Conformité RGPD – HIPAA

Exclaimer Mail Archiver n’est plus en service. Quelle est la meilleure alternative pour l’archivage d’e-mails ?

 

Si vous étiez client d’Exclaimer Mail Archiver, vous savez sûrement déjà que ce produit n’est plus en service depuis septembre 2021. L’archivage n’est désormais plus possible sur Exclaimer.

Quelle est la meilleure alternative pour l’archivage des e-mails ?

Vous devez être en quête d’une alternative à Exclaimer Mail Archiver. Une excellente option, récompensée pour sa qualité, s’offre à vous : l’archivage des e-mails avec ArcTitan. Il s’agit d’un système destiné aux entreprises permettant un archivage sécurisé de leurs mails professionnels ainsi qu’un moyen de retrouver rapidement les mails dont ils ont besoin. ArcTitan est conforme à la législation, rapide, sûr et compatible avec M365.

Avec le système d’archivage d’e-mails ArcTitan, vous pouvez stocker vos mails en sécurité, les retrouver facilement et les consulter rapidement. Cela implique que les mails ne peuvent être altérés ou effacés. ArcTitan vous permet de garder une trace des communications, conformément à la législation. En d’autres termes, en cas de poursuites judiciaires, vous pourrez apporter des éléments de preuves en matière de données. ArcTitan vous aide à gérer votre adresse IP et accroît votre productivité.

L’engagement de ArcTitan :

  • ArcTitan est un des meilleurs systèmes d’archivages basé dans le cloud existant sur le marché.
  • Leader du marché de la base de données interrogeable, nous excellons dans la recherche de multiples données dans plus de 200 langues ; notre manière d’indexer les mails fait de nous l’un des services les plus rapides.
  • Le stockage illimité : sans limite de mémoire, vous pourrez ajouter dans le système autant de données que vous le souhaiterez, tant que vous demeurez un client payeur.
  • Une recherche de mails ultra-rapide.
  • Un archivage mail compatible avec M365.
  • Une amélioration des services de recherche et stockage d’e-mails dans Office 365.
  • Une importante économie de temps et d’argent.
  • Pas de problème de maintenance : nous nous chargeons de l’infrastructure 24 heures/24 et 7 jours/7 car notre travail consiste à ce que tout fonctionne.
  • L’assurance d’une action de récupération après sinistre sans coût supplémentaire, car nous offrons une excellente entente de niveau de service.

Les fonctionnalités incluses :

  • Le stockage illimité
  • La duplication des dossiers
  • Les autorisations déléguées
  • La fonction de ré-ingestion
  • La conformité à la législation en vigueur
  • Un puissant outil de recherche et récupération des données

Des normes ouvertes quant au stockage de données et leur transfert :

  • Nous ne vous restreindrons pas à un usage de certains formats : vous pourrez ainsi déplacer une partie ou l’ensemble de vos données sur un autre système à volonté.
  • Vos données sont stockées, transférées et recouvrées par le biais de normes ouvertes.
  • Vous pouvez importer vos données d’archives mails existantes depuis MS Exchange, Google Apps, EML, MBOX, MSG, ou encore PST.
  • Vous pouvez exporter vos données archivées ArcTitan en EML, MSG, PDF, TIFF et PST.
  • Pas besoin d’investir du temps ou de l’argent en conversion des données, que ce soit au moment où vous nous engagez ou quand vous avez besoin de déplacer vos données.

Et si j’utilise M365 ?

ArcTitan est un puissant système d’archivage des e-mails qui s’intègre parfaitement à Office 365.

Avec ArcTitan, les entreprises peuvent télécharger intégralement leurs mails dans le cloud et avoir accès à une capacité de stockage illimitée des communications échangées, même si elles contiennent des pièces jointes : dossiers, calendriers, contacts sont conservés.

Une troisième solution d’archivage des e-mails est essentielle avec M365 pour accéder et recouvrer les données de manière légale. De nombreuses fonctionnalités de M365 sont très utiles, mais l’archivage des e-mails nécessite un système professionnel comme ArcTitan pour garantir une sauvegarde sécurisée aux clients de M365.

L’archivage des mails est devenu essentiel pour les entreprises : il ne suffit plus de conserver les messages, il faut pouvoir les consulter et les fournir comme preuve à conviction le cas échéant.

M365 est capable de rechercher parmi environ 50 types de pièces jointes (la plupart étant au format Microsoft) mais il y a des centaines d’autres fichiers qu’Office 365 ne peut vérifier. Office 365 offre seulement 50 Go de stockage d’e-mails (incluant votre archivage), ce qui implique que vous risquez d’être rapidement à court de mémoire.

Malheureusement, ces défauts peuvent mettre en péril votre entreprise en cas de litige : si vous ne pouvez pas archiver et rechercher vos mails, vous courrez le risque de manquer aux normes législatives, ce qui peut vous mener à des pertes sur le plan pénal et un potentiel emprisonnement.

Les poursuites judiciaires sont un bon exemple de la nécessité de conserver les mails sur le long terme, la Cour ayant le pouvoir d’exiger les échanges professionnels comme preuves à conviction en cas de litige. Si vous ne pouvez pas fournir les éléments demandés, vous risquez des sanctions pénales.

Notre système complètement automatisé et soigneusement maintenu permet ainsi aux entreprises de se conformer aux instructions et de fournir comme preuve tout mail pertinent sur simple recherche dans le temps imparti.

La facilité de changer de système pour choisir ArcTitan

ArcTitan est simple à configurer ; notre équipe travaillera avec votre service informatique pour transférer vos mails de manière sécurisée sur le système ArcTitan.

  • Nous vous fournissons des instructions, étape par étape, pour configurer votre serveur d’e-mails et les dupliquer, ou
  • Nous pouvons travailler directement avec votre service informatique ou service fournisseur d’e-mails pour faire le transfert pour vous.
  • Nous commençons normalement le jour de votre inscription ; cela dépend toutefois de la capacité d’accéder à votre serveur mail actuel.

Avec ArcTitan, vous n’aurez besoin d’aucun équipement supplémentaire. ArcTitan est compatible avec M365, Microsoft exchange, Lotus notes, Zimbra et de nombreux autres systèmes.

ArcTitan offre un moyen simple et sécurisé de gérer les mails professionnels en entreprise pour vous garantir conformité, sécurité et confidentialité. Nous nous occupons de toute la partie technique complexe, invisible au second plan, ce qui vous permet d’obtenir ce qu’il vous faut, quand il vous le faut, instantanément et sans effort supplémentaire. L’accès est transparent à la fois pour vos administrateurs et vos utilisateurs en permanence, via la page internet ou via Outlook.

« C’est un vrai soulagement d’archiver ses mails avec ArcTitan » affirme Egil Bjorkedal, chef du département d’informatique de Saga Welco AS.

Si vous recherchez une alternative puissante à Exclaimer Mail Archiver ou si vous avez simplement besoin d’un système d’archivage d’e-mails, nous serions ravis de prendre contact avec vous.

La conformité relative à l’archivage des e-mails

La possibilité d’identifier et de supprimer les données personnelles d’un client est un élément clef du règlement général sur la protection des données. Or, la plupart des données personnelles d’un client se trouvent dans les e-mails.

L’archivage des e-mails dans le système du cloud est la solution la plus souple et la plus sûre, vous garantissant le respect des lois prévues dans le règlement général sur la protection des données, la loi américaine Sarbanes-Oxley et la conformité à l’HIPAA américaine. Vous devrez absolument avoir une politique de messagerie conforme à la législation pour votre entreprise.

Une offre d’archivage d’e-mails conforme à la règlementation

L’essentiel des connaissances organisationnelles de l’entreprise circule dans ses e-mails, aussi voilà un investissement que chaque société doit consciencieusement protéger ; l’archivage ne protège pas seulement la propriété intellectuelle présentée par mail, il simplifie notablement la gestion de la messagerie pour un gain de temps et de productivité.

L’offre d’archivage d’e-mails de TitanHQ, « ArcTitan », consiste en un archivage fondé sur le système du cloud et la récupération des mails en conformité avec la loi Sarbanes-Oxley, l’HIPAA, les règlementations d’eDiscovery, la conservation et la vérification. Les utilisateurs peuvent rechercher, consulter et retrouver en quelques secondes les mails archivés depuis Outlook ou tout autre navigateur internet. Avec des options de recherches recouvrant toute l’entreprise, quelques départements choisis ou encore des groupes de contenu ou des titres, des mails et leurs pièces jointes, n’importe quel e-mail qu’une recherche eDiscovery jugera pertinent sera identifié. Les e-mails archivés incluent une piste d’audit renseignant sur toute modification faite aux messages, certifiant la conformité à la législation.

L’importance d’un système géré par eDiscovery

Un certain nombre de lois et de règlementations énoncent la durée de conservation des données, ce qui inclue les e-mails : il faut les garder enregistrés durant plusieurs années.

Les poursuites judiciaires sont un exemple concret de l’importance de conserver les e-mails échangés, reçus comme envoyés, la Cour étant à même de les exiger comme pièces à conviction durant un procès. La requête et la présentation des mails archivés est définie comme eDiscovery.

Comment vous conformer à une requête eDiscovery sans un système organisé ?

Il peut rapidement s’agir de rassembler pour un même sujet des milliers d’e-mails échangés sur plusieurs années par des centaines d’employés travaillant dans différents départements. Sans un système automatisé et bien géré, il serait impossible pour une entreprise de se conformer à la requête de présentation des e-mails nécessaires dans un délai imparti.

Si une entreprise n’est pas en mesure de fournir les pièces à conviction sous forme d’e-mails et d’enregistrements requis par la loi, elle s’expose à des sanctions financières voire des accusations pénales à charge criminelle.

Mais il ne suffit pas de conserver les mails : ils doivent être accessibles sur demande, d’où la nécessité de les stocker de manière à les retrouver facilement. L’archivage d’e-mails ne consiste pas seulement à épargner des frais à une entreprise : il doit aussi pourvoir des éléments présentables à la justice dans un format facile d’accès.

L’archivage des e-mails en conformité et le règlement général sur la protection des données

La création du règlement général sur la protection des données a obligé les entreprises à réfléchir à un procédé leur permettant la gestion des données conservées, ce qui a engendré un regain d’intérêt pour l’archivage d’e-mails.

ArcTitan est conforme au règlement général sur la protection des données en matière de rétention et de vérification des données ainsi qu’avec toutes les normes règlementaires en vigueur.

Avec le bon logiciel d’archivage d’e-mails, on peut chercher, déplacer, sécuriser ou encore verrouiller les données enregistrées dans la messagerie. Les obligations du règlement général sur la protection des données permettant aux utilisateurs de demander que leurs données soient effacées peuvent ainsi être remplies sans effort de la part des administrateurs du site.

L’archivage des e-mails et la confidentialité

Les e-mails peuvent contenir les données souvent très privées des clients, comme les informations financières relatives à leur compte bancaire. Ces données doivent rester strictement confidentielles pour raisons de conformité et de confiance. Toutes les informations relatives aux transactions, aux comptes des clients et aux requêtes qu’ils ont formulées doivent être archivées et sécurisées. À défaut, l’entreprise devra s’acquitter de frais de pénalité et sa réputation en pâtira.

Remarques sur la conformité de l’archivage des e-mails avec le travail à distance

L’année 2020 a vu une augmentation exponentielle du télétravail, ce qui a drastiquement changé le paysage technologique et le monde des affaires.

Tandis que les employés télé-travaillent, les entreprises doivent s’assurer que la conformité de la sécurisation et de la confidentialité des données est respectée en dehors de ses murs. L’archivage des e-mails fondé sur l’utilisation du système du cloud offre un moyen rentable et efficace de gérer les données qu’échangent par mail les employés travaillant à distance.

L’un des avantages de l’archivage des e-mails fondé sur l’utilisation du cloud est la centralisation des divers serveurs d’e-mails ; en cas de télétravail, c’est encore plus important. Ce type d’archivage des e-mails offre un moyen de rassembler les données échangées dans les mails professionnels, assurant ainsi la conformité malgré la multiplicité des environnements de travail.

Quelles sont les offres de conformité relative aux e-mails pour votre entreprise ?

Nous vous avons expliqué en quoi choisir une offre d’archivage d’e-mails conforme est essentiel pour votre entreprise. La prochaine étape consiste à passer à l’action et déterminer la meilleure option pour vos affaires : essayez ArcTitan !

Comment ArcTitan peut vous aider

S’assurer que les données sont archivées sans porter atteinte aux performances du réseau et que les données sont stockées dans leur intégrité est une priorité pour la plupart des entreprises. ArcTitan simplifie eDiscovery pour les avocats tout en protégeant les données contre le piratage dans une offre garantissant ces avantages et bien d’autres encore.

Les administrateurs du site internet peuvent rapidement supprimer les données d’un utilisateur conformément à une exigence du règlement général sur la protection des données et trouver les informations nécessaires à une enquête en cours.

Questions fréquentes sur la conformité relative à l’archivage des e-mails (FAQ)

Qu’est-ce que la conformité relative à l’archivage des e-mails ?

L’essentiel des données personnelles d’un client réside dans ses e-mails. Les offres de conformité relative à l’archivage des e-mails proposent les meilleures solutions pour conserver de manière sécurisée les mails selon la législation en vigueur. C’est une nécessité absolue pour votre entreprise.

À quel point la conformité relative à l’archivage des e-mails est-elle importante ?

Elle permet aux utilisateurs d’archiver les mails de l’entreprise de manière sécurisée et de pouvoir les réutiliser conformément à la loi, remplissant les critères requis pour la détention des données et les exigences du règlement général sur la protection des données.

Que proposent les offres de conformité relative à l’archivage des e-mails ?

L’expansion des données collectées est un véritable défi pour le département technologique de votre entreprise. Les offres de conformité relative à l’archivage des e-mails simplifient la gestion des risques liées aux données, permettant la détention et la protection des données et des mails contre le piratage pour une période déterminée.

HIPAA et phishing : les attaques par email peuvent entraîner des sanctions

HIPAA et phishing : les attaques par email peuvent entraîner des sanctions

Une attaque d’email de phishing sur une entité couverte par la loi américaine HIPAA (Health Insurance Portability and Accountability Act) a entraîné une pénalité de 400 000 $ pour non-respect de ce texte.

Ce n’est pas la première fois qu’une attaque de phishing est sanctionnée par l’Office des droits civils (OCR) pour non-conformité.

L’incapacité à prévenir les attaques de phishing n’est pas nécessairement synonyme de sanction, mais le fait de ne pas mettre en œuvre des protections suffisantes pour empêcher de telles attaques pourrait mettre les entités couvertes par l’HIPAA dans l’embarras.

Conformité HIPAA et attaque d’email de phishing

L’OCR du Département américain de la santé et des services sociaux est chargé de faire respecter les règles de la loi sur la transférabilité et la responsabilité en matière d’assurance maladie.

L’OCR effectue les audits des entités couvertes pour identifier les aspects des règles HIPAA qui s’avèrent problématiques pour les entités concernées.

Cependant, à ce jour, aucune sanction financière n’a été émise suite à des infractions à la loi HIPAA découvertes lors de ces audits. Mais ce n’est certainement pas le cas lorsqu’il s’agit d’enquêtes sur des violations de données.

OCR enquête sur toutes les formes de violations de données touchant plus de 500 personnes. Ces enquêtes aboutissent souvent à la découverte de violations des règles de l’HIPAA.

Toute entité couverte par cette loi et qui subit une attaque de phishing entraînant l’exposition d’informations de santé protégées de patients ou de membres d’assurance maladie pourrait être considérée comme ayant violé l’HIPAA.

Une seule attaque de phishing qui n’a pas été contrecarrée pourrait donc entraîner une amende considérable pour non-conformité.

Quelles sont les règles de l’HIPAA qui couvrent le phishing ?

Bien que cette loi ne mentionne pas spécifiquement le phishing, cette menace pourrait porter atteinte à la confidentialité, l’intégrité et la disponibilité des informations électroniques protégées sur la santé (ou Electronic protected health information – ePHI).

Le phishing est donc couvert par les exigences administratives de la règle de sécurité HIPAA.

Les entités couvertes par la règle de sécurité HIPAA sont tenues de dispenser une formation continue appropriée aux membres de leur personnel.

Selon le §164.308.(a).(5).(i), une formation de sensibilisation à la sécurité est nécessaire. Bien que ces exigences soient adressables, elles ne peuvent être ignorées.

Les exigences administratives incluent l’envoi de rappels de sécurité, la protection contre les malwares, la gestion de mots de passe et la surveillance des connexions.

Les employés doivent également apprendre à identifier les emails de phishing potentiels et connaître la réponse correcte lorsqu’ils en reçoivent un.

La règle de sécurité HIPAA exige également la mise en place de protections techniques contre les menaces pesant sur les ePHI.

Des mesures de sécurité raisonnables et appropriées, telles que le chiffrement, devraient être utilisées pour protéger les informations.

Comme les EPHI sont souvent divulguées via des comptes de messagerie, une mesure de sécurité raisonnable et appropriée consisterait donc à utiliser une solution de filtrage du spam avec un composant anti-phishing.

PhishMe rapporte que 91 % des cyberattaques commencent par un email de phishing. Une solution de filtrage anti-spam peut donc être considérée comme un contrôle de sécurité essentiel.

Le risque de phishing doit être mis en évidence lors de l’analyse de votre système de sécurité. C’est un élément obligatoire de la règle de sécurité HIPAA.

Une telle analyse doit identifier les risques et les vulnérabilités susceptibles d’entraîner la divulgation ou le vol des ePHI. Ces failles doivent ensuite être traitées dans le cadre du processus de gestion de la sécurité de l’entité couverte.

Sanctions HIPAA pour attaques d’email de phishing

OCR a récemment conclu un accord avec Metro Community Provider Network (MCPN), un centre de santé agréé par le gouvernement fédéral (FQHC), basé à Denver, au Colorado.

Cela fait suite à une attaque de phishing survenue en décembre 2011.

L’attaque a permis aux pirates d’accéder aux comptes de messagerie de l’organisation après que les employés aient répondu à un email de phishing et fourni ses informations d’identification.

Les ePHI de 3 200 personnes figuraient dans les comptes de messagerie piratés.

L’amende ne visait pas précisément à empêcher toutes les attaques de phishing, mais à faire suffisamment d’efforts pour gérer les risques de sécurité.

MCPN n’avait pas effectué l’analyse des risques avant l’attaque et n’avait pas mis en œuvre de mesures de sécurité suffisantes pour réduire les failles et les vulnérabilités à un niveau raisonnable et approprié.

Le centre de santé MCPN a dû verser 400 000 $ à l’OCR suite à cet incident.

En 2015, une autre entité couverte par l’HIPAA a fini par se mettre d’accord avec l’OCR pour résoudre les violations des règles HIPAA suite à une attaque de phishing.

Le centre médical de l’Université de Washington a versé 750 000 dollars à l’OCR en raison de la divulgation de 90 000 ePHI individuelles. Pour ce cas précis, l’attaque de phishing permettait à des attaquants d’installer des malwares.

Jocelyn Samuels, directeur d’OCR à l’époque, a déclaré: « Une analyse de risque efficace doit être exhaustive et menée dans l’ensemble de l’organisation pour traiter suffisamment les risques et les vulnérabilités des données des patients.

Trop souvent, nous voyons des entités couvertes avec une analyse de risque limitée, qui se concentre sur un système spécifique tel que les dossiers médicaux électroniques, où qui n’assure pas une supervision et une responsabilité appropriées pour toute l’entreprise. »

On ne s’attend pas à ce que les entités visées empêchent toutes les attaques de phishing, mais elles doivent s’assurer que le risque de phishing soit identifié et que des mesures soient mises en place pour empêcher ces attaques d’entraîner l’exposition au vol des ePHI.

Dans le cas contraire, une amende relative à violation de la loi HIPAA pourrait être infligée aux entreprises concernées.

Exigences de la CCPA pour les entreprises

Exigences de la CCPA pour les entreprises

Dans ce dossier spécial, nous allons vous expliquer les exigences de la loi sur la protection de la vie privée des consommateurs de la Californie (CCPA) pour les entreprises.

Nous allons également vous détailler les éléments les plus importants de la CCPA.

Quelles sont les entreprises qui doivent se conformer à la CCPA ?

Contrairement au Règlement général sur la protection des données (RGPD) de l’Union européenne, qui s’applique à toutes les entreprises qui collectent ou traitent les données des résidents de l’UE, la CCPA ne s’applique qu’aux entreprises à but lucratif qui répondent à certains critères.

Toute entreprise qui répond à un ou plusieurs des critères ci-dessous est tenue de se conformer à la CCPA :

  • Avoir un chiffre d’affaires annuel brut supérieur à 22,64 millions d’euros
  • Collecter des informations sur 50 000 ménages ou résidents californiens ou plus chaque année
  • Gagner 50 % ou plus de son chiffre d’affaires annuel grâce à la vente des données de consommation des résidents de l’état de Californie.

À noter que ces exigences peuvent être actualisées ou étendues à un plus grand nombre d’entreprises. Il est donc dans votre intérêt de vous tenir au courant de toute modification de la CCPA si vous recueillez ou traitez les données des consommateurs américains.

Il n’y a pas que les entreprises ayant leur siège en Californie qui doivent se conformer à la CCPA. En réalité, toute entreprise qui fait des affaires en Californie ; qui collecte ou traite les données des résidents californiens est tenue de se conformer à la CCPA.

Quels sont les droits des consommateurs dans le cadre de la CCPA ?

Le CCPA a été introduit pour donner aux résidents de l’état de Californie un plus grand contrôle sur leurs données personnelles.

Les droits des consommateurs en vertu de la CCPA sont notamment les suivants :

  • Droit de savoir quelles données personnelles sont collectées par une entreprise
  • Droit de savoir quelles sont les données à caractère personnel détenues par une entreprise
  • Droit de savoir comment les données à caractère personnel sont utilisées par une entreprise
  • Restriction de l’utilisation et de la vente de données personnelles de mineurs (moins de 13 ans) sans le consentement des parents
  • Restriction de l’utilisation et de la vente de données personnelles de mineurs (13-16 ans) sans consentement direct de la personne concernée
  • Droit de supprimer toutes les données à caractère personnel détenues par une entreprise
  • Droit de refuser la vente de données à caractère personnel
  • Droit à la non-discrimination, en termes de prix ou de services, si les droits de la CCPA sont exercés
  • Droit d’intenter une action en justice contre les entreprises pour violation de la vie privée et pour non-respect des droits de la CCPA
  • Les demandes des consommateurs doivent être confirmées dans les 10 jours et honorées dans les 45 jours

Principales exigences de la CCPA pour les entreprises

Les entreprises doivent veiller à ce que les consommateurs soient informés de la collecte de leurs données personnelles avant que celles-ci ne soient recueillies. Les consommateurs doivent également avoir la possibilité de refuser la collecte ou la vente de leurs données. Par ailleurs, les données à caractère personnel ne doivent être collectées qu’à des fins spécifiques et légitimes.

Une politique de protection de la vie privée à l’échelle de l’entreprise doit être élaborée, maintenue et mise à la disposition des consommateurs. Elle doit expliquer les pratiques de l’entreprise en matière de protection de la vie privée, y compris les données collectées, la manière dont elles sont utilisées et si elles seront vendues ou non. En outre, la politique de protection de la vie privée doit expliquer les droits des consommateurs.

Les entreprises ont aussi l’obligation de maintenir des procédures pour répondre aux demandes des consommateurs d’accéder à leurs données, de supprimer leurs données et de refuser la vente de leurs informations personnelles. De plus, elles doivent élaborer et maintenir des procédures relatives à la collecte et à l’utilisation des informations personnelles des mineurs.

Les entreprises doivent offrir aux consommateurs deux méthodes pour demander des données et faire supprimer leurs données. L’une des méthodes obligatoires est un numéro de téléphone gratuit. Si une entreprise opère principalement en ligne, les entreprises doivent proposer une méthode basée sur le web.

Tout membre du personnel qui traite les données des consommateurs doit recevoir une formation sur les exigences de la CCPA. Quant à la surveillance de la conformité, elle doit être déléguée à une personne ou à une équipe dédiée.

Les entreprises doivent vérifier l’identité du consommateur avant de lui fournir ou de supprimer des données qui lui concernent une fois qu’ils reçoivent une demande.

CCPA et RGPD

La CCPA ne va pas aussi loin que le RGPD en ce qui concerne les exigences de sécurité des données pour les entreprises.

Cette loi ne précise pas les mesures de sécurité qui doivent être mises en œuvre pour protéger les données des consommateurs, mais elle exige que les entreprises mettent en place des protections adéquates pour protéger les données des consommateurs, y compris des mesures pour empêcher l’accès non autorisé aux données personnelles.

N’oubliez pas que des sanctions peuvent être imposées en cas de violation de données et que les consommateurs peuvent intenter une action en justice pour l’exposition de leurs données si l’entreprise détenant ces données a été négligente.

En cas de violation de la CCPA, les consommateurs peuvent être poursuivis en justice. Une violation importante des données pourrait donc s’avérer très coûteuse.

Comment TitanHQ peut vous aider à vous conformer à la CCPA

TitanHQ propose trois solutions qui peuvent aider les entreprises à se conformer à la CCPA. Il s’agit de SpamTitan Email Security, de WebTitan DNS Filtering et d’ArcTitan Email Archiving.

SpamTitan est une puissante solution de sécurité de la messagerie électronique. Elle offre la meilleure protection contre le spam et les principales causes de violation des données, telles que les attaques de phishing et les infections par des malwares.

WebTitan est une solution de filtrage DNS qui offre un niveau de protection supplémentaire contre les attaques de phishing et de malwares. Elle bloque les tentatives des utilisateurs de votre réseau informatique d’accéder à des sites web malveillants tels que ceux utilisés pour le phishing ou pour la diffusion de malwares. Elle peut aussi vous aider à éviter l’exposition des données des consommateurs.

ArcTitan est une solution d’archivage de la messagerie électronique. Elle aide les entreprises à protéger leurs données d’e-mails, à répondre aux exigences de conservation des e-mails, à trouver et à récupérer rapidement les messages électroniques lors du traitement des plaintes des clients.

Enfin, ArcTitan permet aux entreprises de trouver et supprimer rapidement les données personnelles si les consommateurs le demandent.

Quelles sont les exceptions au droit à la suppression des données selon la CCPA ?

Quelles sont les exceptions au droit à la suppression des données selon la CCPA ?

En vertu de la loi californienne sur la confidentialité des données personnelles des consommateurs (CCPA), les Californiens peuvent demander la suppression de leurs données personnelles, mais il existe des exceptions à cette règle que vous devez connaître.

Toutes les données personnelles ne doivent pas être supprimées.

Qui doit se conformer à la CCPA ?

La CCPA donne aux Californiens de nouveaux droits sur leurs données personnelles.

À partir du 1er janvier 2020, les organisations qui exercent leurs activités dans l’État de Californie sont tenues de se conformer à cette réglementation si :

  • Elles ont un revenu annuel brut supérieur à 22,64 millions d’euros
  • Elles traitent les données personnelles de 50 000 consommateurs ou plus
  • Si elles tirent plus de 50 % de leur revenu annuel de la vente d’informations personnelles.

Le droit de suppression des données personnelles de la CCPA

L’un des nouveaux droits accordés aux consommateurs californiens est le droit de faire supprimer leurs données personnelles.

La CCPA s’applique aux données qui identifient, concernent, décrivent ou peuvent être associées à un individu ou à un ménage, directement ou indirectement.

Lorsque les consommateurs exercent leur droit de suppression de leurs données personnelles, les organisations sont tenues de s’y conformer dans un délai de 45 jours. Mais il existe des exceptions à ce droit.

A noter toutefois que, si les données ne doivent pas être supprimées, le consommateur doit en être informé au plus tard 45 jours après la réception de la demande. Ce délai ne s’applique pas aux données contenues dans les systèmes d’archivage ou de sauvegarde.

La suppression des données personnelles stockées dans une archive ou une sauvegarde peut être retardée jusqu’à la prochaine consultation ou utilisation de l’archive ou de la sauvegarde.

Lorsqu’une demande de suppression de données est reçue, l’organisation concernée doit prendre des mesures raisonnables pour vérifier que la demande de suppression de données a été envoyée par la personne à laquelle elles se rapportent.

Voici maintenant les 9 exceptions au droit de suppression des données personnelles en vertu de la CCPA.

Exceptions au droit à la suppression des données selon la CCPA

Les entreprises ne sont pas tenues par la loi de supprimer les données nécessaires à l’exercice de 9 activités spécifiques suivantes.

Activités transactionnelles

Les données n’ont pas besoin d’être supprimées si elles sont nécessaires pour mener à bien la transaction pour laquelle elles ont été collectées ou pour fournir les biens ou les services qui ont été demandés par le consommateur.

Les données n’ont pas besoin d’être supprimées si elles sont « raisonnablement prévues dans le cadre de la relation commerciale continue d’une entreprise avec le consommateur, ou si elles sont nécessaires à l’exécution d’un contrat entre l’entreprise et le consommateur ».

Activités de sécurité

L’exception concerne également les données à caractère personnel, telles que celles contenues dans les journaux d’un serveur, et qui sont nécessaires pour détecter des incidents de sécurité, pour protéger contre des activités malveillantes, trompeuses, frauduleuses ou illégales.

En effet, les données qui permettent la poursuite des personnes responsables ne doivent pas être supprimées.

Erreurs

Les données à caractère personnel qui sont nécessaires pour déboguer, identifier ou réparer des erreurs ne doivent pas non plus être supprimées.

Liberté d’expression

Si la CCPA contribue à protéger la vie privée des consommateurs, cette mesure est considérée comme secondaire par rapport à la liberté d’expression.

Il n’est pas nécessaire de supprimer les données personnelles pour permettre l’exercice de la liberté d’expression, pour garantir le droit d’un autre consommateur à exercer son droit à la liberté d’expression, ou pour exercer un autre droit prévu par la loi.

Conformité à la CCPA

Les données personnelles ne doivent pas être supprimées si elles sont nécessaires pour assurer la conformité avec la loi californienne sur la protection de la vie privée dans le cadre des communications électroniques.

Conformité juridique

Les données personnelles ne doivent pas être effacées si elles doivent être utilisées dans le cadre d’une conformité juridique, telle que les lois sur la conservation des données.

Recherche menée dans l’intérêt public

Les informations personnelles des consommateurs qui sont utilisées pour des recherches menées dans l’intérêt public n’ont pas besoin d’être supprimées.

Cela comprend les données personnelles qui sont collectées et conservées pour des recherches scientifiques, historiques ou statistiques.

C’est également le cas si la suppression des données risque de nuire gravement à la réalisation d’une recherche, à condition que le consommateur ait préalablement donné son consentement pour que ses données personnelles soient utilisées à des fins de recherche.

Utilisations internes attendues

Les données ne doivent pas être supprimées si elles sont nécessaires pour permettre uniquement des utilisations internes raisonnablement alignées sur les attentes du consommateur sur la base de la relation du consommateur avec l’entreprise.

Autres utilisations internes

Les données à caractère personnel ne doivent pas être supprimées si elles sont nécessaires à d’autres utilisations internes qui, de manière licite, sont compatibles avec le contexte dans lequel le consommateur a fourni ses données personnelles.

Mise en œuvre de la conformité à la CCPA

Le procureur général de Californie est chargé de faire respecter la CCPA. Il a le pouvoir d’imposer des sanctions financières en cas de non-conformité à cette loi.

Le montant de la sanction peut aller jusqu’à plus de 2 260 euros par infraction ou plus de 6 790 euros pour une infraction intentionnelle.

Quant aux consommateurs californiens, ils sont autorisés à intenter des actions en justice contre les organisations en cas de violation de leurs données personnelles. Ils peuvent également réclamer des dommages-intérêts, dont le montant est compris entre 90 et 680 euros par violation de données.

Le RGPD, la conservation et l’archivage des emails

Le RGPD, la conservation et l’archivage des emails

L’e-mail reste l’un des moyens de communication les plus utilisés dans le monde entier. Nous sommes confrontés à un volume des messages qui ne cesse d’augmenter. Cependant, les informations qu’ils contiennent sont souvent simplement stockées dans les boites de réception des utilisateurs. De l’autre côté, les entreprises doivent se conformer à un nombre croissant de réglementations comme le RGPD. De nombreux gérants d’entreprises se demandent donc comment relever ces défis. L’une des solutions qu’ils  peuvent mettre en œuvre est l’archivage des e-mails. Que signifie réellement ce terme ; quels sont les avantages qu’il offre et quelles sont ses relations avec le RGPD ?

Dans ce dossier, nous allons vous expliquer comment le RGPD, ou Règlement Général sur la Protection des Données, s’applique à la conservation et à l’archivage des e-mails. Nous allons également voir comment l’archivage des e-mails peut vous aider à vous conformer au RGPD.

En 2019, 293 milliards d’e-mails ont été envoyés et reçus chaque jour dans le monde. Il n’est donc pas surprenant que cette forme de communication soit désormais la plus appréciée. Le bon fonctionnement de l’échange de données par e-mail est devenu indispensable pour de nombreuses entreprises. Chaque utilisateur, comme un employé d’une entreprise, est responsable du contenu et du traitement des données. Par conséquent, l’archivage peut aider à traiter et à classer systématiquement les e-mails et ceux-ci peuvent être stockés à long terme. L’archivage sert principalement à documenter et à prévenir la perte de données. Ce faisant, les e-mails sont stockés de manière sécurisée et leur contenu reste inchangé. Ils peuvent être restaurés si nécessaire, afin de ne pas perdre des contenus importants. Un principe important à noter est que l’objectif premier de l’archivage est de permettre la récupération et la mise à disposition des données sur le long terme. L’archivage doit être alors une composante importante d’une stratégie de sécurité informatique.

Qu’est-ce que le RGPD ?

Le RGPD de l’Union européenne (UE) a introduit de nouvelles exigences pour les entreprises le 25 mai 2018. À compter de cette date, les entreprises qui collectent ou traitent les données personnelles des citoyens de l’UE sont tenues de mettre en place des mesures pour protéger ces informations. Le RGPD a également donné aux citoyens de l’UE de nouveaux droits sur leurs données personnelles.

À qui s’applique-t-il ?

Le RGPD s’applique aux données personnelles sous toutes leurs formes, quel que soit l’endroit où elles sont stockées. Cela signifie que les données personnelles contenues dans les comptes de messagerie électronique sont également couvertes par cette réglementation.

Les boîtes de réception et les dossiers de messagerie électronique peuvent contenir une multitude de données personnelles et ces informations sont soumises aux exigences strictes du RGPD en matière de confidentialité et de sécurité.

Que signifie exactement le terme « données à caractère personnel » ?

Il convient d’abord de noter que cette notion a été introduite en 2016 par le RGPD.

Selon la Commission nationale de l’informatique et des libertés (CNIL) Il s’agit de « toute information relative à une personne physique susceptible d’être identifiée, directement ou indirectement ».

Les informations peuvent inclure un nom, une empreinte digitale, une photo, une adresse postale, une adresse e-mail, un numéro de sécurité sociale, un numéro de téléphone, un numéro matricule, une adresse IP, un enregistrement vocal, un identifiant de connexion informatique, etc.

La collecte, le traitement et le stockage de ces données sont soumis à l’ensemble des dispositions du RGPD. D’où l’importance de savoir comment votre fournisseur de mesure d’audience gère vos données analytiques. Il faut également documenter l’utilisation de ces données à caractère personnel et informer les utilisateurs finaux.

Archivage des emails et conformité RGPD

Les données de la messagerie électronique doivent être conservées pour se conformer aux lois du pays ou de l’État dans lequel votre entreprise exerce ses activités et pour respecter la législation spécifique à votre secteur d’activité.

Le RGPD a également des implications sur la conservation des e-mails. Le RGPD n’impose aucune durée minimale ou maximale en ce qui concerne leur conservation.

Pourtant, cette réglementation exige que les données personnelles soient conservées sous une forme permettant d’identifier un individu pendant une durée qui n’excède pas celle nécessaire à la réalisation des objectifs pour lesquels les données ont été collectées ou traitées.

Le RGPD autorise la conservation des données personnelles, y compris les données de la messagerie électronique, à condition que les informations soient traitées à des fins d’archivage.

Le RGPD oblige les entreprises à mettre en œuvre des mesures de sécurité pour garantir la protection des données personnelles.

Selon l’article 5(f), les données personnelles doivent être protégées « contre la perte, la destruction et la détérioration accidentelles, en utilisant les mesures techniques ou organisationnelles appropriées ».

Le moyen le plus simple de garantir la protection des données de la messagerie électronique est d’utiliser le chiffrement et le stockage des e-mails dans un environnement sûr et sécurisé.

Ceci, afin de protéger les utilisateurs des accès non autorisés à leurs comptes de messageries et pour éviter la suppression accidentelle et l’altération des données. Le moyen le plus simple d’y parvenir est d’utiliser une solution d’archivage des e-mails.

Archivage et sauvegarde : quelles différences ?

Il importe d’expliquer la différence entre l’archivage et la sauvegarde des e-mails. En effet, si les deux peuvent être utilisées pour stocker les messages, il existe des différences importantes.

Une sauvegarde est un dépôt temporaire de données de la messagerie électronique pour garantir la récupération des e-mails en cas de perte de données. En général, les données ne sont sauvegardées que pour une durée limitée, souvent jusqu’à ce qu’une nouvelle sauvegarde soit créée. Cette solution permet de restaurer le service de messagerie ou les données d’un compte de messagerie à un moment précis.

L’archivage des e-mails, par contre, sert au stockage sécurisé et à long terme des e-mails. Elle permet de rechercher et de récupérer rapidement les messages électroniques en cas de besoin.

Les 3 règles de l’archivage des e-mails pour la conformité au RGPD

Pour être en conformité avec les principes du RGPD, la conservation électronique des documents est primordiale. Les e-mails archivés peuvent par exemple contenir des données à caractère personnel. Ces informations doivent être conservées uniquement pendant la période nécessaire à l’accomplissement de l’objectif fixé lors de leur collecte. L’archivage des e-mails doit donc être :

  • Sélectif : lorsqu’un texte prévoit une obligation d’archivage des e-mails, vous devez veiller à archiver uniquement les informations utiles au respect de l’obligation prévue.
  • Limité dans le temps : les données qui peuvent être utiles pour répondre à une obligation réglementaire ou légale doivent être archivées pendant la durée de l’obligation concernée. Une fois cette durée écoulée, elles doivent être supprimées. Si un e-mail ne fait pas l’objet d’obligation de conservation, mais il permet de faire valoir un droit en justice, il doit être détruit à la fin de la durée de prescription.
  • Sécurisé : les entreprises doivent adopter des mesures organisationnelles et techniques afin de protéger les données archivées contre la destruction, la perte, la diffusion ou l’accès non autorisés, l’altération, etc.

Si vous confiez l’archivage des e-mails à un sous-traitant, vous devez vous assurer que le prestataire offre des garanties suffisantes en termes de sécurité et de confidentialité des données qui lui seront confiées. À titre d’exemple, il doit disposer d’une certification ISO 27001, une norme qui concerne la sécurité des systèmes informatiques. Mais il existe également d’autres normes liées à la collecte et à l’exploitation des données comme la certification ISO 14641-1 et la norme NF Z 42-013 de l’AFNOR (L’Association française de normalisation).

Quelques mots à propos de l’eDiscovery

L’eDiscovery, ou Electronic discovery, est l’aspect électronique de l’identification, de la collecte et de la production de données stockées électroniquement en réponse à une demande de production dans le cadre d’une enquête ou d’un procès. Ces données comprennent, sans s’y limiter, les e-mails, les présentations, les documents, les bases de données, les fichiers audio et vidéo, les messages vocaux, les sites web et les médias sociaux.

 

Les processus et technologies liés à l’administration de la preuve électronique sont souvent complexes à cause du volume considérable d’e-mails reçus/envoyés et stockés. De plus, contrairement aux preuves sur papier, les e-mails sont plus dynamiques et contiennent souvent des métadonnées comme les horodatages, les informations sur l’expéditeur et le destinataire, ou encore des propriétés intellectuelles. Il est nécessaire de préserver le contenu original des messages ainsi que les métadonnées des informations qu’ils contiennent afin d’éliminer les allégations de falsification ou de spoliation des preuves plus tard lors d’un litige.

Une fois les données identifiées par les parties des deux côtés d’une affaire, les messages potentiellement pertinents sont placés sous séquestre juridique. En d’autres termes, elles ne peuvent plus être modifiées, supprimées, effacées ou autrement détruites. Les messages potentiellement pertinents sont collectés, puis extraits, indexés et placés dans une base de données. À ce stade, les e-mails sont analysés dans le but d’éliminer ou de séparer les documents et les e-mails non pertinents. Les données sont ensuite hébergées dans un environnement sécurisé et rendues accessibles aux examinateurs qui vont les coder en fonction de leur pertinence par rapport à la question juridique. Pour l’examen des documents, il faut souvent faire appel à des avocats et des assistants juridiques.

Pour la production, les documents pertinents sont parfois convertis dans un format statique comme .TIFF ou .PDF, ce qui permet la rédaction d’informations privilégiées et non pertinentes. L’utilisation de la révision assistée par ordinateur pour le codage prédictif et d’autres logiciels d’analyse pour l’eDiscovery réduit le nombre de documents requis pour l’examen par les avocats. Cela permet également à l’équipe juridique de classer par ordre de priorité les documents qu’elle examine. La réduction du nombre de documents permet de réduire les heures et donc les coûts. Bref, l’objectif ultime de l’e-Discovery est de produire un volume de base de preuves pour les litiges d’une manière défendable. Si vous n’archivez pas vos e-mails de manière sécurisée, vous aurez des difficultés à répondre à cette obligation.

Comment mettre en place une solution d’archivage conforme au RGPD ?

De nombreuses entreprises utilisent déjà une solution d’archivage des e-mails pour se conformer aux réglementations de l’État, du gouvernement fédéral ou du secteur dans lequel elles interviennent.

L’archivage des e-mails est également très utile pour l’eDiscovery et le traitement des plaintes des clients. De plus, l’archivage peut être utilisé ou pour éviter la perte de données pour pouvoir les récupérer en cas de sinistre.

Une solution d’archivage des e-mails est importante pour la conformité au RGPD, car elle permet de stocker les données de la messagerie électronique en toute sécurité, tout en évitant la perte de données et les accès non autorisés aux comptes de messagerie électronique. Elle permet également de retrouver, de récupérer ou de supprimer rapidement les données personnelles contenues dans les e-mails, en toute sécurité.

ArcTitan, la solution d’archivage sécurisé des e-mails de TitanHQ, est la solution d’archivage idéale pour la conformité au RGPD. ArcTitan comprend un chiffrement de bout en bout des données de la messagerie électronique et des contrôles d’accès – y compris les contrôles basés sur les rôles – pour garantir que les données de messagerie électronique sont protégées contre les accès non autorisés. De plus, ArcTitan crée un enregistrement inviolable de toutes les données de messagerie pendant la durée de votre politique de conservation des données de la messagerie électronique.

Au cas où vous devriez retrouver des e-mails spécifiques, l’archive peut être consultée et les messages peuvent être récupérés rapidement et facilement. C’est par exemple le cas lorsqu’un citoyen de l’UE demande à accéder à ses données personnelles ou lorsqu’un individu demande la suppression de ses données personnelles selon les normes du RGPD.

Pour plus d’informations sur ArcTitan, contactez l’équipe de TitanHQ dès aujourd’hui.