ControlCase

IT Certifications, Continuous Compliance and Cybersecurity Services Provider

You are here: Home / Blog / Désormais tout est privé …. Non signifie Non …

On peut observer dans les lois sur la protection de la vie privée dans le monde entier, qu’elles ne sont pas seulement créées pour réglementer l’utilisation des données par les organisations, mais avec une très forte intention d’autonomisation des clients. Une forte attention peut être observée en ce qui concerne les droits des clients sur le contrôle et la gestion de leurs propres données personnelles / privées dans ces réglementations.
À mon avis, deux des outils les plus puissants de l’arsenal sont :

– Le consentement
– Le droit d’être oublié
Dans cette partie de la série “Désormais tout est privé” nous parlerons des meilleures pratiques que les organisations peuvent suivre pour ces deux exigences.

Le consentement

  • Qu’il s’agisse de HITRUST, RGPD, CCPA ou de tout autre règlement, il stipule que les données personnelles des clients ne peuvent être stockées par l’organisation sans le consentement écrit du client/consommateur.
  • Les organisations peuvent y parvenir par de nombreuses méthodes différentes :
    • Dans les pays où la loi exige des copies papier, les organisations peuvent avoir des liens de téléchargement pour les formulaires que les clients peuvent lire, signer et ensuite partager avec les organisations en tant que consentement.
    • L’autre méthode la plus acceptée et la plus utilisée consiste à disposer d’une page d’avertissement couvrant toutes les conditions nécessaires au consentement concernant le stockage des données ou des cookies du site web et d’une case à cocher d’acceptation qui, une fois cliquée, fera office de consentement formel de l’utilisateur.
  • Il est recommandé que les termes incluent les paramètres exacts des données IIP qui seront saisies et stockées. Il devrait également inclure des indications sur la manière dont les données seront protégées et donner un bref aperçu des contrôles qui garantiront que les données sont conservées avec une intégrité intacte et sans perte d’accès non autorisé ou vol.
  • L’organisation doit également fournir l’assurance que les données ne seront pas partagées avec d’autres entités sans le consentement explicite des clients.
  • L’organisation doit disposer en interne d’un plan bien documenté et mis en œuvre pour assurer la sécurité des données PII qui seront au repos dans l’environnement organisationnel.
  • La politique de conservation des données et les directives basées sur les exigences réglementaires, légales et autres du droit foncier doivent également être documentées et mises en œuvre.

Le droit d’être oublié

  • Le fait que les clients donnent leur consentement ne signifie pas nécessairement que les organisations ont un droit général de conserver les données avec elles pour toujours.
  • Les clients conservent le droit d’exercer leur “droit d’être oublié”, ce qui signifie simplement qu’ils souhaitent que toutes leurs références de données d’IIP auprès de l’organisation soient supprimées.
  • L’article 17 de la réglementation RGPD est le “Droit d’être oublié” et est probablement l’un des articles les plus discutés de tout le règlement RGPD.
  • Les organisations doivent s’assurer qu’elles ont un lien sur le site web, ou une adresse e-mail pour que tout client puisse demander et exercer son “droit à l’oubli”.
  • Chaque organisation doit disposer des éléments suivants pour répondre à une telle demande:
    • automatisée ou manuelle aux clients accusant réception de la demande et informant du délai prévu pour l’effacement.
    • disposer d’une politique et d’une procédure documentées permettant d’identifier et d’obtenir toutes les données liées à une personne spécifique à partir du stockage actif ainsi que du stockage de sauvegarde.
    • disposer d’une politique et d’une procédure documentées pour la suppression sécurisée de ces données IIP, de sorte qu’elles ne puissent pas être récupérées après la suppression
    • Des procédures de communication avec les clients après la suppression pour les informer du succès de la suppression de leurs données.
    • Après avoir mentionné les meilleures pratiques susmentionnées, je voudrais souligner qu’en fonction des réglementations applicables selon les juridictions, il existe certaines exceptions et exemptions aux exigences relatives au “consentement” et au “droit d’être oublié”.

Toutefois, cela nécessite une analyse détaillée du type d’entreprise, du type de données collectées, de la région d’activité, etc. pour laquelle je suggère aux organisations de demander l’aide des PME de protection des données à des entreprises comme ControlCase pour les guider et les aider de la bonne manière.

Mais à part cela, n’oubliez pas que si le client dit “Non”, cela signifie “Non”.

Ashish Kirtikar
ControlCase
Chef de Region - L'Europe et Royame Uni

Related Blog

HIPAA, CCPA, and GDPR: Privacy or Information Security?
Modern enterprise security teams must address many different types of requirements as they create their cyber defenses. These requirements can be internally generated, customer requested, legally defined, mandated by a court, or driven by an incident. They typically involve adding new protections such as cyber security platforms or increasing assurance such as through penetration testing.
CCPA vs. GDPR
¡Todo es Privado! ....No Significa No….
The push towards digitization across the globe means that various industries like retail, healthcare, F&B etc. have moved a significant amount of their business / services to online mode. This requires consumers to share their personal or sensitive data (e.g. Card Numbers, SSN Numbers, Health Records, Identification data etc.) on these online channels.
It’s All Private!!!! - No Means No…
The push towards digitization across the globe means that various industries like retail, healthcare, F&B etc. have moved a significant amount of their business / services to online mode. This requires consumers to share their personal or sensitive data (e.g. Card Numbers, SSN Numbers, Health Records, Identification data etc.) on these online channels.
Désormais tout est privé - Le barème prêt
La poussée vers la digitalisation à travers le monde signifie que diverses industries telles que la vente au détail, la santé, la restauration, etc. ont migré une part importante de leurs activités / services vers le mode en ligne. Cela oblige les consommateurs à partager leurs données personnelles ou sensibles (par exemple, numéros de carte, numéros SSN, dossiers médicaux, données d'identification, etc.) sur ces canaux en ligne.
It’s All Private!!!! - The Ready Reckoner
The push towards digitization across the globe means that various industries like retail, healthcare, F&B etc. have moved a significant amount of their business / services to online mode. This requires consumers to share their personal or sensitive data (e.g. Card Numbers, SSN Numbers, Health Records, Identification data etc.) on these online channels.

About Us

ControlCase is a global provider of certification, cybersecurity, and continuous compliance services. ControlCase is committed to empowering organizations to develop and deploy strategic information security and compliance programs that are simplified, cost-effective, and comprehensive in both on-premise and cloud environments.
ControlCase offers certifications and a broad spectrum of cyber security services that meet the needs of companies required to certify to PCI DSS, HITRUST, SOC2, CMMC, ISO 27001, PCI PIN, PCI P2PE, PCI TSP, PCI SSF, CSA STAR, HIPAA, GDPR, SWIFT, and FedRAMP.

Contact Us

Thank you for reading this blog. If you are interested knowing how we can help you in your data privacy initiatives within your organizations, feel free to contact us using below form.



  • Captcha Image