Que sont les informations personnelles et pourquoi sont-elles importantes pour votre entreprise?

Table des matières:

Anonim

Il est fort probable que votre entreprise collecte des informations personnelles sur des clients, des employés et / ou des partenaires. Cela signifie que vous avez l'obligation de protéger ces informations. Ne pas le faire pourrait entraîner des problèmes juridiques, voire une faillite. Malheureusement, de nombreuses entreprises se sont retrouvées dans ces situations au cours des dernières années.

Jane Hils Shea, avocate spécialisée dans la technologie et la confidentialité des données chez Frost Brown Todd, a déclaré dans un entretien par courriel avec Small Business Trends: «La fréquence et l'étendue des violations de données sont à un niveau record en termes de nombre de violations et de nombre d'enregistrements individuels. compromis, et les dépenses associées à la réponse à la violation de données augmentent ».

$config[code] not found

Voici ce que votre petite entreprise doit savoir sur les informations personnelles et sur la façon de les protéger.

Qu'est-ce que des informations personnelles?

Les informations personnellement identifiables ou les données personnelles sensibles peuvent être tout ce qui est utilisé pour identifier l'identité personnelle d'une personne. Par exemple:

  • prénom
  • Numéro de sécurité sociale
  • Informations de contact
  • Informations de paiement
  • Adresse IP

Il est fort probable que votre entreprise recueille déjà certaines de ces informations sur vos clients. Chaque fois que quelqu'un paie avec une carte de crédit ou s'inscrit dans votre liste de courrier électronique en utilisant son nom et ses coordonnées, vous accédez à des informations personnelles.

Cela signifie que vous devez mettre en place des politiques pour protéger ces informations et permettre aux clients de savoir exactement comment vous comptez utiliser ces données. Voici ce que vous devez savoir.

Pourquoi les informations personnelles sont-elles importantes pour votre petite entreprise?

Certaines lois et réglementations obligent les entreprises à respecter certaines normes en matière de stockage et de protection des informations personnelles. Dans la plupart des cas, vous êtes lié par la langue que vous utilisez dans vos propres règles de confidentialité. Il est donc important que vous décriviez exactement comment vous envisagez d’utiliser les informations personnelles que vous collectez et que les clients acceptent cette politique lorsqu’ils font affaire avec vous. Cependant, il existe d'autres normes qui s'appliquent également à des industries spécifiques.

Shea déclare: «Une entreprise en ligne qui collecte des données personnelles sur des personnes situées aux États-Unis est principalement liée par les promesses faites dans la politique de confidentialité de son site Web. Si une entreprise appartient au secteur des services financiers ou de la santé, elle pourrait être soumise aux exigences de la loi Gramm-Leach-Bliley (GLBA) ou de la loi sur la protection et la transférabilité des informations de santé (HIPAA). Si elle collecte des données sur les enfants de moins de 13 ans, elle pourrait être tenue responsable en vertu de la loi sur la protection et la protection en ligne des enfants en ligne (COPPA). ”

Les paiements sont un autre domaine majeur dans lequel les entreprises doivent concentrer leurs efforts en matière de sécurité. Shea explique: «Les entreprises qui acceptent les cartes de crédit doivent être certaines de se conformer aux normes de sécurité des données du secteur des cartes de paiement (PCI-DSS). En vertu de leur contrat de traitement de carte, toutes les entreprises qui acceptent des paiements par carte de crédit doivent avoir mis en place et entretenir la norme PCI-DSS. "

Les entreprises en ligne doivent également connaître les lois internationales ou celles qui se concentrent sur les informations personnelles de clients situés en dehors des États-Unis, comme les lois GDPR entrées en vigueur pour l’Union européenne plus tôt cette année.

En ce qui concerne la protection des informations personnelles, les règles sur le vol d’identité de la Fair Credit Reporting Act imposent à certaines entreprises de disposer de programmes écrits de protection contre le vol d’identité. De plus, de nombreux contrats de services avec les fournisseurs exigent également que les entreprises mettent en œuvre des procédures de sécurité standard dans le cadre de leurs contrats.

Comment votre entreprise peut-elle protéger les informations personnelles?

Vous pouvez et devez prendre de nombreuses mesures pour protéger les données sensibles et les informations personnellement identifiables que vous collectez sur les clients, les employés et les fournisseurs. Votre plan exact dépendra des données que vous collectez réellement. Mais il existe un principe essentiel qui s’applique essentiellement à toutes les entreprises.

Shea déclare: «La règle fondamentale et le premier pas qu'une entreprise doit prendre pour se protéger contre les atteintes à la protection des données consiste à" connaître ses données ". Un programme efficace de sécurité de l’information commence par un inventaire des données et une carte de données. Cet exercice indique aux entreprises les données personnelles qu’elles collectent et traitent concernant leurs clients et leurs employés, et identifie leur emplacement dans leur système afin de les protéger au mieux. En outre, il devrait comprendre comment les données personnelles sont traitées et transmises, combien de temps elles sont conservées et quelles sont leurs obligations en matière de destruction des données. "

Elle a également offert une poignée de mesures concrètes que vous pouvez utiliser. Par exemple:

  • Supprimez de votre système toutes les données que vous n’utilisez pas ou que vous ne devez pas conserver pour des raisons légales ou de conformité.
  • Élaborer un plan d’intervention en cas de violation des données.
  • Développez un plan de résilience d'entreprise et sauvegardez les données essentielles sur un serveur cloud fiable.
  • Ajoutez un cryptage pour la transmission et le stockage des informations personnelles sensibles.
  • Former les employés sur la sensibilisation à la sécurité.
  • Obliger les employés à utiliser des mots de passe forts, une authentification à deux facteurs et d'autres pratiques de sécurité préventives.
  • Renseignez-vous auprès de vos fournisseurs sur leurs mesures et pratiques de sécurité.
  • Utilisez la technologie de carte à puce EMV pour réduire le risque de fraude par carte.

Photo via Shutterstock

More in Qu'est-ce que 2 Commentaires ▼