Le SHIELD Act de New York : ce que cela signifie pour les entreprises

Le Shield Act de New York est la dernière loi sur la confidentialité des données que les entreprises à travers le pays doivent prendre en compte, en particulier pour les entreprises ayant des clients actuels ou potentiels qui résident dans l'État. Quel effet cela aura-t-il sur les organisations et comment peuvent-elles se préparer aux futures réglementations et normes de conformité ?

Qu'est-ce que le SHIELD Act de New York ?

Le SHIELD Act de New York est entré en vigueur officiellement le 21 ^mars et est conçu pour étendre les réglementations existantes en protégeant davantage d'informations sur les consommateurs et en redéfinissant ce qui constitue une violation de données.

• Couverture : la loi SHIELD étend les personnes qui relèvent de la compétence de la loi. Auparavant, les entreprises qui devaient se conformer à la loi étaient des entreprises qui négociaient au sein de l'État. La nouvelle loi étend cela pour inclure tout client qui réside à New York, que l'entreprise y soit basée ou non.
• Définition : La définition de ce qui constitue une atteinte à la sécurité a été redéfinie en vertu de la loi. Auparavant, les données et informations personnelles devaient avoir été acquises par une partie non autorisée, destinée aux pirates et aux cybercriminels. Désormais, les consommateurs doivent être avertis lorsqu'une partie non autorisée accède à des informations, qu'elles aient été volées ou non.
• Types de données : Auparavant, le type d'informations protégées était toute donnée utilisée conjointement avec le numéro de sécurité sociale d'une personne, son numéro de permis de conduire ou d'autres numéros de compte pouvant être utilisés avec des mots de passe ou des codes d'accès permettant d'accéder à un compte. Cela a été élargi pour inclure les éléments suivants :
  • Numéros de compte financier pouvant être utilisés pour accéder à un compte, comme un numéro de carte de crédit
  • Noms d'utilisateur, mots de passe, e-mails et questions de sécurité
  • Informations biométriques utilisées pour identifier les individus

Les entreprises doivent se conformer à ces nouvelles réglementations dès maintenant.

« Il est essentiel que nos lois suivent le rythme de l'évolution rapide du monde de la technologie. Le SHIELD Act élève les normes de sécurité afin que plus aucun New-Yorkais ne soit inutilement victime de violations de données et de cyberattaques. – Sénateur Kevin Thomas, président de la commission de la protection des consommateurs

Pourquoi les entreprises devraient-elles s'en soucier ?

Amendes

Bien sûr, la considération la plus évidente à prendre en compte est les implications financières d'une violation des nouvelles réglementations de conformité.

La loi prévoyait auparavant un plafond de 150 000 dollars d'amendes pour une seule entreprise, mais ce plafond a été porté à 250 000 dollars.

Pour les violations conscientes et imprudentes - les organisations qui n'ont pas établi de procédures de conformité correctes - un tribunal peut demander des sanctions supérieures à 5 000 $ ou jusqu'à 20 $ par instance jusqu'à un plafond de 250 000 $.

En août 2019, le bureau du procureur général avait déjà imposé plus de 600 millions de dollars d'amendes aux entreprises qui ne respectaient pas les normes de conformité correctes en vertu de la loi précédente.

600 millions de dollars, c'est beaucoup d'argent, et cela, avec la signature de cette nouvelle loi, montre à quel point New York prend au sérieux la protection de la confidentialité des données pour les consommateurs.

Avec le SHIELD Act élargissant considérablement ce que les entreprises doivent respecter et les pratiques qu'elles ont en place, il est probable que ce chiffre augmentera considérablement au cours des prochaines années.

"La dure réalité est que les failles de sécurité sont de plus en plus fréquentes et avec cette législation, New York prend des mesures pour renforcer la protection des consommateurs et tenir ces entreprises responsables lorsqu'elles traitent mal des données sensibles." – Gouverneur Cuomo

En bref, il y a beaucoup plus d'aspects de la réglementation sur la protection des données que les entreprises peuvent tomber du mauvais côté, donc éviter les amendes et s'assurer que cela ne se produise pas devrait être une priorité absolue.

Garder votre entreprise

De nouvelles législations telles que SHIELD, ainsi que le CCPA existant en Californie et le GDPR dans l'Union européenne, indiquent clairement que les politiciens reconnaissent le mécontentement des consommateurs quant à la manière dont les organisations traitent leurs données.

Les gens sont plus conscients de leurs droits en matière de données et de leur confidentialité qu'ils ne l'ont jamais été, et 84 % des personnes déclarent qu'elles se soucient de la confidentialité, de leurs propres données, des données d'autres membres de la société et veulent plus de contrôle sur comment leurs données sont utilisées.

Mais comment cela affecte-t-il le succès d'une entreprise ?

Eh bien, franchement, assurer la protection des données est autant un effort d'auto-préservation pour les organisations que de garder à cœur les meilleurs intérêts de leurs clients.

79 % des personnes interrogées se disent très ou assez préoccupées par la manière dont les entreprises utilisent les données qu'elles collectent à leur sujet

À maintes reprises, les entreprises qui gèrent mal les données ou subissent des violations de données en raison de normes de protection des informations médiocres se tirent une balle dans le pied, car les consommateurs confieront simplement leur entreprise à quelqu'un d'autre s'ils sentent qu'ils ne sont pas protégés.

En fait, 48 % des répondants à une enquête ont déclaré qu'ils avaient déjà changé d'entreprise ou de fournisseur parce qu'ils étaient préoccupés par leurs politiques en matière de données et leurs pratiques de partage.

Le message est fort et clair de la part des consommateurs : prenez leurs données au sérieux, sinon ils transmettront leurs données aux entreprises qui le font.

Plus à venir

Comme nous l'avons brièvement mentionné, le SHIELD Act présente de nombreuses ressemblances avec les lois existantes sur la protection des données comme le CCPA et le RGPD.

SHIELD n'est pas le premier, et ce ne sera certainement pas le dernier.

Des lois comme celles-ci façonnent la conversation concernant le degré de protection des consommateurs.

Des personnalités du monde des affaires et des organisations réclament une loi fédérale sur la confidentialité des données inspirée du RGPD et du CCPA, et bien qu'un projet de loi fédéral bipartisan ne soit pas encore clos, toutes ces réglementations semblent aller dans la même direction.

Cela est particulièrement vrai si l'on considère l'impact que le CCPA et le SHIELD ont à eux seuls - 60 millions de personnes en Californie et à New York sont désormais couvertes par cela.

C'est près de 20 % de l'ensemble de la population américaine que les entreprises doivent respecter.

Il est probable qu'avec le temps, d'autres États suivront, même s'il n'y a pas de loi fédérale - des États comme la Floride (l'un des plus grands centres de population et marchés des États-Unis) présentent des projets de loi à leurs sénats.

Les entreprises qui ont une longueur d'avance reconnaîtront que des lois telles que CCPA et SHIELD ne sont qu'un début et prépareront leur organisation avec des normes et des pratiques complètes pour la conformité à la réglementation des données qui seront nécessaires pour ce qui est à venir.

Que peuvent faire les entreprises pour se préparer ?

Les entreprises devraient commencer par investir dans certains aspects clés de leur activité qui contribueront à protéger les données de leurs clients. Ce sont à savoir :

Mesures de protection des données

Comment vos données clients sont-elles stockées ?

L'une des raisons pour lesquelles l'adoption du cloud augmente si considérablement parmi les PME est sa facilité d'utilisation relative et ses normes élevées en matière de protection des données.

Alors que les années précédentes, les propriétaires d'entreprise hésitaient à stocker des données confidentielles sur le cloud, ils le font désormais en grand nombre en raison des progrès de la sécurité du cloud.

Les services cloud comme Azure de Microsoft utilisent des centres de données de niveau IV, qui offrent une sécurité maximale et aussi peu que 26 minutes d'indisponibilité par an.

De nombreuses entreprises exploitent un système hybride pour leurs données, conservant les informations générales sur le travail stockées dans des centres de données de cloud public ; tout en utilisant un centre de données privé pour leurs informations plus sensibles, ce qui leur donne plus de contrôle et d'options de personnalisation.

Cela permet plus de flexibilité aux organisations qui peuvent être particulièrement conscientes de la façon dont elles traitent leurs données.

Article connexe : Pourquoi vous avez besoin d'un centre de données de niveau IV

Personnel directement responsable de la coordination et de l'évaluation des risques

De manière générale, il est bon qu'un membre du personnel (ou un fournisseur) pilote votre politique de conformité.

La gestion efficace et conforme des données ne se limite pas à l'installation de nouvelles applications. Cela dépend essentiellement de la manière dont votre personnel utilise et partage les données et des solutions qu'il utilise pour le faire.

S'ils enfreignent les nouvelles lois ou les pratiques existantes, vous avez besoin de quelqu'un possédant le savoir-faire et la capacité de répondre à ces préoccupations et de mettre en œuvre les normes appropriées.

Cette personne devrait également être chargée de signaler toute violation de données qui se produit, en plus d'évaluer régulièrement tout risque potentiel en ce qui concerne le traitement des données, qu'il soit lié au matériel ou au logiciel.

Cela sera encore plus pertinent, compte tenu des difficultés rencontrées par les entreprises lors du partage de données au sein et entre une main-d'œuvre distante.

Certaines entreprises choisiront d'avoir quelqu'un en interne pour le faire, mais beaucoup opteront pour un MSSP parce qu'elles sont rentables et ont l'expertise de exactement ce que les entreprises doivent faire en ce qui concerne la protection des données en ce qui concerne leurs spécificités. situation.

Plats à emporter

• Le SHIELD Act de New York est une extension substantielle des lois existantes sur la confidentialité des données, auxquelles les entreprises doivent se conformer dès maintenant.
• Les exigences des consommateurs et l'intérêt croissant du public pour les lois sur la protection des données signifient que les entreprises doivent prendre leurs pratiques de traitement des données très au sérieux pour satisfaire leurs clients.
• SHIELD n'est que la dernière d'une série de lois sur la confidentialité des données, et d'autres lois dans les années à venir accéléreront encore la nécessité pour les organisations de se mettre au courant de leur conformité.

Votre entreprise est-elle conforme ?

De nouvelles lois telles que GDPR, CCPA et SHIELD ne sont que le début des normes de conformité en matière de protection des données que les entreprises doivent prendre en compte. L'un des principaux objectifs de toute organisation moderne devrait être de mettre fin aux violations de données. Mais comment?

Jetez un œil à notre eBook gratuit, « Qu'est-ce qui constitue une bonne cybersécurité pour une PME moderne ? » et voyez quelles mesures les entreprises devraient mettre en place pour assurer la sécurité de leurs données.