#59 Évolution de la vie privée des données

Subscribe to get the latest

on 2021-07-29 00:00:00 +0000

with Darren W Pulsipher, Jeremy Harris,

Darren Pulsipher, architecte en chef des solutions chez Intel, discute de la signification réelle de la vie privée des données et de son orientation future avec Jeremy Harris, avocat général adjoint - Vie privée/Sécurité de l'information, chez Sutter Health.


Keywords

#dataprotection #dataprivacy #incidentresponse #multicloud #zerotrust #cybersecurity


Après avoir obtenu son diplôme de droit, Jeremy est entré directement dans le JAG Corps de l’armée de l’air américaine et a servi en tant qu’officier en service actif pendant neuf ans. Une de ses responsabilités était d’être gestionnaire de dossiers pour deux bureaux différents. Il a ensuite orienté sa carrière vers le domaine de la santé lors de sa dernière affectation militaire en tant que conseiller juridique pour les hôpitaux du Nord-Est. Après avoir quitté le service actif (il est toujours réserviste), il est devenu conseiller juridique dans un hôpital et travaille maintenant chez Sutter Health.

Bien que le cadre juridique soit le même en ce qui concerne la protection des données, il existe quelques différences entre le gouvernement et le secteur privé : l’approche, les objectifs et les réglementations applicables. Dans le gouvernement, la protection des données signifie préserver la confidentialité des informations grâce à la Loi sur la protection des renseignements personnels ; garder les informations confidentielles secrètes. Bien qu’il puisse y avoir des exceptions, notamment avec la Loi sur la liberté d’information, les systèmes sont conçus de manière à protéger les informations par défaut et non à les divulguer.

Dans le domaine de la santé, depuis la loi HIPAA en 1996, suivie de la loi HITECH quelques années plus tard, et maintenant avec l’ONC, les données sont envoyées dans les foyers, dans les appareils des patients, et les patients peuvent autoriser l’accès à des tiers. “Accès approprié” est probablement une meilleure description que “confidentialité des données”.

Le mouvement des droits à la confidentialité consiste à accorder aux individus un accès et un contrôle accrus. En tant que patient, vous avez non seulement le droit de consulter vos informations, mais vous pouvez également demander à votre fournisseur de soins de santé de les communiquer à un tiers : un avocat, un ami, un autre professionnel de la santé, etc. Un patient peut également spécifier le support de diffusion, qu’il s’agisse d’un format papier ou électronique. Ainsi, de nombreux droits sont accordés aux patients.

Ces droits pour les individus de contrôler leurs propres données ne se limitent pas à la santé. Nous observons cela dans le mouvement actuel avec le RGPD et les lois récemment adoptées au Brésil, au Canada et en Chine, ainsi que dans certains États américains tels que la Californie, Washington et la Virginie.

À mesure que l’avenir de la confidentialité des données se concentre davantage sur les droits individuels d’accès, cela va changer la manière dont les organisations peuvent suivre les choses. Les grandes entreprises comme Google et Facebook proposent maintenant des options permettant aux utilisateurs de supprimer leurs données ou d’empêcher leur vente de différentes manières. Les dispositifs de suivi tels que les cookies traditionnels ne seront plus aussi pertinents, il faudra donc trouver autre chose pour aider les annonceurs ciblés.

Beaucoup de données, bien sûr, comme les données d’emploi sont déjà réglementées. Le contrôle individuel des données n’est pas un droit absolu ; les entreprises ont besoin de données pour fonctionner, donc elles pourront en garder certaines, mais cela deviendra plus réglementé. Aux États-Unis, nous aurons plus de complexité et plus de problèmes avant d’avoir une standardisation. Nous avons 50 États, chacun avec leurs propres réglementations.

Il y a autant de lois qu’il y a de définitions d’informations personnelles, ce qui peut créer un conflit. Sutter, par exemple, possède de nombreux hôpitaux dans le nord de la Californie, ainsi que quelques établissements auxiliaires à Hawaii, en Oregon et en Utah. Sutter doit constamment se tenir au courant des réglementations de ces États, mais en cas de violation, c’est l’État où résident les personnes affectées qui entre en jeu. Parfois, les lois sont rédigées de telle manière que Sutter doit se conformer à la loi dans le lieu de résidence des patients plutôt qu’à l’endroit où se trouve l’entreprise, ce qui devient complexe.

Parfois, il est judicieux de sous-traiter ce genre de problèmes, et toute une industrie légale émerge pour aider les entreprises à naviguer dans les réglementations en matière de confidentialité et de sécurité de l’information.

Du côté informatique, la sécurité des données signifie limiter les personnes ayant accès aux informations. Avec la confidentialité des données, il s’agit d’ouvrir les portes à l’accès. Bien sûr, il existe un processus de validation pour déterminer qui a accès, mais il y a un équilibre à trouver entre la sécurité et la confidentialité, ce qui peut créer beaucoup de travail à la fois pour les côtés juridique et opérationnel.

Les organisations qui développent n’importe quel type d’applications traitant les données personnelles des personnes doivent comprendre que les lois sur la confidentialité varient d’un pays à l’autre, ainsi qu’à l’intérieur de chaque état, et les conséquences liées à l’utilisation et au stockage de ces données.

Jeremy, ainsi que les équipes de confidentialité et de sécurité, collabore avec les équipes techniques, parfois dès la phase de conception, pour s’assurer que tout est conforme à la réglementation. Par exemple, il discutera avec l’équipe chargée de la construction des portails patients pour vérifier si leurs projets respectent les réglementations. De plus, il aide à répondre aux questions concernant le type de base de données le plus adapté ou s’il existe un fournisseur de cloud qui peut être mis en place en conformité. Jeremy constate que plus il se forme et se perfectionne sur les aspects techniques, plus il peut être utile dans le processus.

Podcast Transcript