Blog Confidentialité & Conformité

Conformité à la loi sur la confidentialité de l’Illinois  tout ce que vous devez savoir

The Illinois Personal Information Protection Act (PIPA) is designed to safeguard the personal data of Illinois residents. Learn what PIPA is, who it affects, and how to maintain compliance.
David Harrington
6 minute de lecture
Dernière mise à jour 23 février 2024

Contents

    L’État de l’Illinois a récemment voté plusieurs lois conçues pour renforcer les droits et protections de ses résidents en matière de confidentialité. Ces lois visent des objectifs similaires à ceux de réglementations internationales comme le GPDR de l’Union européenne et de lois américaines, comme le California Consumer Privacy Act (CCPA).

    C’est pour mieux protéger les personnes physiques résidant dans l’État que le Personal Information Protection Act (PIPA) a été voté en juin 2005, pour une entrée en vigueur le 1er janvier 2006. En 2017, l’État a toiletté sa loi pour tenir compte des évolutions de la technologie et des méthodes de collecte de données, comme la biométrie.

    Dans cet article vous découvrirez des informations essentielles sur la loi PIPA, ses cibles et la stratégie à suivre pour assurer la conformité de votre organisation.

    Qu’est-ce que le Personal Information Protection Act ?

    Blog_Design_IllinoisPrivacyLaws_20211008_V1_FR2

    La loi PIPA a été votée pour protéger les données personnelles des résidents de l’Illinois contre toute erreur de manipulation, utilisation incorrecte ou utilisation abusive. Elle impose diverses obligations aux entreprises et autres organisations qui collectent, manipulent ou enregistrent des données personnelles non publiques. Elle présente également les mesures que doivent prendre les entreprises en cas de violation de sécurité.

    Par ailleurs, les entreprises et organisations possédant des informations personnelles sur des résidents de l’Illinois doivent mettre en place et maintenir des mesures de sécurité raisonnables pour protéger ces données contre tout accès, toute utilisation et toute modification non autorisés. Enfin, les organisations doivent également inclure des dispositions relatives à la protection des données dans les contrats signés avec les tiers qui stockent des données ou auxquels des données sont transmises.

    Depuis son introduction, la loi PIPA vise à s’assurer que les informations personnelles et sensibles des résidents de l’Illinois sont manipulées, stockées et protégées de manière adéquate, et son actualisation est venue confirmer cet objectif.

    Qui est concerné par la loi PIPA ?

    Cette loi s’applique à l’ensemble des entreprises, organisations et entités qui collectent des données dans l’État. Cela inclut donc les entreprises, les administrations, les ONG, les universités et toute autre entité qui gère d’une manière ou d’une autre des informations personnelles non publiques, qu’elles soient ou non légalement immatriculées dans l’Illinois. Vous serez soumis à la loi PIPA quoi qu’il arrive dans la mesure où vous collectez ou gérez des données non publiques de citoyens de l’État.

    De nombreuses entreprises appartenant à divers secteurs doivent connaître la loi PIPA et s’y conformer. Que vous travailliez dans le secteur de la santé ou de l’assurance et collectiez des données personnelles sur vos clients ou que vous soyez une entité marketing exploitant ce type de données pour générer des publicités ciblées, vous finirez par devoir vous conformer à cette loi si certains de vos utilisateurs vivent dans l’Illinois.

    Disposez, en moins de 24 heures, d’une vue clair sur les risques des données les plus importantes et d’un parcours clair vers la remédiation automatisée.
    Commencez votre évaluation gratuite

    Composants clés de l’Illinois Privacy Act

    Blog_Design_IllinoisPrivacyLaws_20211008_V1_FR3

    La loi PIPA se compose de plusieurs éléments clés que les organisations concernées doivent connaître :

    1. Notification en cas de fuite de données

    Un des principaux objectifs de la loi est de faire en sorte que les résidents de l’Illinois soient informés de manière adéquate en cas de compromission de leurs données personnelles. En cas de fuite de données, l’entité doit informer toutes les personnes concernées, « le plus rapidement possible, sans délai excessif ». Ces notifications peuvent être écrites ou électroniques. Si ces moyens de communication ne sont pas envisageables, les collecteurs de données peuvent procéder à une notification générale par le biais d’organes de presse diffusés dans tout l’État.

    2. Suppression des données

    La loi PIPA demande aux entités de supprimer de manière sécurisée les données dont elles n’ont plus besoin pour assurer des services ou exécuter leurs activités. Cette disposition inclut les documents papier ou électroniques contenant les informations personnelles de résidents de l’Illinois. Les dossiers papier doivent être brûlés, déchiquetés ou éliminés par tout autre moyen approprié. Les dossiers électroniques doivent quant à eux être rendus illisibles et irrécupérables. Ces mesures assurent la sécurité et la confidentialité à long terme des consommateurs de l’Illinois.

    3. Exigences de sécurité

    La loi PIPA prévoit également que tous les collecteurs de données doivent prendre et maintenir des « mesures de sécurité raisonnables » pour protéger leurs dossiers contre les accès, acquisitions, destructions, utilisations, modifications et divulgations non autorisés. Elle ne précise pas la nature précise de ces mesures, mais les organisations peuvent se conformer à ces obligations en respectant les normes de protection des données fédérales ou de l’État, par exemple la norme HIPAA.

    Quelles données sont protégées par la loi PIPA ?

    Les types de données suivants sont les principales formes de données personnelles faisant l’objet de la loi PIPA :

    • Numéros de sécurité sociale
    • Permis de conduire ou pièce d’identité de l’État
    • Numéro de passeport fédéral
    • Numéros de comptes médicaux
    • Numéros de comptes financiers
    • Numéros de cartes de crédit et de débit
    • Mots de passe et codes de sécurité de comptes divers

    Que puis-je faire pour me conformer au Personal Information Protection Act de l’Illinois ?

    Blog_Design_IllinoisPrivacyLaws_20211008_V1_FR4

    La conformité à la loi PIPA ne passe pas nécessairement par des processus difficiles ou complexes. Quelques étapes simples peuvent suffire à garantir que la collecte, le stockage et l’élimination des données des citoyens de l’Illinois sont sécurisés et 100 % compatibles avec la loi.

    1. Passez en revue vos processus administratifs

    Une des meilleures choses à faire pour se conformer à la loi PIPA consiste à reprendre l’intégralité de vos processus administratifs en lien avec la collecte d’informations confidentielles et la politique de confidentialité globale des données des citoyens de l’Illinois. Étudiez de près la façon dont vous recueillez des données et lesquelles sont soumises à la loi PIPA. En cartographiant l’ensemble du processus, vous verrez clairement quelles sont vos éventuelles lacunes.

    2. Mettez en place un système de notification des fuites de données

    Un des principaux objectifs de la loi est de faire en sorte que les résidents de l’Illinois soient informés de manière adéquate en cas de compromission de fuite de données. En plus de revoir vos processus administratifs, vérifiez également quelles sont vos bonnes pratiques documentées pour la notification de ces incidents. Assurez-vous d’être capable d’informer rapidement les personnes concernées par e-mail ou courrier, mais aussi de disposer de contacts dans les médias pour communiquer sur les violations auprès des personnes que vous n’êtes pas en mesure de contacter directement.

    3. Chiffrez l’ensemble des communications

    Plus spécifiquement, le chiffrement des communications par e-mail est une mesure clé pour éviter les fuites de données et garantir une conformité de tous les instants à la loi PIPA. Le chiffrement des e-mails devient la norme, et il est de plus en plus souvent exigé par les lois internationales et américaines. La mise en place d’une technologie de chiffrement peut contribuer à éviter les fuites de données et vous éviter ainsi de devoir vous acquitter des obligations de notification prévues par la loi PIPA.

    4. Supprimez les informations confidentielles

    La suppression d’informations personnelles constitue une bonne pratique de base en matière de sécurité des données et il s’agit d’un point particulièrement important pour la conformité à la loi PIPA. Assurez-vous que votre collecte de données et votre plan de sécurité incluent des processus détaillés et complets de suppression des données, qu’elles soient sous forme physique ou numérique. Comme nous l’avons vu, les documents papier doivent être déchiquetés ou brûlés, et les supports numériques rendus irrécupérables. Si vous n’avez pas besoin de données personnelles pour fournir des services ou mener votre activité, supprimez-les sans tarder.

    Qui dois-je contacter si je suspecte une fuite de données ?

    Si vous suspectez une fuite de données, vous devez contacter les parties appropriées pour assurer votre conformité à la loi PIPA et éviter les amendes et autres pénalités. La plateforme Varonis de sécurité des données vous aidera à surveiller vos systèmes et détecter les fuites dès qu’elles surviennent. Vous aurez ainsi la certitude de pouvoir contacter les parties appropriées dans les délais prévus par la loi PIPA.

    Voici les personnes, parties et entités à contacter si vous suspectez une fuite de données concernant un résident de l’Illinois.

    Conclusion

    Les réglementations comme le California Privacy Rights Act incitent de plus en plus d’États, l’Illinois notamment, à adopter des normes et pratiques similaires. C’est dans ce contexte que la loi PIPA a vu le jour et été actualisée récemment. Mais pour se conformer à cette loi, il ne suffit pas de prévenir les bonnes personnes en cas de fuite de données. La meilleure chose à faire pour protéger les données des citoyens de l’Illinois est d’agir en amont pour éviter que ces fuites ne surviennent. Des technologies comme le chiffrement des e-mails et une détection avancée des menaces permettent de réduire le risque de fuite et de maintenir la conformité à la loi PIPA sur le long terme.

    What should I do now?

    Below are three ways you can continue your journey to reduce data risk at your company:

    1

    Schedule a demo with us to see Varonis in action. We'll personalize the session to your org's data security needs and answer any questions.

    2

    See a sample of our Data Risk Assessment and learn the risks that could be lingering in your environment. Varonis' DRA is completely free and offers a clear path to automated remediation.

    3

    Follow us on LinkedIn, YouTube, and X (Twitter) for bite-sized insights on all things data security, including DSPM, threat detection, AI security, and more.

    David Harrington
    David Harrington David est un rédacteur professionnel et un consultant en leadership éclairé pour les entreprises de technologie, les startups et les sociétés de capital-risque.

    Essayez Varonis gratuitement.

    Obtenez un rapport détaillé sur les risques liés aux données basé sur les données de votre entreprise.
    Se déploie en quelques minutes.
    Commencer Voir un échantillon

    Keep reading

    Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

    le-nouvel-environnement-de-la-confidentialité-:-l’union-européenne-en-pointe-sur-la-protection-des-données-personnelles
    Le nouvel environnement de la confidentialité : l’Union européenne en pointe sur la protection des données personnelles
    le-nouvel-environnement-de-la-confidentialité-:-l’union-européenne-en-pointe-sur-la-protection-des-données-personnelles
    David Gibson
    22 octobre 2012
    d’Andy Green Nous comprenons tous les risques associés à la divulgation accidentelle d’un numéro de sécurité sociale. Mais existe-t-il d’autres éléments d’informations moins personnels ou même anonymes qui, utilisés conjointement,...
    10-spécialistes-de-la-sécurité-de-l’information-à-suivre-sur-twitter
    10 spécialistes de la sécurité de l’information à suivre sur Twitter
    10-spécialistes-de-la-sécurité-de-l’information-à-suivre-sur-twitter
    David Gibson
    18 octobre 2013
    par Steve Franco Twitter est un endroit idéal pour prendre connaissance de nouvelles ciblées relatives à la sécurité de la part de personnes se trouvant sur le terrain, pour ainsi dire....
    menaces-internes-:-guide-à-l’intention-du-directeur-de-la-sécurité-des-informations-(ciso)
    Menaces internes : guide à l’intention du directeur de la sécurité des informations (CISO)
    menaces-internes-:-guide-à-l’intention-du-directeur-de-la-sécurité-des-informations-(ciso)
    Michael Buckbee
    25 juillet 2018
    Selon le récent rapport DBIR de Verizon, 28 % des piratages commis en 2017 ont été effectués avec la complicité de personnes internes. Du point de vue des marchés verticaux, des...
    pourquoi-les-responsables-de-la-cybersécurité-devraient-partir-du-principe-qu’une-intrusion-a-eu-lieu ?
    Pourquoi les responsables de la cybersécurité devraient partir du principe qu’une intrusion a eu lieu ?
    pourquoi-les-responsables-de-la-cybersécurité-devraient-partir-du-principe-qu’une-intrusion-a-eu-lieu ?
    Yaki Faitelson
    6 juillet 2022
    Tout système, compte ou personne peut à tout moment constituer un vecteur d’attaque potentiel. Avec une surface d’attaque aussi vaste, vous devez partir du principe que les hackers vont violer au moins un vecteur, s’ils ne l’ont pas déjà fait.