Entre les atteintes à la vie privée et les gaffes en matière de protection de la vie privée dans les grandes entreprises mondiales, de plus en plus de gens sont à l'affût de la protection des données numériques. Les consommateurs veulent pouvoir contrôler ce que les entreprises collectent et stockent, et de nombreuses entreprises veulent pouvoir récupérer les coûts des services en ligne qu'elles doivent fournir gratuitement. Jusqu'à présent, les petites entreprises américaines ont été exclues de cet tendance. Mais cette exception pourrait prendre fin plus tôt que prévu.
Bientôt dans une ville près de chez vous
Le Règlement général sur la protection des données (RGPD) dans l'Union européenne a déjà eu des répercussions sur de nombreuses grandes entreprises internationales établies aux États-Unis. La Consumer Privacy Act (CCPA), adoptée en Californie, aura des répercussions sur de nombreuses entreprises qui étaient trop petites ou trop locales pour être touchées par le RGPD. Ceci dit, la CCPA exempte les entreprises dont le chiffre d'affaires est inférieur à 25 millions de dollars américains Bon nombre de PME pourraient donc décider d’opter pour le statu quo pour l’instant, plutôt que d'appliquer des normes de sécurité telles que celles énoncées dans le Cadre de cybersécurité du NIST.
Cela peut actuellement sembler à priori une façon raisonnable et rentable de faire des affaires, car de nombreuses personnes considèrent à tort que les petites entreprises sont une cible moins tentante pour les criminels. En fait, les petites entreprises sont dans le collimateur des criminels et sont souvent moins en mesure de faire face aux coûts financiers associés à une infraction. Qui plus est, il se peut que les petites entreprises soient bientôt obligées par la loi de se conformer aux normes de sécurité et de protection de la vie privée, tout comme les grandes entreprises.
Le Sénat de l'État de New York a proposé un projet de loi qui va beaucoup plus loin dans la protection de la vie privée des consommateurs. Comme l'ACCP, la Loi sur la protection des renseignements personnels des consommateurs de New York (ou New York Consumer Privacy Act) permettrait aux gens de savoir quels renseignements les entreprises recueillent à leur sujet, de voir comment elles partagent ces données, de demander des corrections ou des suppressions, ou de refuser que leurs données soient communiquées à d'autres organisations. Contrairement à l'ACCP, cette loi sur la protection des renseignements personnels s'appliquerait aux entreprises de toute taille.
Reste à voir si cela deviendra une loi à New York dans sa forme actuelle. Que la loi de New York ait ou non un impact spécifique sur votre entreprise, cette vague de lois sur la protection de la vie privée ne fait que commencer. Il est probable que la législation sur la protection de la vie privée sera bientôt en vigueur dans votre région. Cela pourrait être au niveau de la ville ou de l'État, ou même devenir une loi fédérale.
Les petites entreprises ne peuvent se permettre d'ignorer la façon dont elles recueillent, stockent et protègent les données. Elles pourraient bientôt être appelés à adhérer aux mêmes normes que les grandes organisations. De plus, les petites entreprises peuvent avoir moins facilement accès à des fonds qui leur permettraient d'agir rapidement si elles devaient régler de façon urgente des problèmes de protection de la vie privée et de sécurité.
Afin d'éviter des problèmes de conformité coûteux plus tard, les petites entreprises devraient commencer à se préparer dès maintenant.
Commencez par l'évaluation des risques et la formation en matière de sécurité
Pour protéger adéquatement votre entreprise, il est important de savoir ce que vous devez protéger. Savoir quels sont vos actifs - en termes de données et d'appareils - vous aidera à réduire vos dépenses. En tant que petite entreprise, vous avez l'avantage que l'évaluation des risques pour votre organisation sera probablement un processus beaucoup moins complexe que pour une grande entreprise.
Si vous ne savez pas par où commencer, vous pouvez consulter le Coin de la cybersécurité pour les petites entreprises du NIST (ou Small Business Cybersecurity Corner). Si vous estimez que vous n'avez pas les ressources ou l'expertise nécessaire pour gérer les actions recommandées, il existe un nombre croissant de fournisseurs de services de sécurité que vous pouvez engager pour vous aider à gérer ce processus.
Même si vous n'avez pas l'expérience nécessaire pour mettre en place ces contrôles de sécurité, il est important que tous les membres de votre organisation connaissent bien les bonnes pratiques de cyberhygiène. Il est de la responsabilité de tous les membres de l'entreprise de protéger vos données et vos appareils. Ceci est particulièrement important si votre entreprise n'est pas assez grande pour disposer d'un service de sécurité à part entière, ou si vos clients vous ont fourni des données personnelles dont vous avez la charge. Enfin, la bonne nouvelle, c'est que pour aider les gens de votre entreprise à se mettre à jour, des formations de haute qualité, gratuites ou peu coûteuses, sont disponibles.