La confidentialité des données est une question complexe dans le monde actuel où tout est connecté. Nous voulons que notre vie privée soit protégée, mais nous partageons volontiers toutes sortes d’informations personnelles lorsque nous cherchons à entrer en contact avec des amis, à acheter des produits ou à faire des réservations pour un dîner. Dans le même temps, les organisations qui collectent ces informations auprès des individus reconnaissent les enjeux économiques et sociaux de leur protection. En effet, l’absence de protection adéquate des données personnelles peut avoir un impact négatif sur la réputation des entreprises, la confiance des clients et la rentabilité.
Qu’est-ce que le cadre de protection de la vie privée du NIST 1.0 ?
Pour aider les organisations à élaborer de meilleures pratiques en matière de protection de la vie privée, le National Institute of Standards and Technology (NIST) a récemment publié un nouveau cadre pour l’amélioration de la protection de la vie privée par le biais de la gestion des risques d’entreprise. L’agence a collaboré avec des parties prenantes des secteurs public et privé pour créer le NIST Privacy Framework 1.0qui est un outil volontaire conçu spécifiquement pour aider les organisations :
- Mieux identifier, évaluer, gérer et communiquer les risques en matière de protection de la vie privée lors de la conception ou du déploiement de systèmes, de produits et de services.
- Favoriser le développement d’approches innovantes en matière de protection de la vie privée
- Accroître la confiance dans les systèmes, les produits et les services.
Ce cadre suit la structure du très populaire Cadre de cybersécuritédu NIST, et il est recommandé d’utiliser les deux cadres en tandem. Les deux cadres sont composés de trois parties : Le noyau, les profils et les niveaux de mise en œuvre. Chaque élément du cadre de protection de la vie privée renforce la gestion des risques liés à la protection de la vie privée par le biais d’objectifs, de rôles, de responsabilités et d’activités de protection de la vie privée au niveau de l’entreprise.
- Le socle est destiné à permettre un dialogue, du niveau exécutif au niveau de la mise en œuvre/des opérations, sur les activités importantes en matière de protection de la vie privée et sur les résultats souhaités.
- Les profils sont destinés à hiérarchiser et à gérer les résultats et les activités en fonction des valeurs de l’organisation en matière de protection de la vie privée, des besoins de l’entreprise et des risques, y compris l’état actuel et l’état souhaité des activités spécifiques liées à la protection de la vie privée.
- Les niveaux de mise en œuvre sont destinés à soutenir la prise de décision et la communication au sein de l’organisation concernant les risques pour la vie privée des systèmes, produits ou services de l’organisation et sa capacité à gérer ces risques avec les processus et les ressources existants. Ils peuvent également être utilisés pour communiquer en interne sur l’affectation des ressources nécessaires pour passer à un niveau supérieur ou comme repères généraux pour évaluer les progrès accomplis dans la gestion des risques en matière de protection de la vie privée.
Qui peut bénéficier du cadre de protection de la vie privée du NIST ?
Ce nouveau cadre a été conçu comme un guide non technique des meilleures pratiques en matière de protection de la vie privée et de sécurité. Et il ne pouvait pas mieux tomber alors que les organisations continuent de s’adapter aux lois nouvelles et existantes sur le traitement des données, comme le California Consumer Privacy Act (CCPA), le Health Insurance Portability and Accountability Act (HIPAA) et le Règlement général sur la protection des données (RGPD) de l’Union européenne. Même si une entreprise dispose déjà d’une solide stratégie de sécurité, il est recommandé de consulter le nouveau cadre de protection de la vie privée du NIST afin d’identifier les lacunes potentielles et de garantir la conformité avec toutes les réglementations applicables en matière de protection de la vie privée. Bien qu’il s’adresse principalement aux membres de la direction qui gèrent les risques de l’entreprise, le cadre de protection de la vie privée aidera tous les gestionnaires de risques à établir de meilleures bases en matière de protection de la vie privée en mettant le risque de protection de la vie privée sur un pied d’égalité avec le portefeuille de risques de l’entreprise dans son ensemble.
Les Institut national des normes et de la technologie est un nonreguagence législative au sein du ministère américain du commercece. Pour en savoir plus sur le programme California Consommerr Loi sur la protection de la vie privée, s’il vous plaît télécharger Riskonnect’s e-livre, Votre guide de l’ACCP. Pour en savoir plus sur la gestion des risques au niveau de l’entreprised’entreprise, veuillez télécharger, Chargerde l’entreprise, téléchargez le document intitulé de l’entreprise.