Conformez-vous aux obligations des principales dispositions des lois CCPA et California Data Breach Notification Statute.

Les obligations de la loi California Consumer Privacy Act (CCPA) sont entrées en vigueur au début de l’année 2020, la date du 1er juillet 2020 marquant l’expiration de la période de grâce de six mois pour se conformer à la loi CCPA. La loi CCPA traite de l’utilisation du chiffrement pour protéger les renseignements personnels des consommateurs. Le projet de loi Assembly Bill 1130, qui ne fait pas partie de la loi CCPA mais a été introduit pour mettre à jour la loi californienne sur la notification des violations de données, exige d’informer les personnes victimes d’une violation de leurs données à moins que ces données ne soient chiffrées et que les clés de chiffrement n’aient pas été dérobées avec les données.

Les personnes ne respectant pas les obligations de la loi CCPA encourent une amende de 7 500 $ pour chaque violation intentionnelle. Les violations non intentionnelles aux obligations de la loi CCPA sont moins onéreuses, mais restent coûteuses à 2 500 $ par infraction. Par ailleurs, les poursuites civiles peuvent être très dommageables aux organisations non conformes. Les organisations encourent jusqu’à 750 $ de dommages-intérêts civils pour chaque consommateur concerné par la non-conformité à la CCPA.

    Règlement

    Vous trouverez ci-dessous des extraits des lois californiennes CCPA et Data Breach Notification Statute auxquelles les HSM Entrust nShield peuvent vous aider à vous conformer.

    Protection des données des consommateurs

    L’article 1798.150. (a) (1) de la loi CCPA stipule ce qui suit :

    Tout consommateur dont les renseignements personnels non chiffrés et non expurgés, tels que définis au sous-paragraphe (A) du paragraphe (1) de la subdivision (d) de l’article 1798.81.5, font l’objet d’un accès non autorisé et d’une exfiltration, d’un vol ou d’une divulgation à la suite de la violation par l’entreprise de l’obligation de mettre en œuvre et de maintenir des procédures et des pratiques de sécurité raisonnables adaptées à la nature des informations afin de protéger les renseignements personnels peut intenter une action civile dans l’un des buts suivants :

    (A) Pour recouvrer des dommages-intérêts d’un montant d’au moins cent dollars (100 $) et d’au plus sept cent cinquante dollars (750 $) par consommateur et par incident ou dommage réel, selon le plus élevé des deux.

    (B) Pour obtenir une injonction ou une mesure de redressement déclaratoire.

    (C) Pour obtenir toute autre réparation que le tribunal juge appropriée.

    Bien que la loi CCPA elle-même ne fournisse pas plus de détails sur le chiffrement des données, un amendement à la loi californienne sur les violations de données apporte des précisions. À la fin de l’année 2019, simultanément à la signature des amendements à la loi CCPA, les législateurs californiens ont également signé le projet de loi Assembly Bill 1130, qui fait spécifiquement référence au chiffrement et à la protection des clés de chiffrement. Ce qui suit est extrait du projet de loi :

    L’article 1789.82 du Code civil est modifié comme suit :

    1798.82. (a) Une personne ou une entreprise qui conduit des activités en Californie, et qui possède ou concède sous licence des données informatisées comprenant des renseignements personnels, doit divulguer une violation de la sécurité du système après la découverte ou la notification de la violation de la sécurité des données à un résident de Californie (1) dont les renseignements personnels non chiffrés ont été, ou sont raisonnablement supposés avoir été, acquis par une personne non autorisée, ou (2) dont les renseignements personnels chiffrés ont été, ou sont raisonnablement supposés avoir été, acquis par une personne non autorisée et la clé de chiffrement ou les informations d’identification de sécurité ont été, ou sont raisonnablement considérées comme ayant été, acquises par une personne non autorisée, et la personne ou l’entreprise qui possède ou concède sous licence les informations chiffrées a des raisons valables de croire que la clé de chiffrement ou les informations d’identification de sécurité pourraient rendre ces renseignements personnels lisibles ou exploitables. La divulgation doit être faite dans les meilleurs délais et sans retard déraisonnable, conformément aux besoins légitimes des forces de l’ordre, comme prévu à la subdivision (c), ou toute mesure nécessaire doit être prise pour déterminer l’étendue de la violation et restaurer l’intégrité raisonnable des systèmes de données.

    Conformité

    Protection des clés

    L’amendement ci-dessus indique que les organisations ne peuvent pas se contenter de chiffrer les données des résidents de Californie pour les protéger, elles doivent également protéger les clés de chiffrement ou les informations d’identification de sécurité associées pour être en conformité. Le chiffrement protège les informations sensibles, y compris les données financières, les pièces d’identité émises par le gouvernement et les numéros de sécurité sociale, en les rendant illisibles. Or, si les clés de chiffrement ne sont pas elles-mêmes protégées, cela revient à verrouiller sa porte d’entrée en laissant les clés sous le paillasson.

    Solutions HSM Entrust nShield pour la sécurité des clés cryptographiques

    La meilleure pratique pour la sécurité des clés cryptographiques consiste à stocker ces clés dans un module matériel de sécurité (HSM). Les HSM Entrust nShield® sont des dispositifs matériels renforcés et inviolables qui sécurisent les processus cryptographiques en générant, protégeant et gérant les clés utilisées pour chiffrer et déchiffrer les données et créer des signatures et des certificats numériques. Les HSM nShield sont testés, validés et certifiés selon les normes de sécurité les plus élevées, notamment FIPS 140-2 et les Critères Communs. Les HSM nShield permettent aux organisations de :

    • Respecter et dépasser les normes réglementaires établies et émergentes en matière de cybersécurité, y compris la loi CCPA, le RGPD, eIDAS, PCI DSS, HIPAA, etc.
    • d’atteindre de meilleurs niveaux de sécurité des données et de confiance
    • de maintenir des niveaux élevés de service et de réactivité commerciale

    nShield as a Service est une solution sur abonnement permettant de générer, de protéger et d’accéder aux clés cryptographiques, indépendamment des données sensibles, à l’aide de HSM nShield Connect dédiés certifiés FIPS 140-2 Niveau 3. Cette solution offre les mêmes caractéristiques et fonctionnalités que les HSM sur site, auxquelles s’ajoutent les avantages d’un déploiement dans le cloud. Cela permet aux clients d’atteindre leurs objectifs en matière de stratégies privilégiant le cloud, tout en confiant la gestion de ces appareils aux experts d’Entrust.

    Ressources

    Fiche de conformité : Loi californienne sur la protection de la vie privée des consommateurs

    En gérant et en sécurisant les clés de chiffrement, les HSM Entrust nShield aident les entreprises à se conformer aux principales exigences de la loi California Consumer Privacy Act (CCPA) sur la protection de la vie privée des consommateurs et de la loi Data Breach Notification Statute sur la notification des violations de données.

    Brochures : Brochure de la famille des HSM Entrust nShield

    Les HSM Entrust nShield offrent un environnement renforcé et inviolable pour le traitement cryptographique sécurisé, la génération de clés et leur protection, le chiffrement, etc. Disponibles selon trois facteurs de forme certifiés FIPS 140-2, les HSM Entrust nShield conviennent pour de nombreux scénarios de déploiement.

    Produits connexes