Varonis debuts trailblazing features for securing Salesforce. Learn More

Introduction de l'automatisation du moindre privilège pour Microsoft 365, Google Drive et Box

En savoir plus

Conformité à la loi sur la confidentialité de l’Illinois  tout ce que vous devez savoir

6 minute de lecture
Dernière mise à jour 23 février 2024

L’État de l’Illinois a récemment voté plusieurs lois conçues pour renforcer les droits et protections de ses résidents en matière de confidentialité. Ces lois visent des objectifs similaires à ceux de réglementations internationales comme le GPDR de l’Union européenne et de lois américaines, comme le California Consumer Privacy Act (CCPA).

C’est pour mieux protéger les personnes physiques résidant dans l’État que le Personal Information Protection Act (PIPA) a été voté en juin 2005, pour une entrée en vigueur le 1er janvier 2006. En 2017, l’État a toiletté sa loi pour tenir compte des évolutions de la technologie et des méthodes de collecte de données, comme la biométrie.

Dans cet article vous découvrirez des informations essentielles sur la loi PIPA, ses cibles et la stratégie à suivre pour assurer la conformité de votre organisation.

Qu’est-ce que le Personal Information Protection Act ?

Blog_Design_IllinoisPrivacyLaws_20211008_V1_FR2

La loi PIPA a été votée pour protéger les données personnelles des résidents de l’Illinois contre toute erreur de manipulation, utilisation incorrecte ou utilisation abusive. Elle impose diverses obligations aux entreprises et autres organisations qui collectent, manipulent ou enregistrent des données personnelles non publiques. Elle présente également les mesures que doivent prendre les entreprises en cas de violation de sécurité.

Par ailleurs, les entreprises et organisations possédant des informations personnelles sur des résidents de l’Illinois doivent mettre en place et maintenir des mesures de sécurité raisonnables pour protéger ces données contre tout accès, toute utilisation et toute modification non autorisés. Enfin, les organisations doivent également inclure des dispositions relatives à la protection des données dans les contrats signés avec les tiers qui stockent des données ou auxquels des données sont transmises.

Depuis son introduction, la loi PIPA vise à s’assurer que les informations personnelles et sensibles des résidents de l’Illinois sont manipulées, stockées et protégées de manière adéquate, et son actualisation est venue confirmer cet objectif.

Qui est concerné par la loi PIPA ?

Cette loi s’applique à l’ensemble des entreprises, organisations et entités qui collectent des données dans l’État. Cela inclut donc les entreprises, les administrations, les ONG, les universités et toute autre entité qui gère d’une manière ou d’une autre des informations personnelles non publiques, qu’elles soient ou non légalement immatriculées dans l’Illinois. Vous serez soumis à la loi PIPA quoi qu’il arrive dans la mesure où vous collectez ou gérez des données non publiques de citoyens de l’État.

De nombreuses entreprises appartenant à divers secteurs doivent connaître la loi PIPA et s’y conformer. Que vous travailliez dans le secteur de la santé ou de l’assurance et collectiez des données personnelles sur vos clients ou que vous soyez une entité marketing exploitant ce type de données pour générer des publicités ciblées, vous finirez par devoir vous conformer à cette loi si certains de vos utilisateurs vivent dans l’Illinois.

Disposez, en moins de 24 heures, d’une vue clair sur les risques des données les plus importantes et d’un parcours clair vers la remédiation automatisée.
Commencez votre évaluation gratuite

Composants clés de l’Illinois Privacy Act

Blog_Design_IllinoisPrivacyLaws_20211008_V1_FR3

La loi PIPA se compose de plusieurs éléments clés que les organisations concernées doivent connaître :

1. Notification en cas de fuite de données

Un des principaux objectifs de la loi est de faire en sorte que les résidents de l’Illinois soient informés de manière adéquate en cas de compromission de leurs données personnelles. En cas de fuite de données, l’entité doit informer toutes les personnes concernées, « le plus rapidement possible, sans délai excessif ». Ces notifications peuvent être écrites ou électroniques. Si ces moyens de communication ne sont pas envisageables, les collecteurs de données peuvent procéder à une notification générale par le biais d’organes de presse diffusés dans tout l’État.

2. Suppression des données

La loi PIPA demande aux entités de supprimer de manière sécurisée les données dont elles n’ont plus besoin pour assurer des services ou exécuter leurs activités. Cette disposition inclut les documents papier ou électroniques contenant les informations personnelles de résidents de l’Illinois. Les dossiers papier doivent être brûlés, déchiquetés ou éliminés par tout autre moyen approprié. Les dossiers électroniques doivent quant à eux être rendus illisibles et irrécupérables. Ces mesures assurent la sécurité et la confidentialité à long terme des consommateurs de l’Illinois.

3. Exigences de sécurité

La loi PIPA prévoit également que tous les collecteurs de données doivent prendre et maintenir des « mesures de sécurité raisonnables » pour protéger leurs dossiers contre les accès, acquisitions, destructions, utilisations, modifications et divulgations non autorisés. Elle ne précise pas la nature précise de ces mesures, mais les organisations peuvent se conformer à ces obligations en respectant les normes de protection des données fédérales ou de l’État, par exemple la norme HIPAA.

Quelles données sont protégées par la loi PIPA ?

Les types de données suivants sont les principales formes de données personnelles faisant l’objet de la loi PIPA :

  • Numéros de sécurité sociale
  • Permis de conduire ou pièce d’identité de l’État
  • Numéro de passeport fédéral
  • Numéros de comptes médicaux
  • Numéros de comptes financiers
  • Numéros de cartes de crédit et de débit
  • Mots de passe et codes de sécurité de comptes divers

Que puis-je faire pour me conformer au Personal Information Protection Act de l’Illinois ?

Blog_Design_IllinoisPrivacyLaws_20211008_V1_FR4

La conformité à la loi PIPA ne passe pas nécessairement par des processus difficiles ou complexes. Quelques étapes simples peuvent suffire à garantir que la collecte, le stockage et l’élimination des données des citoyens de l’Illinois sont sécurisés et 100 % compatibles avec la loi.

1. Passez en revue vos processus administratifs

Une des meilleures choses à faire pour se conformer à la loi PIPA consiste à reprendre l’intégralité de vos processus administratifs en lien avec la collecte d’informations confidentielles et la politique de confidentialité globale des données des citoyens de l’Illinois. Étudiez de près la façon dont vous recueillez des données et lesquelles sont soumises à la loi PIPA. En cartographiant l’ensemble du processus, vous verrez clairement quelles sont vos éventuelles lacunes.

2. Mettez en place un système de notification des fuites de données

Un des principaux objectifs de la loi est de faire en sorte que les résidents de l’Illinois soient informés de manière adéquate en cas de compromission de fuite de données. En plus de revoir vos processus administratifs, vérifiez également quelles sont vos bonnes pratiques documentées pour la notification de ces incidents. Assurez-vous d’être capable d’informer rapidement les personnes concernées par e-mail ou courrier, mais aussi de disposer de contacts dans les médias pour communiquer sur les violations auprès des personnes que vous n’êtes pas en mesure de contacter directement.

3. Chiffrez l’ensemble des communications

Plus spécifiquement, le chiffrement des communications par e-mail est une mesure clé pour éviter les fuites de données et garantir une conformité de tous les instants à la loi PIPA. Le chiffrement des e-mails devient la norme, et il est de plus en plus souvent exigé par les lois internationales et américaines. La mise en place d’une technologie de chiffrement peut contribuer à éviter les fuites de données et vous éviter ainsi de devoir vous acquitter des obligations de notification prévues par la loi PIPA.

4. Supprimez les informations confidentielles

La suppression d’informations personnelles constitue une bonne pratique de base en matière de sécurité des données et il s’agit d’un point particulièrement important pour la conformité à la loi PIPA. Assurez-vous que votre collecte de données et votre plan de sécurité incluent des processus détaillés et complets de suppression des données, qu’elles soient sous forme physique ou numérique. Comme nous l’avons vu, les documents papier doivent être déchiquetés ou brûlés, et les supports numériques rendus irrécupérables. Si vous n’avez pas besoin de données personnelles pour fournir des services ou mener votre activité, supprimez-les sans tarder.

Qui dois-je contacter si je suspecte une fuite de données ?

Si vous suspectez une fuite de données, vous devez contacter les parties appropriées pour assurer votre conformité à la loi PIPA et éviter les amendes et autres pénalités. La plateforme Varonis de sécurité des données vous aidera à surveiller vos systèmes et détecter les fuites dès qu’elles surviennent. Vous aurez ainsi la certitude de pouvoir contacter les parties appropriées dans les délais prévus par la loi PIPA.

Voici les personnes, parties et entités à contacter si vous suspectez une fuite de données concernant un résident de l’Illinois.

Conclusion

Les réglementations comme le California Privacy Rights Act incitent de plus en plus d’États, l’Illinois notamment, à adopter des normes et pratiques similaires. C’est dans ce contexte que la loi PIPA a vu le jour et été actualisée récemment. Mais pour se conformer à cette loi, il ne suffit pas de prévenir les bonnes personnes en cas de fuite de données. La meilleure chose à faire pour protéger les données des citoyens de l’Illinois est d’agir en amont pour éviter que ces fuites ne surviennent. Des technologies comme le chiffrement des e-mails et une détection avancée des menaces permettent de réduire le risque de fuite et de maintenir la conformité à la loi PIPA sur le long terme.

What you should do now

Below are three ways we can help you begin your journey to reducing data risk at your company:

  1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
  2. Download our free report and learn the risks associated with SaaS data exposure.
  3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
Testez Varonis gratuitement.
Un résumé détaillé des risques liés à la sécurité de vos données.
Stratégie claire vers une remédiation automatisée.
Déploiement rapide.
Keep reading
conformité-à-la-loi-sur-la-confidentialité-de-l’illinois -tout-ce-que-vous-devez-savoir
Conformité à la loi sur la confidentialité de l’Illinois  tout ce que vous devez savoir
The Illinois Personal Information Protection Act (PIPA) is designed to safeguard the personal data of Illinois residents. Learn what PIPA is, who it affects, and how to maintain compliance.
en-quoi-consiste-la-gouvernance-des-données ?-cadre-et-bonnes-pratiques
En quoi consiste la gouvernance des données ? Cadre et bonnes pratiques
La gouvernance des données facilite l’organisation, la sécurisation et la normalisation des données de tous types d’organisations. Pour en savoir plus sur les cadres de gouvernance des données, cliquez ici.
qu’est-ce-que-le-cadre-de-cybersécurité-nist ?
Qu’est-ce que le cadre de cybersécurité NIST ?
Découvrez comment mettre en œuvre le cadre de cybersécurité NIST dans votre entreprise.
en-quoi-consiste-la-conformité-à-la-dsp2-et-qu’implique-t-elle-pour-votre-entreprise-?
En quoi consiste la conformité à la DSP2 et qu’implique-t-elle pour votre entreprise ?
La directive DSP2 de l’UE encourage l’innovation financière tout en imposant de meilleurs dispositifs de protection des consommateurs. Découvrez en quoi consiste la conformité à la DSP2 et ce qu’elle implique pour votre entreprise.