Introduction à la conformité des e-mails pour les communications d’entreprise
Vous cherchez les exigences de conformité pour les e-mails professionnels ? Avec des violations coûtant des milliers, comprendre les exigences de conformité ne peut qu’aider à long terme.
Les organisations démontrent la conformité des e-mails lorsque leurs e-mails répondent à des réglementations et exigences spécifiques établies par les gouvernements et les industries qui protègent la confidentialité et les données des individus.
Qu’est-ce que la conformité des e-mails ?
La conformité des e-mails concerne les moyens par lesquels une entreprise se conforme aux lois et directives relatives aux communications par e-mail. Elle implique le respect de diverses normes de protection des données et anti-spam pour garantir la sécurité, la confidentialité et la protection des e-mails envoyés et reçus. La conformité des e-mails assure qu’une entreprise respecte les exigences établies par des réglementations pertinentes telles que CAN-SPAM, RGPD, HIPAA et de nombreuses autres réglementations sur la confidentialité des données.
Qu’est-ce que la conformité de sécurité et de confidentialité pour les e-mails ?
L’e-mail est, de loin, la forme de communication la plus courante pour les entreprises. Il est rapide, pratique et essentiellement gratuit. L’e-mail est efficace, ce qui stimule la productivité et, idéalement, la croissance de l’entreprise. L’e-mail, malgré ces attributs, a une limitation clé. Avant tout, l’e-mail n’est pas sécurisé. N’importe qui peut le lire, pas seulement le destinataire prévu. Les départements informatiques, les agences d’application de la loi, les pirates informatiques, et même quelqu’un qui trouve un téléphone à l’arrière d’un taxi peuvent lire des messages qui ne leur sont pas destinés.
Les réglementations sur la confidentialité des données comme le RGPD et le HIPAA, conçues pour protéger les informations personnelles identifiables (PII) ou les informations médicales protégées (PHI), interdisent généralement aux entreprises d’utiliser le courrier pour partager les données personnelles de quelqu’un sans un chiffrement approprié ou d’autres protections en place, comme les contrôles d’accès, la conservation des données, les fichiers journaux audibles et les fonctionnalités de reporting.
Si vous n’avez pas ces technologies (et/ou des processus pour utiliser ces technologies), vous êtes probablement non conforme. C’est particulièrement problématique lorsque vous manipulez et partagez des données appartenant à des résidents de l’UE. Les amendes RGPD peuvent être extrêmement coûteuses pour votre entreprise et votre réputation. En fin de compte, vous êtes à 100% responsable de la conformité lors de l’utilisation des e-mails ; ignorez ces exigences à vos risques et périls.
Défis de la conformité des e-mails
Les organisations sont confrontées à de nombreux défis en matière de conformité des e-mails. L’un des plus grands défis est le volume énorme d’e-mails que les employés envoient et reçoivent chaque jour. Avec autant d’e-mails échangés, il devient difficile pour les organisations de garder une trace de chaque message, y compris de tout fichier joint, et de s’assurer qu’ils sont tous conformes aux réglementations pertinentes.
En conséquence, les entreprises sont également confrontées au défi d’assurer une formation et une éducation adéquates des employés. De nombreux employés peuvent ne pas être conscients des exigences de conformité des e-mails et peuvent involontairement exposer l’organisation à des fuites de données, ce qui peut exposer l’entreprise à des risques juridiques et financiers. De plus, les réglementations et lois en constante évolution concernant la conformité des e-mails rendent difficile pour les organisations et leurs employés de se tenir à jour pour assurer la conformité.
L’augmentation du travail à distance et l’utilisation de appareils personnels ajoute une autre couche de complexité à la conformité des e-mails, car les organisations ont du mal à contrôler et à sécuriser le flux de données.
L’e-mail comme cause potentielle de problèmes de conformité
L’e-mail a été un outil de communication incroyable pour les entreprises pendant des décennies, mais il peut également créer de sérieux problèmes de conformité. Alors que l’e-mail peut être utilisé pour communiquer facilement des informations confidentielles ou sensibles, il peut causer des problèmes si les expéditeurs ne se conforment pas aux lois, règlements ou normes de l’industrie applicables. Par exemple, une mauvaise utilisation de l’e-mail, comme le fait de ne pas chiffrer un contenu sensible, peut être considérée comme une violation des lois de conformité. L’e-mail peut entraîner d’autres problèmes aussi, comme l’envoi de contenu ou de messages inappropriés, ou son utilisation pour harceler les employés. Tous ces types d’activités peuvent entraîner des problèmes liés à la conformité et des sanctions potentielles. Par conséquent, il est important pour les entreprises d’être conscientes des problèmes de conformité potentiels et de prendre les mesures nécessaires pour s’assurer que les e-mails sont utilisés correctement.
Conformité des e-mails : une cible mouvante
La conformité des e-mails est une cible mouvante car les lois, réglementations et meilleures pratiques en matière d’e-mails évoluent constamment, à mesure que de nouvelles technologies émergent et que de nouvelles menaces pour la confidentialité et la sécurité des données sont identifiées. Par exemple, les réglementations de conformité comme le Règlement général sur la protection des données de l’Union européenne (RGPD) et la California Consumer Privacy Act des États-Unis (CCPA) ont introduit de nouvelles exigences pour la communication par e-mail, comme l’obtention d’un consentement explicite des utilisateurs avant de collecter et d’utiliser leurs données à des fins de marketing. De plus, de nouvelles menaces telles que les attaques de phishing, les ransomwares et d’autres formes de cybercriminalité obligent les organisations à mettre constamment à jour leurs mesures de sécurité des e-mails et leurs politiques de conformité. En conséquence, rester en conformité avec les réglementations sur les e-mails nécessite une vigilance constante et une adaptation aux circonstances changeantes.
Qui est responsable de la conformité de la sécurité des e-mails dans votre entreprise ?
La conformité de la sécurité des e-mails est la responsabilité de tous dans l’entreprise, du PDG à l’équipe informatique en passant par le nouveau coordinateur des événements. Il incombe aux personnes en charge de l’entreprise de veiller à ce que la sécurité des e-mails soit correctement gérée et que des mesures adéquates soient prises pour protéger contre l’abus ou l’accès non autorisé.
L’équipe informatique est responsable de la maintenance et de la gestion des serveurs, des e-mails et des autres logiciels utilisés pour envoyer et recevoir des e-mails. Ils doivent installer et mettre à jour régulièrement les antivirus, les anti-malwares et les filtres de courrier électronique et d’autres mesures de sécurité. Ils doivent également veiller à ce que les utilisateurs prennent les précautions appropriées lors de l’envoi et de la réception des e-mails, comme l’utilisation de l’authentification en deux étapes et d’autres formes de chiffrement.
Le département juridique est responsable de veiller à ce que l’utilisation des e-mails soit conforme à la fois aux réglementations et aux lois internes et externes de leur région. Cela inclut de veiller à ce que les e-mails ne soient pas utilisés à des fins inappropriées telles que la discrimination ou le harcèlement, ou pour l’envoi d’informations confidentielles.
Enfin, il incombe à tous les employés de prendre conscience des risques de sécurité des e-mails et de veiller à prendre les précautions appropriées lors de l’envoi ou de la réception des e-mails. Ils doivent s’assurer qu’ils n’envoient et ne reçoivent des e-mails que de sources de confiance et ne jamais ouvrir des e-mails avec des liens ou des pièces jointes suspects. Les employés doivent également utiliser l’authentification en deux étapes et d’autres formes de chiffrement pour garantir que leurs e-mails sont sécurisés.
Lois sur la conformité des e-mails et organismes de réglementation
Différentes réglementations sur la confidentialité des données se concentrent sur différents aspects de la communication :
- HIPAA/SOC 2/FedRAMP/PCI DSS: Si vous opérez dans ou servez une industrie qui gère soit des PII soit des PHI, vos obligations réglementaires sont centrées sur la protection des données privées et le maintien de la confidentialité. Cela inclut une variété de contrôles de sécurité et de reporting pour maintenir les lois sur la confidentialité des e-mails. Dans des domaines comme la santé (HIPAA), le traitement des paiements (PCI DSS), ou le travail gouvernemental ou les contrats gouvernementaux (FedRAMP), les exigences de sécurité des données sont si rigoureuses qu’il n’est généralement pas utile d’envoyer des informations par e-mail à moins de le faire via des liens vers des serveurs sécurisés.
- RGPD: Le cadre de sécurité de l’information de l’Union européenne est plutôt lourd et comprend des règles supplémentaires pour le marketing par e-mail et le spam. Le RGPD désigne les résidents de l’UE comme propriétaires de leurs données, et non les entreprises qui détiennent leurs données. En conséquence, les entreprises doivent obtenir le consentement opt-in d’un propriétaire de données avant de s’engager dans des activités de marketing et doivent conserver des registres de ce consentement. Les entreprises doivent également remettre ou supprimer les données d’un résident de l’UE de leur système à la demande du propriétaire des données. Enfin, une entreprise doit maintenir un haut niveau de sécurité informatique et employer des garanties de confidentialité dans toutes les communications, les journaux d’audit et les rapports.
- CAN-SPAM: La loi sur la Contrôle de l’Assaut de la Pornographie et du Marketing Non Sollicité (CAN-SPAM) est similaire à la RGPD car elle établit les directives selon lesquelles les entreprises peuvent s’engager dans le marketing par e-mail. Cependant, il y a des différences importantes. Contrairement à l’exigence de consentement préalable de la RGPD, les entreprises n’ont pas besoin de consentement avant d’envoyer un message. Les destinataires doivent se désinscrire. Les sanctions imposées par la FTC peuvent aller jusqu’à 16 000 $ par e-mail sans plafond sur le nombre d’infractions. De plus, elle n’inclut pas le même niveau d’exigences de sécurité concernant la suppression des données des consommateurs. Cependant, les entreprises qui envoient des e-mails marketing doivent toujours protéger les données privées du destinataire.
- La législation anti-spam du Canada (CASL) a été créée en 2014 pour “renforcer les meilleures pratiques en matière de marketing par e-mail et lutter contre le spam et les problèmes connexes”. La législation régule l’abus de spam de manière similaire à la RGPD et à la CAN-SPAM, mais met en place des exigences beaucoup plus spécifiques et strictes pour le marketing. Par exemple, les individus doivent consentir à recevoir des e-mails marketing. Le “consentement” est différencié comme étant soit implicite, soit explicite, et les marketeurs doivent envoyer une demande d’opt-in double une seule fois aux abonnés dont le consentement n’a pas été explicitement accordé. Une seule violation de la CASL peut coûter à une entreprise jusqu’à 10 millions de dollars canadiens par violation et peut également coûter à un individu jusqu’à 1 million de dollars canadiens par violation.
- La loi sur la protection de la vie privée des consommateurs de Californie (CCPA) est une loi de marketing et de confidentialité pour les entreprises faisant affaire en Californie. Elle contient de nombreuses caractéristiques similaires à la RGPD, notamment le droit de supprimer les informations personnelles et le droit de savoir quelles informations sur les clients une entreprise possède. Contrairement à la RGPD, la CCPA comprend une clause d’opt-out plutôt qu’une clause d’opt-in. Les sanctions vont des violations non intentionnelles (2 500 $ par violation non intentionnelle) aux violations intentionnelles (7 500 $ par violation intentionnelle).
Maîtrisez les bases de la conformité des e-mails
Il existe plusieurs niveaux de responsabilité et de responsabilisation, comme l’illustrent ces réglementations, et ils varient en fonction de l’utilisation que l’on fait d’un e-mail. En général, vos obligations de conformité – que ce soit pour un contact direct ou à des fins de marketing – couvriront plusieurs conditions. Vous devez faire ce qui suit:
- Protéger les informations privées : Les informations personnelles identifiables ou les informations médicales protégées sont, dans la plupart des réglementations sur la protection des données, des données protégées. Les données doivent donc rester sécurisées et confidentielles, qu’elles soient au repos ou en transit. Tous les messages électroniques contenant des informations personnelles identifiables ou des informations médicales protégées doivent être chiffrés ou inclure un lien sécurisé qui nécessite une authentification du destinataire pour y accéder.
- Documenter et rendre compte des interactions : La plupart, sinon toutes, les réglementations sur la protection des données exigent une certaine forme de documentation et d’audit, ne serait-ce que pour montrer que vous respectez les obligations en matière de protection des données des consommateurs. Encore une fois, pour la RGPD, vous devez également démontrer que vous avez obtenu le consentement pour le marketing et que vous avez respecté toute demande de suppression des informations des consommateurs.
- Divulguer correctement les données : Vous devez protéger les clients mais aussi contrôler la manière dont ces informations sont divulguées à d’autres. Il est impossible, par exemple, d’envoyer des messages en clair ou des e-mails via des fournisseurs publics et de garder les données privées (même avec un chiffrement en place). C’est pourquoi certaines plateformes incluent un autre mécanisme en plus du courrier pour contrôler d’éventuelles divulgations non autorisées.
- Conserver les documents : Certaines réglementations, comme la HIPAA, exigent que vous conserviez certains documents pendant certaines périodes de temps (dictées par les États individuels et le type de document). Si vous communiquez avec des patients, vous devrez peut-être conserver ces communications, ce qui signifie que votre serveur devrait avoir cette capacité.
Cette exigence n’est pas exclusive à la HIPAA. Différentes industries exigent des durées de conservation différentes pour les documents importants:
Types de dossiers | Années de conservation des documents requises |
---|---|
Impôts | 7 ans |
Entreprises cotées en bourse | 7 ans |
Éducation | 5 ans |
Finance (Banque) | 5 ans |
Investissement et courtage | 7 ans |
Santé | 7 ans |
Médicaments et produits pharmaceutiques | 2 ans |
Département de la Défense | 3 ans |
Fournisseurs de cartes de crédit | 1 an |
Télécommunications | 2 ans |
À qui vous envoyez des emails et le contenu qu’ils contiennent déterminera le niveau de conformité que vous devez atteindre. La conformité, comme vous l’avez vu, peut devenir complexe et nécessite une solution complète et sécurisée.
Archivage des emails pour la conformité : Pourquoi c’est important
L’archivage des emails est le processus de préservation et de stockage des emails et des communications électroniques dans un format sécurisé et facilement récupérable. Cela implique de créer une sauvegarde de tous les emails entrants, sortants et internes envoyés et reçus par une organisation, puis de les stocker dans un lieu sécurisé pour référence future ou conformité légale.
Le processus d’archivage implique la capture du trafic email lorsqu’il traverse un système de messagerie et son stockage dans une base de données consultable. Les solutions d’archivage peuvent être basées sur du matériel ou sur des logiciels et peuvent être déployées sur site ou dans le cloud.
L’archivage des emails sert plusieurs objectifs. Il aide les organisations à maintenir la conformité avec les réglementations qui exigent la préservation des communications électroniques. Il fournit également un moyen de récupérer les emails perdus ou supprimés, de protéger contre la perte de données et de soutenir les demandes d’eDiscovery dans les affaires juridiques. De plus, l’archivage des emails peut aider les organisations à gérer le volume des emails stockés sur leurs serveurs de messagerie et à améliorer les performances des boîtes aux lettres.
L’archivage des emails pour la conformité est important pour plusieurs raisons, notamment :
- Conformité réglementaire : De nombreuses industries sont soumises à des réglementations strictes qui exigent que les organisations conservent et archivent certains types de communication, y compris les emails. Le non-respect de ces réglementations peut entraîner des pénalités, des amendes et des conséquences juridiques.
- Contentieux : En cas de litige ou d’enquête juridique, l’email peut être utilisé comme preuve. L’archivage des emails garantit que toute communication pertinente est préservée et facilement accessible à des fins juridiques.
- Continuité des affaires : L’archivage des emails garantit que les informations critiques sont préservées en cas de panne ou de catastrophe. En ayant une archive centralisée, les organisations peuvent rapidement restaurer les emails et reprendre leurs opérations.
- Gestion des connaissances : Les emails archivés peuvent être utilisés à des fins de gestion des connaissances, permettant aux organisations de suivre la communication et d’identifier les tendances, les modèles et les opportunités d’amélioration.
En somme, l’archivage des emails pour la conformité est essentiel pour maintenir l’intégrité de la communication, se protéger contre les risques juridiques et réglementaires, et garantir la continuité des affaires.
Atteindre la conformité des emails avec Kiteworks
Le réseau de contenu privé Kiteworks offre aux organisations opérant dans des industries fortement réglementées une solution d’email sécurisé qui respecte la plupart des exigences de confidentialité des données. Nous le faisons en nous concentrant sur les points suivants :
- Liens d’Email Sécurisés : La plateforme Kiteworks utilise un chiffrement AES-256 au repos et TLS 1.2 en transit, avec des options validées FIPS 140-2 et autorisées FedRAMP pour garantir que les informations confidentielles restent privées. Au lieu d’envoyer un email et une pièce jointe, les destinataires reçoivent un lien sécurisé vers le contenu afin que les organisations puissent être assurées que seuls les utilisateurs authentifiés peuvent lire le message, et des contrôles empêchent le transfert à des parties non autorisées.
- Conformité réglementaire : Les emails et leurs pièces jointes sont chiffrés et sécurisés, et les dossiers de documents sont protégés par des contrôles de politique granulaires, ce qui signifie que nous pouvons vous aider à respecter vos obligations réglementaires, comme la norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS), le RGPD, le Federal Risk and Authorization Management Program (FedRAMP), le System Organization Control (SOC 2), le Cybersecurity Maturity Model Certification (CMMC), le National Institute of Standards and Technology (NIST 800-171), la loi sur la portabilité et la responsabilité de l’assurance maladie (HIPAA), ou des cadres comme le NIST Cybersecurity Framework (NIST CSF) et l’Organisation internationale de normalisation (ISO 27001).
- Traces d’audit immuables : Les journaux d’audit prouvent que vous tracez toute l’activité des fichiers et cataloguez les événements de sécurité et autres éléments (comme les utilisateurs donnant leur consentement pour le marketing), afin de démontrer votre conformité aux régulateurs. Les traces d’audit aident également les forces de l’ordre en cas d’incident de sécurité ou pour se conformer à une rétention légale pour les activités d’eDiscovery. Nos traces immuables garantissent que vous obtenez toujours une image complète.
- Tableau de bord du CISO : Le tableau de bord du CISO vous aide à surveiller et à tracer vos données lorsqu’elles entrent, traversent et sortent de votre organisation. Vous pouvez voir qui a envoyé quoi à qui, quand et où – et le prouver aux auditeurs et aux régulateurs. Avec une visibilité jusqu’au niveau du fichier, vous pouvez creuser jusqu’aux détails exploitables, y compris les utilisateurs, les horodatages et les adresses IP, pour repérer les anomalies et répondre aux menaces en temps réel.
- Cloud privé : Nos services cloud sont hébergés sur des environnements cloud privés, hybrides ou FedRAMP dédiés. La flexibilité de déploiement maximise la sécurité et la conformité de vos données et opérations.
Pour savoir comment votre entreprise peut garantir la conformité des emails, planifiez une démonstration personnalisée de Kiteworks aujourd’hui.
Ressources supplémentaires
- Brief Top 6 des raisons d’ajouter Email Protection Gateway (EPG) à votre déploiement Kiteworks
- Vidéo Kiteworks Snackable Bytes: Email sécurisé
- Article de blog Comment envoyer des PHI par email et rester conforme à la HIPAA
- Article de blog Envoyer des PII par email : Considérations sur la sécurité et la conformité
- Article de blog Envoyer des emails conformes à la HIPAA