Les lois qui régissent la sécurité de l’information ont vu le jour il y a des décennies, les états-unis étant les premiers à légiférer ce domaine qui ne cesse d’évoluer.
Cet article vous permettra de constituer une idée sur les lois en vigueur aux États-Unis qui régissent la cyberdéfense et la protection des données sensibles :
FERPA (Family Educational Rights and Privacy Act)
Cette loi a été promulguée en 1974, c’est une loi fédérale qui régit l’accès aux informations et aux dossiers éducatifs par des entités publiques telles que les employeurs , les établissements d’enseignement financés par des fonds publics et des gouvernements étrangers. La loi est également appelée l’amendement Buckley, en hommage à l’un de ses partisans, le sénateur James L. Buckley de New York.
GLBA ( Gramm-Leach-Bliley Act) :
Avant la loi Gramm-Leach-Bliley (GLBA), il y avait des barrières gouvernementales strictes entre les établissements. Les banques, les compagnies d’assurance et les fournisseurs de crédit étaient sévèrement limités dans les services qu’ils pourraient fournir et les informations qu’ils pourraient partager entre eux. GLBA a assoupli la réglementation concernant les services que chaque organisation pourrait fournir. Lorsque le Congrès a adopté cette loi, il a réalisé que cet assouplissement aurait des implications de grande envergure en matière de protection de la vie privée. En raison de cette préoccupation, un certain nombre de limitations sur les types de informations qui pourraient être échangées même entre filiales d’une même société a été imposé.
Fourth Amendment:
Cette loi interdit aux agents du gouvernement de fouiller une propriété privée sans mandat et sans cause probable. Les tribunaux ont élargi l’interprétation du quatrième amendement pour inclure la protection contre les écoutes téléphoniques et autres atteintes à la vie privée.
1974 US Privacy Act:
Cette loi a été promulguée en 1974 qui exige que les organismes collectent seulement les données nécessaires à l’exercice de leurs activités, et qu’ils s’engagent à les supprimer quand ces données n’auraient plus d’utilité pour une fonction gouvernementale. c’est également une loi qui assure le droit des personnes à accéder à leurs données collectées par le gouvernement et de les corriger le cas échéant.
US Computer Fraud and Abuse Act (CFAA):
Cette loi a été la première pièce majeure de législation spécifique à la cybercriminalité aux États-Unis. Le Congrès avait déjà adopté loi sur la criminalité informatique dans le cadre de la loi sur le contrôle global de la criminalité (CCCA) de 1984, mais CFAA a été soigneusement rédigé pour couvrir exclusivement les crimes informatiques qui franchissent les frontières des États pour éviter de porter atteinte aux droits des États.
Electronic Communications Privacy Act:
Cette loi qui date de 1986 interdit les écoutes et les interceptions de communication.
Un amendement de cette loi a vu le jour sous le nom CALEA (Communications Assistance for Law Enforcement Act) en 1994 qui exige que tous les opérateurs télécoms rendent possibles les écoutes téléphoniques pour les forces de l’ordre avec une décision de justice appropriée, et ce, quelle que soit la technologie utilisée.
Health Insurance and Portability Accountability Act (HIPPA):
Le Congrès a adopté la Health Insurance Portability and Accountability Act (HIPAA) en 1996, qui a apporté de nombreux changements aux lois régissant l’assurance-maladie et les organisations de maintien de la santé (HMO). Parmi les dispositions de la HIPAA figurent les nouvelles dispositions en matière de confidentialité et de sécurité exigeant des mesures de sécurité strictes pour les hôpitaux, les médecins, les compagnies d’assurance et d’autres organisations qui traitent les informations médicales privées des individus.
Health Information Technology for Economic and Clinical Health Act (HITECH):
Cette loi promulguées en 2009 a mis à jour de nombreuses exigences HIPAA en matière de confidentialité et de sécurité.
L’un des changements est la façon dont la loi traite les associés commerciaux, qui sont des organisations qui gèrent des informations de santé protégées (PHI) au nom d’une entité couverte par la HIPAA, en effet, toute relation entre une entité couverte et un partenaire commercial doit être régie par un contrat écrit connu sous le nom de BAA (Business Associate Agreement).
HITECH a également introduit de nouvelles exigences de notification de violation de données en imposant d’informer les personnes concernées par la violation, le secrétaire de la Santé et des Services Sociaux ainsi qu’aux médias lorsque la violation affecte plus de 500 personnes.
No responses yet