Comment le New York SHIELD Act affecte-t-il la confidentialité de nos données privées?
De façon assez compréhensible, la pandémie actuelle de coronavirus signifie que peu de gens pensent à la sécurité des données pour le moment. Néanmoins, le virus sera vaincu (espérons-le) bientôt, et nous devrons reprendre une vie normale. C'est pourquoi, malgré le verrouillage, le 21 mars, le SHIELD Act de New York est officiellement entré en vigueur. Voyons comment cela pourrait affecter le monde de la cybersécurité.
Table of Contents
Qu'est-ce que le SHIELD Act?
SHIELD signifie Stop Hacks et Améliore la sécurité des données électroniques, et il a été signé en juillet 2019. Il a été accepté par l'État de New York, mais il est important de noter qu'il affecte toutes les organisations qui traitent les informations personnelles des New Yorkais. Surnommée une extension de la loi actuelle sur la notification des violations de données, certaines de ses dispositions sont en vigueur depuis quelques mois, mais ce n'est que fin mars que les dernières ont été officialisées.
L'objectif est de faire en sorte que les entreprises fassent plus pour protéger les données personnelles des consommateurs, et il faut dire que ce n'est pas le premier acte de ce type. Le RGPD (ou règlement général sur la protection des données) de l'Union européenne a été mis en œuvre en mai 2018, et un mois plus tard, la Californie a signé sa propre loi sur la protection des consommateurs en Californie (CCPA). Les experts juridiques affirment que les changements introduits par le SHIELD sont similaires à ceux de l'UE et du Golden State.
Comment le SHIELD va-t-il changer la façon dont les entreprises gèrent nos données?
Selon le blog de droit et de confidentialité AdLawAccess.com, vous pouvez séparer les dispositions de SHIELD en trois catégories.
Les entreprises devraient d'abord penser à mettre en œuvre des initiatives administratives qui incluent la désignation d'un ou plusieurs employés qui seront en charge du programme de sécurité de l'entreprise, l'organisation de sessions de formation afin que le personnel soit mieux préparé à traiter les données en toute sécurité, à suivre les tendances actuelles de la cybersécurité, et évaluer les risques qu’ils présentent.
D'un point de vue technique, les entreprises doivent évaluer et essayer d'atténuer les risques associés à leur infrastructure réseau et aux produits logiciels utilisés. Il leur est également conseillé de réfléchir à la conception de leurs mécanismes de traitement des données ainsi qu'au plan de réponse aux incidents au cas où le pire se produirait.
Enfin et surtout, les organisations doivent mettre en place des garanties physiques, qui incluent des mécanismes qui détectent et empêchent les accès non autorisés et garantissent l'élimination sécurisée des données privées.
La nouvelle loi apporte également quelques modifications aux exigences pour les entreprises qui ont subi des incidents de cybersécurité, et elle élargit quelques définitions cimentées par les lois actuelles. La loi stipule que l'ampleur des changements que les organisations doivent apporter dépend de la taille de leur entreprise.
SHIELD fonctionnera-t-il réellement?
Les entreprises sont susceptibles de prendre connaissance de la nouvelle loi. New York est un domaine économique important et peu d'organisations voudraient y cesser leurs activités. Certains trouveront inévitablement impossible de se conformer aux nouvelles règles et décideront probablement de se retirer de l'État, mais la majorité tentera d'améliorer leurs défenses et de mettre en œuvre de meilleures pratiques de sécurité non seulement pour leurs utilisateurs basés à New York, mais pour tout le monde. Ce doit être sûrement une bonne nouvelle. Est-ce que cela résoudra tous nos problèmes?
Il y a des gens qui remettent en question la validité de lois comme le GDPR, le CCPA et le SHIELD, et ils n'ont pas tout à fait raison. Les nouvelles lois ont facilité l'accès des utilisateurs aux informations sur la manière dont leurs données sont traitées et ont également contraint les entreprises à renforcer leurs mécanismes de protection. Ceux qui ont échoué ont été passibles de lourdes amendes.
Malheureusement, rien de tout cela n'a stoppé le flux sans fin de violations et de fuites de données. En fait, les entreprises continuent de commettre des erreurs stupides et les résultats sont parfois assez dévastateurs. Donc, non, SHIELD n'est pas une panacée. Nous espérons que cela incitera les entreprises à élaborer des stratégies de sécurité plus robustes, mais cela ne les immunisera pas contre les incidents de cybersécurité. Les entreprises doivent également s'en rendre compte et voir quelles mesures supplémentaires elles peuvent prendre pour assurer la sécurité de leurs utilisateurs. Plus tôt ils le feront, mieux ce sera.
