Les défis de la confidentialité et de la protection des données dans un monde Covid et post-pandémique
Publié: 2020-09-04Le virage numérique soudain causé par les effets de Covid-19 présente un défi majeur en matière de conformité
La plupart des organisations n'ont pas une compréhension de base des données qu'elles collectent, et encore moins des raisons et des objectifs de cette collecte.
Le cadre juridique indien en matière de confidentialité et de protection des données est sur le point de faire un bond en avant sous la forme du projet de loi 2019 sur la protection des données personnelles
La pandémie de Covid-19 a massivement perturbé et continue de perturber la façon dont les individus, les gouvernements et les entreprises fonctionnent dans pratiquement tous les domaines de la vie. La plus grande manifestation de cette perturbation se voit dans l'adoption croissante de solutions technologiques pour relever les défis que pose cette pandémie.
Principaux faits saillants du droit actuel
La loi de 2000 sur les technologies de l'information (loi informatique) lue avec les règles de 2011 sur les technologies de l'information (pratiques et procédures de sécurité raisonnables et données ou informations personnelles sensibles) (règles sur les données personnelles sensibles) constituent la principale législation régissant la collecte et le traitement des informations personnelles et des informations personnelles sensibles. données ou informations (Données Personnelles Sensibles) sur une base sectoriellement neutre.
Les règles relatives aux données personnelles sensibles désignent principalement les éléments suivants comme données personnelles sensibles :
- Mot de passe
- Informations financières telles que le compte bancaire ou la carte de crédit ou de débit ou d'autres détails d'instrument de paiement
- État de santé physique, physiologique et mental
- Orientation sexuelle
- Dossiers médicaux et antécédents
- Informations biométriques
Les données personnelles sensibles peuvent être collectées par une personne morale en se conformant aux dispositions des règles relatives aux données personnelles sensibles, y compris en obtenant le consentement du fournisseur des informations.
Défis de conformité introduits par Covid-19
Le changement numérique soudain causé par les effets de Covid-19 présente un défi majeur en matière de conformité, compte tenu des perspectives générales de conformité en matière de confidentialité des données en Inde. Avec le travail à distance dans le sillage de Covid-19, la confidentialité, la sécurité et la gestion des données sont devenues une préoccupation majeure pour la plupart des organisations en raison du manque de capacité à gérer la confidentialité et la protection des données.
Recommandé pour vous:
Comment le cadre d'agrégation de comptes de RBI est sur le point de transformer la Fintech en Inde
Les entrepreneurs ne peuvent pas créer de startups durables et évolutives via "Jugaad": Cit ...
Comment Metaverse va transformer l'industrie automobile indienne
Que signifie la disposition anti-profit pour les startups indiennes ?
Comment les startups Edtech aident la main-d'œuvre indienne à se perfectionner et à se préparer pour l'avenir...
Stocks technologiques de la nouvelle ère cette semaine : les problèmes de Zomato continuent, EaseMyTrip publie des...
De plus, certaines mesures ont été prises en raison de Covid-19, telles que l'enregistrement de la température et le contrôle des employés et des visiteurs, mais qui, dans la plupart des cas, ont été prises sans garanties appropriées ni respect des conformités. Un autre sujet de préoccupation a été le manque d'investissement dans la cybersécurité et le manque de personnel compétent chargé de questions telles que la sécurité des données.
Ce qui peut être fait?
Cartographie des données
La plupart des organisations n'ont même pas une compréhension de base des données qu'elles collectent, sans parler des raisons et des objectifs de cette collecte. Celles-ci peuvent être particulièrement préjudiciables dans les secteurs axés sur le client, tels que le commerce de détail, qui collectent des données à la vitesse de l'éclair mais ne disposent même pas d'un audit rudimentaire des pratiques en matière de données. Une pratique de base qui peut jeter les bases d'un système solide de traitement des données dans une organisation consiste à analyser le type et la quantité de données traitées et à les mapper aux objectifs et aux départements potentiels qui peuvent avoir besoin d'accéder à ces données.
Questions à considérer
- Quelle est l'importance des données pour l'entreprise ? Si les données ne sont pas nécessaires à l'entreprise, pourquoi sont-elles collectées ?
- Si les données sont un actif au même titre qu'un actif physique, qui doit y avoir accès et comment doit-il être protégé au sein de l'organisation ?
Renforcement de la capacité organisationnelle
Il est préférable de ne pas penser à la confidentialité et à la protection des données en silos. Bien qu'il va sans dire que confondre un CISO avec un CTO ne reflète pas particulièrement bien la capacité organisationnelle, en fin de compte, chaque personne engagée par une organisation doit être sensibilisée pour comprendre la valeur de la protection des données. Des étapes telles que des sessions de formation régulières et des politiques claires sur l'utilisation des appareils et des réseaux au sein de l'organisation peuvent être des solutions incroyablement rentables vers la conformité.
Questions à considérer
- Existe-t-il une politique couvrant la responsabilité d'un employé pour assurer la confidentialité des données exclusives et des informations client ?
- Existe-t-il une matrice de responsabilité avec une responsabilité claire attribuée à un personnel spécifique pour assurer la protection des données dans l'organisation ?
Importance pour la cybersécurité
Les organisations sont souvent découragées par les coûts de mise en œuvre de telles solutions, mais tout effort visant à protéger les données serait un effort vain sans elles. Fait intéressant, de nombreuses organisations ne tiennent pas compte des normes de cybersécurité utilisées par leurs fournisseurs informatiques tels que les fournisseurs de cloud. Les organisations utilisant l'informatique en interne peuvent envisager d'effectuer une analyse des écarts pour comprendre le niveau de conformité existant et les domaines dans lesquels ils ne sont pas à la hauteur. Cela fournirait un point de départ pour décider des niveaux de protection des données que l'organisation peut viser tout en gardant les préoccupations commerciales pertinentes.
Questions à considérer
- Existe-t-il un mécanisme permettant d'auditer les fournisseurs informatiques/cloud pour leurs normes de cybersécurité ?
- Existe-t-il des politiques et des mesures claires en cas de violation/cyberattaque, telles que la continuité et la reprise des activités ?
Conclusion
Covid-19 a déjà contraint les organisations à faire un saut numérique et s'avère déjà être un défi. Cependant, le cadre juridique indien en matière de confidentialité et de protection des données est sur le point de faire un bond en avant sous la forme du projet de loi 2019 sur la protection des données personnelles, qui est actuellement examiné par la commission parlementaire mixte. C'est maintenant un moment crucial pour les organisations d'envisager activement de revoir leurs pratiques existantes et d'ouvrir une nouvelle ère dans laquelle leur entreprise peut prospérer, une fois la pandémie de Covid-19 derrière nous.
[L'article a été co-écrit par Supratim Chakraborty (Partner) et Sumantra Bose (Senior Associate) chez Khaitan & Co]