Table des matières:
Aux États-Unis, il existe diverses lois fédérales et étatiques sur la notification des violations de données, bien qu'il n'existe pas de loi fédérale complète. En mai 2011, l'administration Obama a soumis au Congrès une proposition complète de cybersécurité qui comprend une exigence fédérale de notification de violation de données. Cela pourrait considérablement améliorer la cybersécurité, mais en janvier 2012, aucune loi fédérale sur la notification des violations de données n'avait été adoptée. Nous examinons ici la sécurité des données et la législation qui est mise en place pour remédier aux violations. (Pour une lecture générale, voir Les principes de base de la sécurité informatique.)
Faire un dossier fédéral
Au niveau fédéral américain, il existe des lois et des directives exigeant la notification des violations pour des types de données spécifiques: la loi sur la portabilité et la responsabilité en matière d'assurance maladie (HIPAA) et la loi sur les technologies de l'information en matière de santé pour la santé économique et clinique (HITECH) pour les informations sur les soins de santé, la Loi Gramm-Leach-Bliley pour les informations financières et directives du Bureau de la gestion et du budget (OMB) pour les informations personnelles détenues par les agences fédérales.
Selon la loi HITECH, les prestataires de soins de santé couverts par la HIPAA doivent informer les patients "rapidement" lorsque leurs informations médicales ont été violées. Le ministère de la Santé et des Services sociaux (HHS) et les médias doivent être avertis dans les cas où les infractions affectent plus de 500 personnes. Les fournisseurs de renseignements personnels sur la santé ont des exigences de notification de violation similaires, mais doivent en informer la Federal Trade Commission, plutôt que HHS.
Selon les directives émises par les régulateurs bancaires fédéraux en vertu de la Gramm-Leach-Bliley Act, lorsqu'une banque ou une autre institution financière prend connaissance d'une violation de données, elle doit mener une enquête pour déterminer la probabilité que les informations aient été ou seront utilisées à mauvais escient. Si la banque détermine qu'une mauvaise utilisation s'est produite ou est raisonnablement possible, elle doit en informer les clients concernés dès que possible.
L'avis du client peut être retardé si les forces de l'ordre déterminent que la notification va interférer avec une enquête criminelle et fournissent à la banque une demande écrite de retard. La banque doit informer ses clients dès que la notification n'interfère plus avec l'enquête. Cependant, la notification ne peut pas être retardée en raison de l'embarras ou des inconvénients pour la banque.
Selon les directives de l'OMB, les agences fédérales sont tenues de signaler toutes les violations de données impliquant des informations personnellement identifiables dans l'heure suivant leur découverte / détection. Cependant, les agences ont toute latitude pour signaler des violations de données en dehors de l'agence. Ils peuvent retarder la notification pour l'application de la loi, la sécurité nationale ou les besoins des agences.
Rêve californien
Au niveau des États, il existe une mosaïque de 46 lois des États (et du District de Columbia) sur la notification des violations de données. La Californie a promulgué la première loi de notification des violations de données en 2002, et elle a été utilisée comme modèle pour de nombreuses autres lois des États.
En vertu de la loi californienne, les entreprises doivent divulguer par écrit une violation de données aux clients "dès que possible, sans retard déraisonnable". Si la personne ou l'entreprise notifiante peut démontrer que la notification coûterait plus de 250 000 $ ou affecterait plus de 500 000 personnes, alors un avis de substitution sous la forme d'une publication sur le site Web et d'une notification aux principaux médias de l'État pourrait être utilisé. La loi exempte de notification toute violation de données dans laquelle les informations personnelles ont été cryptées.
Cependant, la Californie, contrairement à de nombreux autres États, n'inclut pas de sanctions en cas de non-notification rapide des consommateurs d'une violation de données. La Conférence nationale des législatures des États tient une liste des lois de notification des violations de données des États et des liens vers ces lois.
L'Europe ou le buste
En Europe, l'Union européenne a approuvé une obligation de notification de violation de données dans un amendement de 2009 à sa directive sur la confidentialité des données électroniques. Les États membres de l'Union européenne avaient jusqu'au 25 mai 2011 pour transposer cet amendement dans leur législation nationale.
L'amendement oblige les "fournisseurs de services de communications électroniques accessibles au public" à informer les autorités nationales d'une violation des informations personnelles qui pourrait entraîner une perte économique substantielle et un préjudice social pour les clients "dès qu'ils" ont connaissance de la violation. En outre, les clients concernés doivent être informés de la violation "sans délai". La notification doit inclure des informations sur les mesures prises par l'entreprise, ainsi que les actions recommandées pour les clients concernés.
Des modifications de la directive européenne sur la protection des données sont attendues en 2012, notamment l'obligation pour toutes les entreprises, et pas seulement les fournisseurs de services de communications électroniques, d'informer les autorités nationales et les clients concernés dans les 24 heures d'une violation des informations personnelles.
La loi britannique sur la protection des données, antérieure à la directive européenne sur la protection de la vie privée et les communications électroniques, prévoit un ensemble complet d'exigences pour la protection des données par les entreprises, bien qu'elle ne contienne aucune obligation de notification de violation de données.
L'ICO (UK Information Commissioner's Office), qui est responsable de la mise en œuvre de la loi, a déclaré que les entreprises devraient signaler à l'ICO les violations graves de données, définies comme des violations pouvant causer des dommages potentiels aux individus. L'agence a déclaré qu'elle s'attendrait à ce que les entreprises britanniques l'informent des violations d'informations personnelles non chiffrées sur 1 000 personnes ou plus. L'ICO a déclaré qu'il n'était pas de sa responsabilité d'informer les consommateurs concernés, mais elle pourrait recommander que l'entreprise rende publique la violation "lorsque cela est clairement dans l'intérêt des personnes concernées ou s'il existe un argument solide de l'intérêt public pour le faire".
Violation des données et signalement
En réponse aux violations de données très médiatisées et aux pressions du public, les législateurs et régulateurs américains et européens envisagent de faire obligation à toutes les entreprises de signaler les violations de données aux autorités nationales et aux consommateurs concernés. Cependant, en janvier 2012, aucun de ces efforts n'avait abouti à des lois et réglementations complètes sur la notification des violations de données aux États-Unis ou dans l'Union européenne.
