Ce n’est qu’un aperçu des changements apportés aux lois internationales sur la confidentialité des données. De la Nouvelle-Zélande à l’Afrique du Sud, en passant par Bahreïn et l’Inde, des pays du monde entier prennent au sérieux les questions de respect de la vie privée et apportent des modifications aux obligations des entreprises.
Comment protéger les données de sécurité physique de mon organisation ?
Pour votre équipe de sécurité, la protection des personnes et des biens nécessite parfois la collecte de données personnelles. Cette collecte intervient lors de l’utilisation de la vidéosurveillance, des bornes d’enregistrement, des points de contrôle de sécurité dotés de technologies biométriques, de la reconnaissance automatique des plaques d’immatriculation, de la détection des intrusions et des systèmes de suivi.
Chaque loi sur la protection des données et le respect de la vie privée est unique, et il est important d’évaluer votre utilisation des données et les politiques que vous avez mises en place. Posez-vous les questions suivantes : quels types de données collectons-nous ? Comment les collectons-nous ? Où toutes nos données sont-elles stockées ? Qui accède à nos données ? Avec qui et comment partageons-nous nos données ?
Dans vos réflexions sur ces questions, voici quelques éléments à considérer en priorité :
-
Embauchez un responsable de la protection des données dont le rôle sera d’évaluer les pratiques et les politiques en matière de données, et de superviser la conformité réglementaire.
-
Tenez-vous au courant des réglementations du secteur et du gouvernement en matière de respect de la vie privée pour faire en sorte que vos processus de gestion, de transfert et de stockage de vos données de sécurité physique respectent toujours les normes.
-
Tirez parti des outils de cybersécurité intégrés tels qu’un chiffrement fort pour protéger les données en transit et stockées.
-
Choisissez des produits de sécurité qui vous offrent un contrôle total et une visibilité sur les personnes ayant accès à vos données et celles qui sont autorisées à gérer l’accessibilité.
-
Déployez des outils d’anonymisation vidéo afin de surveiller et de partager les informations de sécurité physique tout en respectant la vie privée des individus.
Assurez votre conformité dès le départ
Si vous recherchez une nouvelle solution de sécurité physique, il faudra envisager des systèmes qui intègrent le respect de la vie privée dès le départ : c’est ce qu’on appelle le Respect de la vie privée dès la conception.
La protection de la vie privée et la cybersécurité doivent constituer le mode de fonctionnement par défaut de toutes les organisations. Lorsque votre solution de sécurité physique est conçue dès le départ dans un souci de respect de la vie privée, vous n’avez pas à choisir entre la protection de la vie privée des individus et la sécurité physique de votre organisation.
« Les gens abordent souvent la sécurité et le respect de la vie privée comme un jeu à somme nulle. Vous ne pouvez avoir un gain positif que dans un domaine, toujours au détriment de l’autre. Ce modèle soit gagnant, soit perdant, à somme nulle est totalement obsolète. Il faut l’oublier. Oui, le terme confidentialité suppose une protection dont la portée est beaucoup plus vaste que la simple sécurité. Si vous ne disposez pas d’une base de sécurité solide de bout en bout avec une protection complète du cycle de vie en cette ère de piratages quotidiens, vous ne parviendrez jamais à protéger la vie privée. »
Dr Ann Cavoukian, Directrice exécutive Respect de la vie privée et Sécurité dès la conception
Confidentialité des données et cybersécurité vont de pair
D’après le Rapport sur l’État de la sécurité physique de cette année, 49 % des personnes interrogées ont déclaré que leur organisation avait mis en œuvre une stratégie de cybersécurité améliorée en 2022.
Un grand nombre d’organisations ont déjà déployé des mesures de cybersécurité et de respect de la vie privée. Les préoccupations en matière de cybersécurité ne cessent d’augmenter et constituent l’un des principaux facteurs qui ralentissent l’adoption des nouvelles technologies. Un peu moins des deux tiers des répondants ont déclaré que les outils liés à la cybersécurité seront toujours au centre des préoccupations en 2023.
Voici quelques outils et stratégies pour maintenir une cyber-hygiène robuste :
Investissez dans une stratégie de sécurité unifiée : une plateforme unifiée vous évitera les pertes de temps associées à des solutions multiples pour garantir la cyberhygiène de votre système ou suivre son état de santé. Une interface unique vous permettra de garder le contrôle des données de tous vos systèmes.
Automatisez la conservation de vos vidéos et de vos données : conserver des informations sensibles plus longtemps que nécessaire va à l’encontre de nombreuses nouvelles lois sur le respect de la vie privée et expose votre organisation à des risques inutiles. Vous devriez plutôt automatiser les calendriers de conservation pour suivre la durée de conservation des fichiers et garantir le respect des politiques.
Simplifiez la maintenance des logiciels et des appareils : investissez dans des solutions de sécurité qui vous avertissent des mises à jour logicielles et micrologicielles, de façon à toujours disposer des moyens de défense les plus récents contre les vulnérabilités. Un système qui vous invite à modifier automatiquement les mots de passe contribue également à renforcer la cyber-résilience.
Qu'est-ce que Privacy Protector ?
Le module KiwiVisionMC Privacy Protector permet de garantir le respect de la vie privée des individus lors du suivi ou du partage d’éléments de vidéosurveillance.
Privacy Protector anonymise de façon dynamique l’identité des individus dans les vidéos en direct et enregistrées. Ainsi, vos opérateurs ne voient que ce qu’ils ont besoin de voir, et vous évitez toute intrusion inutile dans la vie privée. De plus, avec les autorisations, vous pouvez facilement contrôler les opérateurs habilités à accéder au contenu d’origine.
En cas d’incident, les opérateurs disposant des droits d’accès adéquats peuvent visionner la vidéo non floutée directement depuis la plateforme Security Center. L’enregistrement d’origine peut également être chiffré à l’aide de certificats empêchant les accès non autorisés.