Bonnes pratiques en matière de protection des données personnelles

La protection des données personnelles fait référence au processus de sécurisation des données essentielles et sensibles contre la compromission, la corruption ou la perte.

Les règles traditionnelles de protection des données visent à garantir que les données peuvent être restaurées à la suite d'un événement de perte de données. Cependant, le cas de la confidentialité et de la protection des données personnelles diffère. Pourquoi? Eh bien, si une personne physique identifiable subit une violation de données personnelles, quiconque accède aux données compromises peut l'utiliser pour l'extorquer ou usurper son identité. Ici, la récupération de données ne servira pas à grand-chose ; Au lieu de cela, l'utilisateur doit alerter les autorités publiques et s'assurer de mettre fin à tous les moyens de paiement compromis.

La protection des données et la confidentialité visent à définir les données sensibles dans la collecte de données d'un utilisateur et à appliquer une sécurité des données de haut niveau afin qu'aucun acteur non autorisé ou logiciel tiers ne puisse accéder aux informations.

Toutes les données relatives à l'utilisateur et à la localisation sur différents appareils (PC, ordinateurs portables, smartphones, tablettes, etc.) peuvent être utilisées pour identifier des personnes par des auteurs de menaces. Par exemple, les adresses IP sont un identifiant en ligne car elles contiennent les données de localisation virtuelles (et, si elles sont inspectées en profondeur, physiques) de vos appareils. Les utilisateurs doivent mettre en œuvre des mesures de protection appropriées pour protéger les identifiants en ligne et les informations contextuelles.

Les informations personnellement identifiables (PII), ou simplement « informations personnelles », peuvent être des informations identifiant une personne particulière directement ou en les combinant avec d'autres identifiants. La sécurisation des données personnelles est une préoccupation majeure pour les stratégies de confidentialité des données.

Votre nom, votre date de naissance et votre adresse sont les principaux exemples d'informations personnelles. Vous les utilisez pour créer des comptes sur le Web, remplir des formulaires ou faire des achats en ligne. Un numéro d'identification national (passeport) ou un numéro de permis de conduire sont moins fréquemment utilisés, mais constituent des moyens simples d'identifier les individus. Viennent ensuite les origines ethniques ou raciales, la religion, les antécédents médicaux, financiers ou criminels. Avec votre adresse IP (si elle est traçable), ceux-ci sont suffisants pour former un profil d'identité sociale.

Les données biométriques - ADN, enregistrements vocaux et empreintes digitales - peuvent également être utilisées par des tiers pour l'identification de leur titulaire.

Les images de vidéosurveillance contiennent souvent des images de différentes personnes. Si les images peuvent être utilisées pour déterminer l'identité d'une personne, elles sont également considérées comme des « renseignements personnels ».

Le RGPD du Royaume-Uni définit également une classe d'« identifiants en ligne ». Par exemple, les identifiants de cookies peuvent contenir des données personnelles dans certaines circonstances. Lorsque vous vous connectez à un site spécifique, le cookie d'authentification de l'utilisateur implique le traitement de données personnelles pour permettre la connexion à votre compte.

La confidentialité des données englobe les données personnelles collectées sous différentes formes. L'information n'a pas besoin d'être écrite ; Il peut également indiquer à quoi ressemblent les personnes concernées ou à quoi elles ressemblent : photos, enregistrements audio et vidéo. Dans de tels cas, le règlement général sur la protection des données et la loi sur la protection de la vie privée ne s'appliquent que lorsque les informations sont traitées par des « moyens automatisés » (électroniquement) ou manuellement dans le cadre d'un autre système de classement.

Les données personnelles peuvent désigner une personne physique directement identifiable - « Le plat préféré de Mike est la lasagne » - ou être utilisées pour identifier indirectement la personne concernée - « Le frère de Mike adore cette marque spécifique de pizza ». (dans ce dernier exemple, vous ne connaissez pas directement l'identité du frère de Mike, mais vous pouvez l'identifier indirectement via le contexte et plus d'informations)

Même si les personnes physiques utilisent des pseudonymes ou appliquent l'anonymat à leurs données personnelles, le traitement des informations peut être inversé si les personnes physiques ou les personnes concernées peuvent être identifiées par des informations supplémentaires. Dans de tels cas, ces données peuvent toujours être considérées comme « personnelles ». Si les données sont anonymisées de manière irréversible et ne peuvent pas être utilisées pour identifier une personne physique de manière transparente, elles ne sont pas considérées comme des « données personnelles ».

De nos jours, la plupart d'entre nous sont submergés par des activités en ligne. Nous utilisons Internet pour travailler, naviguer sur les réseaux sociaux, acheter des produits dans des magasins en ligne, discuter de nos problèmes quotidiens sur des forums, etc.

C'est devenu une habitude d'insérer votre nom et votre âge lorsque vous créez un compte en ligne ou de saisir les informations de votre carte de crédit lors de l'achat de plats à emporter. Bien que de nombreux services reposent sur le cryptage et une sécurité accrue, les informations que nous partageons en ligne, intentionnellement et non, peuvent tomber entre les mains de tiers non autorisés. Si cela se produit, les failles de sécurité peuvent compromettre vos comptes en ligne et vos engagements dans la vie réelle. De plus, les cyberacteurs peuvent vendre les données collectées au plus offrant.

Pour éviter le vol d'identité ou le vol financier, les utilisateurs doivent être conscients des risques liés au partage d'informations personnelles et ne partager ces informations qu'avec des destinataires de confiance, conformément aux meilleures pratiques en matière de confidentialité des données.

La loi sur la protection des données régit les scénarios qui peuvent être considérés comme un « traitement d'informations personnelles ».

Le traitement des données concerne essentiellement l'utilisation de la protection des données personnelles sous quelque forme que ce soit - collecte, stockage, consultation, récupération, divulgation ou partage de données avec un autre sujet, destruction ou effacement. Toutefois, la loi sur la protection des données ne s'applique pas lorsque le traitement des données est effectué uniquement pour des activités personnelles ou domestiques.

Les lois sur la protection des données et de la vie privée (telles que le RGPD) visent à garantir la protection et la confidentialité des données personnelles, la portabilité des données et la sécurité des données personnelles dans un système de technologie de communication spécifique comprenant les organisations et les entreprises d'un côté et les individus et les utilisateurs de l'autre. Les directives en matière de confidentialité des données garantissent également que les mêmes règles s'appliquent à toutes les parties concernées.

Le RGPD est la législation de l'Union européenne sur la confidentialité des données qui décrit comment les entreprises et les organisations doivent traiter les données personnelles de manière raisonnable et sécurisée. Le RGPD est régi par le Comité européen de la protection des données (CEPD), un organisme indépendant de l'UE qui veille à l'application de règles cohérentes en matière de confidentialité et de protection des données dans toute l'UE. Le Comité européen de la protection des données est composé de représentants des autorités de protection des données des pays de l'UE/EEE et du Contrôleur européen de la protection des données. La Commission européenne participe aux réunions et aux activités du conseil d'administration sans droit de vote.

Le RGPD vise à protéger les individus dans tous les États membres de l'Union européenne contre les risques liés à la confidentialité des données grâce à des politiques de confidentialité strictes concernant les entreprises et les citoyens.

• Le traitement des informations personnelles doit avoir une finalité définie.
• Stocker des données personnelles dans un système uniquement le temps nécessaire.
• Le traitement des données doit être effectué dans un système sûr et sécurisé.
• L'utilisation des données personnelles doit être légale.
• L'utilisation des données personnelles doit être respectueuse des droits de l'individu.
• Les violations de données personnelles doivent être signalées aux autorités et à chaque personne identifiable concernée dans les 72 heures.
• Les entreprises sont responsables de la conformité de leurs fournisseurs au RGPD.
• L'ampleur des sanctions est importante.

La loi HIPAA a été promulguée sous la présidence de Bill Clinton en 1996, décrivant comment les prestataires de soins de santé peuvent traiter et utiliser les données de santé personnelles de leurs patients. Cependant, les règles de la réglementation HIPAA ne s'appliquent qu'aux entités dites « couvertes » - les fournisseurs (médecins, infirmières, dentistes, psychologues), les données des régimes de santé (compagnies d'assurance maladie, régimes gouvernementaux) et les centres d'échange d'informations médicales traitant des informations médicales.

Les directives HIPAA stipulent que les entités couvertes :

• Doit respecter le droit de la personne d'accéder à ses renseignements sur la santé.
• Ne peut pas utiliser ou partager des informations sur la santé sans le contenu explicite de la personne.

La loi HIPAA couvre toutes les données de santé du sujet partagées avec une entité couverte. Toutefois, si une personne physique identifiable partage des données de santé avec un logiciel tiers - une application de technologie de communication (application de nutrition), une plate-forme de partage d'informations (médias sociaux) ou un autre système de technologie de communication non exploité par une entité couverte, les réglementations HIPAA ne s'appliqueront pas.

Ci-dessous, nous explorerons les sept principes régissant le traitement des données personnelles conformément à l 'article 5 du RGPD.

Légalité, équité et transparence

Le premier principe est un « système de principes » comprenant trois préoccupations principales en matière de collecte de données : la légalité, l'équité et la transparence.

• Légalité

Le traitement des données est licite s'il est fondé sur l'un des motifs énumérés à l'article 6 du RGPD. Le consentement de l'utilisateur est le motif le plus important de base juridique lors de l'obtention et du traitement des informations personnelles. D'autres motifs incluent « l'intérêt légitime » (fins légitimes). Vous pouvez explorer tous les terrains plus en détail ici.

• Impartialité

La loyauté concerne le traitement des données à caractère personnel effectué dans le meilleur intérêt de l'utilisateur ; Il souligne également que le traitement doit être raisonnablement attendu par la personne identifiable.

• Transparence

La transparence consiste à communiquer clairement ce que les organisations traitent, pourquoi et comment elles traitent les données aux personnes dont elles traitent les données. Cela doit être fait de manière à permettre aux utilisateurs dont les données sont traitées de comprendre clairement les méthodes et l'étendue du traitement.

La limitation de la finalité stipule que les organisations et les entreprises ne doivent traiter les données personnelles qu'aux fins initialement prévues (et décrites). Essentiellement, ce principe stipule que les organisations ne doivent pas réutiliser les données personnelles collectées à des fins autres que celles énoncées dans leur politique de confidentialité et de protection des données.

La minimisation des données indique que les organisations ne doivent pas garder les données « traîner » sur leur système si elles n'en ont pas besoin aux fins prévues. Le principe stipule que les organisations ne doivent recueillir que la quantité exacte de données personnelles requises pour fournir un service spécifique. (mais pas plus)

L'exactitude consiste à disposer des données les plus précises possibles sur un individu. Les organisations doivent prendre des « mesures raisonnables » pour s'assurer que les données personnelles traitées ne sont pas factuellement incorrectes et à jour.

Ce principe n'est pertinent que lorsque l'exactitude des données à caractère personnel est importante pour la personne concernée.

La limitation du stockage est similaire au principe de minimisation des données. Il précise que les données personnelles doivent être supprimées si une organisation n'en a plus besoin aux fins prévues.

Les organisations et les entreprises doivent également mettre en œuvre un processus complet pour « détruire les données de manière sécurisée », en veillant à ce que les données supprimées ne soient plus stockées sur leur système de stockage (appareils, cloud), où elles pourraient présenter un risque potentiel pour la sécurité.

Dans le domaine de la cybersécurité, il existe un terme appelé le « triangle de la CIA » ; il s'agit de l'abréviation de « Confidentialité, Intégrité et Disponibilité ». Le sixième principe concerne deux des trois arêtes du triangle de la CIA.

L'intégrité garantit que les données collectées sont correctes et ne peuvent pas être manipulées par d'autres. (Par exemple, chaque utilisateur, entreprise ou organisation devrait choisir de protéger son système contre les cyberattaquants)

La confidentialité garantit que seules les personnes ayant un accès autorisé aux données personnelles les traitent.

La responsabilité indique que les sous-traitants (ou « responsables du traitement des données ») assument la responsabilité de leurs actions de traitement. Ce principe garantit que toutes les parties responsables du traitement sont responsables du traitement correct des données personnelles sensibles et se conforment aux directives du RGPD.

Lorsqu'il s'agit de responsabilité, le principe n'exige pas seulement que les organisations remplissent les diverses exigences du RGPD ; Elle oblige également les sous-traitants à documenter leurs actions et à être en mesure de les présenter à des fins d'audit.

Quelle que soit sa complexité, la législation sur la confidentialité et la protection des données ne peut pas protéger vos données personnelles si vous les partagez accidentellement (ou intentionnellement) avec des parties non autorisées ou si un cyberattaquant parvient à violer votre système de sécurité. C'est pourquoi nous avons compilé nos pratiques préférées en matière de confidentialité et de protection des données.

Parcourons-les ensemble pour comprendre comment garder nos informations personnelles à l'abri des regards indiscrets et des logiciels malveillants.

Le phishing est la forme la plus courante d'attaque malveillante sur Internet. L'hameçonnage est généralement réalisé par le biais de campagnes d'ingénierie sociale et d'e-mails. Si vous téléchargez un fichier infecté ou cliquez sur un lien malveillant intégré dans l'e-mail, les attaquants peuvent accéder à votre appareil, voler vos données ou installer des logiciels malveillants pour détenir vos données contre rançon.

Vous devez adopter une approche raisonnable de la protection des données et de la vie privée pour contrer les tentatives d'hameçonnage.

De nombreuses personnes sont expérimentées dans l'identification des spams ou des e-mails frauduleux. Cependant, la réaction par défaut après l'identification est d'ignorer l'e-mail et de passer à autre chose. Cependant, il vous sera plus utile de signaler l'e-mail frauduleux.

Que vous signaliez l'escroquerie au service informatique de votre entreprise, à votre fournisseur d'accès à Internet ou à l'organe directeur de la cybersécurité, le signalement de l'e-mail permet aux autres d'éviter de se faire arnaquer par leurs informations sensibles.

Les solutions de messagerie modernes (par exemple, Gmail, Outlook, Yahoo) offrent aux utilisateurs des options intégrées pour signaler les escroqueries par e-mail identifiées. De plus, la plupart des pays ont déjà mis en place des comités anti-hameçonnage pour lutter contre les escroqueries en ligne.

Aux États-Unis, vous pouvez vous adresser à la Cyber Security and Infrastructure Agency ; au Canada, il y a le Centre antifraude du Canada ; et au Royaume-Uni, vous pouvez communiquer avec le National Fraud and Cyber Crime Reporting Centre.

Si vous ne savez pas comment et à qui vous adresser, vous pouvez demander à un spécialiste informatique ou aux forces de l'ordre locales de vous guider.

Les sites e-commerce font partie intégrante de la vie quotidienne de nombreuses personnes. Mais aussi pratiques soient-elles, les boutiques en ligne sont une cible de choix pour les cybercriminels. La plupart des plateformes font appel à des fournisseurs de transactions tiers, il est donc crucial de sécuriser vos achats en ligne pour contrer les tentatives de fraude financière.

Voici quelques conseils pour rendre vos achats en ligne plus sûrs.

Il est essentiel de vérifier la légitimité d'une nouvelle boutique en ligne. Vous pouvez inspecter l'URL pour voir si elle commence par « HTTPS ». « HTTPS » signifie que le site offre une communication cryptée entre votre navigateur et la plateforme. Le symbole du cadenas fermé à côté du texte indique que la plateforme permet des transactions sécurisées.

De plus, vous pouvez cliquer sur l'icône de cadenas du site et choisir « Afficher le certificat ». De cette façon, vous pouvez consulter le certificat de sécurité et vérifier ses dates d'émission et d'expiration. Enfin, vous pouvez rechercher des sceaux d'approbation de solutions de sécurité tierces.

En règle générale, les boutiques en ligne vous demandent de créer un compte et de configurer les informations de paiement avant de passer à la caisse. Si vous le faites, sélectionnez un mot de passe fort, configurez l'authentification à deux facteurs et ne cochez pas la case « Enregistrer mes coordonnées pour les paiements futurs ».

L'utilisation du Wi-Fi public pour les achats en ligne est un non-non fondamental. C'est peut-être pratique pour les achats impulsifs, mais cela expose vos données à un risque important. Étant donné que le Wi-Fi public a rarement des défenses solides, les pirates peuvent pénétrer dans le réseau et apprendre rapidement votre nom, votre adresse ou les informations de votre carte de crédit.

Si vous êtes dans un scénario de dernier recours et que vous devez utiliser un Wi-Fi public pour naviguer, installez et utilisez un VPN pour protéger les données en transit afin qu'elles ne puissent pas être suivies, interceptées ou volées par des attaquants.

De nos jours, aucune défense ne peut véritablement protéger vos informations sensibles si vous les partagez sur les réseaux sociaux.

Comme la plupart des plateformes de partage d'informations offrent un accès public, les utilisateurs peuvent parcourir votre contenu sans compte. Oui, vous pouvez définir vos publications et vos photos sur « Accès amis uniquement », mais qui peut dire que vous connaissez tous vos amis Facebook ? Ou combien de vos abonnés Instagram sont de vrais comptes d'utilisateurs ? Sans oublier Twitter, qui est un paradis de recherche de données qui utilise des hashtags et des tweets partagés.

Les balises de localisation, les relevés bancaires, l'école primaire de vos enfants, votre adresse e-mail, votre numéro de téléphone et même les recommandations éclairées de Netflix peuvent, d'une certaine manière, compromettre la sécurité de vos informations personnelles.

La règle générale ici est la suivante : si vous souhaitez partager autre chose qu'une photo de vacances avec vos proches, faites-le en personne ou par téléphone. Si vous choisissez de le partager sur les réseaux sociaux, sachez que n'importe qui sur la plateforme pourrait utiliser une forme d'exploit pour y accéder.

Toute stratégie de protection des données a besoin d'un antivirus robuste. Même si vous êtes conscient de vos habitudes de navigation, une solution de cybersécurité ajoute des couches de défense supplémentaires pour déjouer les tiers espions.

Acronis Cyber Protect Home Office (anciennement Acronis True Image) bloque toutes les attaques de logiciels malveillants en temps réel, sans supervision humaine. Vous pouvez également analyser votre appareil à la recherche d'infections existantes, en débarrasser votre système et réduire le risque de futures violations de données et de cyberattaques indésirables.

Acronis Cyber Protect Home Office offre une intégration unique de technologies de sauvegarde fiables et de protection contre les logiciels malveillants de pointe qui protègent les données contre toutes les menaces actuelles : panne de disque, suppression accidentelle, perte et vol, et failles de sécurité telles que les attaques cybercriminelles. PCMag l'a décrit comme « une solution globale de prévention des tragédies » dans sa critique « Editor's Choice ».

Avec Acronis Cyber Protect Home Office, les particuliers et les petites entreprises peuvent sauvegarder leurs données, y compris les systèmes d'exploitation, les applications, les paramètres, les fichiers et les comptes Microsoft 365 sur des disques locaux, des disques durs externes, un NAS et le cloud Acronis. De plus, Acronis Cyber Protect Home Office empêche les cyberattaques, y compris les attaques résultant de vulnérabilités zero-day, d'endommager les données de sauvegarde et les données des appareils grâce à une protection en temps réel, à l'évaluation des vulnérabilités, à des analyses antivirus à la demande, au filtrage Web, à la protection contre les ransomwares et à un bloqueur de cryptominage. En cas de sinistre, les données peuvent être rapidement récupérées.

Apprenez-en plus sur Acronis Cyber Protect Home Office ou, mieux encore, essayez-le gratuitement.