Data/Information Governance

Le conseil d'administration de chaque organisation est directement responsable de la conformité avec les lois et règlements relatifs à la sécurité des données, à la conservation des données et à la gestion des enregistrements.

Les sanctions en cas de non-respect de ces réglementations sont sévères, allant de l'atteinte à la réputation, au prix des actions en passant par les poursuites pénales, les amendes et la désertion de clients.

Partout dans le monde, la législation sur la protection des données et la vie privée est de plus en plus importante et de plus en plus onéreuse. Cette page vous donnera une introduction rapide au défi de la protection des données auquel vous êtes confronté.

Gouvernance de l'information dans le secteur public britannique

Le secteur public britannique est soumis à un éventail croissant de défis en matière de gouvernance de l'information. L'un des principaux défis consiste à gérer le chevauchement entre la loi sur la protection des données (DPA) et la loi sur la liberté de l'information (FOI).

Lisez le document Protection des données par rapport à la liberté de l'information pour obtenir des conseils pratiques et pratiques pour résoudre ces problèmes.

D'autres ressources utiles comprennent:

  • The Information Governance Toolkit: Data Protection, Caldicott, Confidentiality
  • Data Protection Compliance in the UK
  • ISO27799 – Health Infomatics & Information Security in the Health Sector

Data Protection

Partout dans le monde, la législation sur la protection des données et la vie privée est de plus en plus importante et de plus en plus onéreuse. De nouvelles lois dans ce domaine émergent également régulièrement. Bon nombre de ces lois se chevauchent ou se contredisent, et très peu ont des directives détaillées de mise en œuvre de la réglementation ou une jurisprudence significative.

La législation existante comprend HIPAA, GLBA, SB 1386, OPPA, le Fair Credit Reporting Act (FCRA) aux États-Unis, la LPRPDE du Canada, la directive sur la protection des données de l'UE (mise en œuvre légèrement différemment dans chaque pays de l'UE) et les règlements Entreprises américaines pour échapper aux poursuites en vertu de la réglementation de l'UE), ainsi que la législation britannique telle que la loi sur les droits de l'homme, la loi sur la réglementation des pouvoirs d'enquête et diverses mesures de télécommunications, de vente à distance et anti-spam. Tous ces éléments se combinent pour constituer un défi majeur de conformité pour toutes les organisations.

Des directives très spécifiques existent pour la loi britannique sur la protection des données (DPA). Toutes les organisations britanniques doivent se conformer à la DPA et toutes les organisations du secteur public à la FOIA.

La mise en œuvre et le maintien d'un système de gestion de la sécurité de l'information certifié ISO27001 est le moyen évident de se conformer à la DPA, en particulier au 7e principe, qui oblige les organisations à prendre les mesures techniques et organisationnelles appropriées pour sécuriser les données personnelles.

Au Royaume-Uni, les organisations du secteur public doivent également se conformer à la Freedom of Information Act (FOIA).

International compliance

Il n'est pas facile pour les entreprises nord-américaines et internationales d'identifier les étapes qui pourraient les aider à respecter ce large éventail d'exigences de conformité.

C'est là que l'ISO / CEI 27002 peut être particulièrement utile. Il contient les meilleures pratiques internationales en matière de sécurité de l'information, et les concepts de confidentialité, d'intégrité et de disponibilité des données, qui sont au cœur de la norme ISO27002, sont également contenus dans la plupart des réglementations relatives à l'information.

Litigation

Dans le monde de plus en plus litigieux d’aujourd’hui, la préparation aux litiges est un moyen judicieux de gérer un risque commercial de base. Les documents électroniques (qui incluent tous les courriels) sont toujours essentiels à toute affaire judiciaire, et les organisations doivent prendre les mesures appropriées pour s'assurer qu'elles peuvent se conformer aux exigences des tribunaux en matière de production de preuves.

Best practice in this field is contained in BIP 008, the “Code of Practice for Legal Admissibility and Evidential Weight of Information Stored Electronically”.

Email, Information and Records Management

Le courrier électronique est essentiel à la communication organisationnelle. Il existe des coûts et des risques potentiellement importants associés à l'utilisation professionnelle du courrier électronique, y compris les risques opérationnels, réglementaires et de litige.

Ces risques changent et évoluent, et les organisations devraient utiliser des cadres de meilleures pratiques pour guider leur réponse à ces risques. Les organisations ont besoin de solutions de gestion, de rétention, de maintenance et d'archivage des e-mails de bout en bout qui leur permettront de répondre simultanément aux exigences commerciales et réglementaires actuelles et émergentes.

Les solutions de messagerie doivent fusionner avec les solutions de gestion des informations et des enregistrements. Outre les directives générales sur la sécurité de l'information de l'ISO27002, les organisations peuvent se tourner vers le cadre de gestion des enregistrements des meilleures pratiques contenu dans l'ISO15489.

Une spécification plus détaillée pour la gestion des documents électroniques est contenue dans les exigences types pour la gestion des documents électroniques («MoReq»).

Data Retention Periods

Les périodes de conservation des données sont un domaine auquel la plupart des entreprises n'accordent pas suffisamment d'attention.

Le fait est que pour la plupart des entreprises, il existe une myriade de lois et de réglementations qui déterminent la durée de conservation des données, y compris les informations de courrier électronique et de messagerie instantanée.

Bien sûr, tout ce domaine se complique de plus en plus si l'on considère que certains e-mails peuvent contenir des informations financières ou personnelles et doivent donc être conservés pendant des périodes différentes de celles des e-mails ordinaires.

fr_FRFR
en_USEN nl_BENL fr_FRFR
X