Exigences de conformité des e-mails pour les entreprises
La conformité des e-mails va au-delà de la simple assurance que vos e-mails marketing sont conformes. Elle inclut également les communications quotidiennes.
Qu’est-ce que la conformité des e-mails ? La conformité des e-mails est la pratique consistant à suivre des protocoles spécifiques dans les lois sur la protection des données et les normes réglementaires. Ces normes peuvent être spécifiques à un secteur, comme HIPAA ou PCI, ou spécifiques à une région, comme le RGPD.
Pourquoi la conformité des e-mails est-elle importante ?
Les normes de conformité incluent invariablement une forme de protection de la vie privée. Avec la technologie numérique, la sécurité de l’information est encore plus importante. En conséquence, la plupart des réglementations exigent une forme de protection des données pour transmettre des informations personnelles identifiables (PII) par n’importe quel canal.
Dans de nombreux cas, les contrôles de sécurité peuvent fonctionner dans un cadre relativement plus restreint. Le chiffrement pour les transferts de fichiers ou les serveurs de données est localisé à des technologies spécifiques ou à des environnements cloud, et la sécurité interne peut protéger ces données.
Le rôle des informations personnelles identifiables
Il y a plus de préoccupations concernant l’email PII. Pour commencer, les e-mails sont, par défaut, non chiffrés à moins d’être envoyés via un serveur chiffré. Contrairement aux systèmes de transfert de fichiers, le chiffrement des e-mails nécessite que l’expéditeur et le destinataire utilisent la même méthode de chiffrement pour maintenir la sécurité. Étant donné que l’e-mail est si répandu, de nombreux fournisseurs d’e-mails, publics et privés, trouvent très difficile d’aligner le chiffrement.
De plus, parce que l’e-mail est l’une des formes de communication les plus utilisées sur Internet, il est souvent utilisé par des organisations réglementées pour communiquer avec le public. Ces organisations n’ont aucun contrôle sur les systèmes de messagerie en dehors de leur périmètre, ce qui signifie qu’elles ne peuvent pas garantir la sécurité ou la confidentialité de ces informations.
Enfin, de nombreuses réglementations incluent également des exigences en matière de conservation des données et de tenue de registres, et les fournisseurs publics ou tiers peuvent ne pas fournir de telles fonctionnalités — du moins pas par défaut et pas sans un prix.
La conformité des e-mails est incroyablement importante car de nombreuses personnes comptent sur l’e-mail. Après tout, il n’est généralement pas sécurisé et représente un espace potentiellement vulnérable pour de nombreuses organisations.
Quelles lois sur la vie privée impactent les communications par e-mail ?
Les exigences de conformité ne sont pas standardisées à travers les industries ou les applications. Les organisations doivent comprendre les obligations et exigences spécifiques d’une industrie donnée pour encadrer la conformité pour une organisation.
Certaines exigences réglementaires incluent les suivantes :
Health Insurance Portability and Accountability Act
Selon les réglementations HIPAA, les prestataires de soins de santé doivent protéger les informations de santé des patients contre la divulgation non autorisée, ce qui exclut l’utilisation d’e-mails non chiffrés. Beaucoup de ces organisations se sont tournées vers des serveurs chiffrés, des centres de données privés et des liens sécurisés qui dirigent les patients vers des portails interactifs dans le cadre d’un plan d’e-mail conforme à HIPAA. Avec ces liens, les prestataires peuvent diriger les patients vers leurs systèmes sécurisés sans risquer de divulgation ou de violation des réglementations.
Payment Card Industry Data Security Standard
La plupart du temps, une organisation n’enverra jamais d’informations de paiement à un client. En interne, cependant, les organisations conformes déploient des environnements sécurisés de données de titulaires de carte qui contiennent des informations de paiement. L’e-mail dans ces environnements doit répondre aux exigences de chiffrement du Payment Card Industry Data Security Standard (PCI DSS).
Règlement Général sur la Protection des Données
Le Règlement Général sur la Protection des Données (RGPD) est un cadre de conformité basé dans l’Union européenne connu pour ses contrôles d’information stricts. La conformité sous le RGPD opère sous deux contextes différents :
- Sécurité et Chiffrement : Les données des consommateurs doivent être protégées par les entreprises lors de la transmission et du traitement, et cela inclut les communications. Ainsi, les e-mails doivent être chiffrés et toute information privée critique obscurcie dans le serveur et pendant le transit.
- Marketing et Consentement : Le RGPD appelle également à une approche “opt-in” pour la conformité marketing où les entreprises ne peuvent pas utiliser l’e-mail à des fins marketing sans le consentement exprès du consommateur. Cela diffère significativement des lois américaines qui permettent aux entreprises d’ajouter des adresses d’utilisateurs aux bases de données marketing et n’offrent que des options de désinscription.
Une loi similaire, les Privacy and Electronic Communications Regulations de 2003, a fait beaucoup de la même chose au Royaume-Uni avant l’existence de l’Union européenne, exigeant un consentement direct à des fins marketing.
Une autre loi similaire, la California Consumer Protection Act, exige des contrôles d’e-mail plus stricts pour le marketing, comme le RGPD. Cependant, le CCPA s’applique uniquement aux entreprises opérant dans l’État de Californie.
Federal Risk and Authorization Management Program et Cybersecurity Maturity Model Certification
FedRAMP et CMMC sont des réglementations gouvernementales. Le premier régit les produits et services cloud utilisés par les agences fédérales, et le second régule les entrepreneurs offrant des services numériques dans la chaîne d’approvisionnement du Département de la Défense.
Dans les deux cas, ces cadres tirent des normes réglementaires de documents publiés par le National Institute of Standards and Technology : NIST 800-53 et NIST 800-171. Les deux documents spécifient le chiffrement pour les e-mails et interdisent la transmission de données protégées dans des e-mails non sécurisés, à la fois en interne et en externe.
De plus, les deux cadres ont des réglementations pour l’e-mail et l’analyse des vulnérabilités.
Controlling the Assault of Non-Solicited Pornography and Marketing (CAN-SPAM)
Cette loi marketing à usage général, adoptée par le Congrès en 2003, réglemente la manière dont les marketeurs aux États-Unis envoient des e-mails. Cela inclut le contrôle du marketing pour inclure des normes comme exiger des listes de désinscription, des contenus d’e-mail précis (y compris l’objet et les informations “De”), et des limitations sur le masquage des informations d’en-tête ou l’envoi à des comptes récoltés.
Conservation des e-mails et des données
Les réglementations incluent souvent une politique de conservation. Les organisations doivent conserver les enregistrements de toutes les communications par e-mail pendant une période définie, typiquement dans les cas où des preuves peuvent être nécessaires pour des procédures légales ou des enquêtes.
Certains des cadres qui exigent la conservation des e-mails incluent les suivants :
Réglementations | À qui elles s’appliquent | Durée de conservation des e-mails requise |
Loi sur la liberté d’information (FOIA) | Agences fédérales et d’État | 3 ans |
Loi Sarbanes-Oxley (SOX) | Toutes les entreprises cotées en bourse | 7 ans |
Réglementations de la Federal Deposit Insurance Corporation (FDIC) | Institutions financières | 5 ans |
Loi sur la portabilité et l’accessibilité de l’assurance maladie (HIPAA ) | Fournisseurs de soins de santé, compagnies d’assurance et fournisseurs gérant les informations des patients | 7 ans |
Norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS) | Toute entreprise traitant ou stockant des informations de paiement par carte de crédit | 1 an |
Réglementations de déclaration de l’IRS | Toutes les entreprises aux États-Unis | 7 ans |
CMMC et autres réglementations de la défense | Contractants du DoD | 3 ans |
La conservation peut fonctionner différemment pour d’autres juridictions. Par exemple, le RGPD contient des lois spécifiques limitant la manière dont les entreprises peuvent détenir et traiter les informations des consommateurs, à savoir qu’elles ne peuvent pas le faire au-delà de ce qui est raisonnable pour leurs objectifs commerciaux déclarés. Ainsi, le RGPD n’a pas de minimum ou maximum obligatoire pour la conservation des e-mails.
Défis et meilleures pratiques pour la conformité des e-mails
De nombreuses organisations ne savent pas nécessairement qui devrait assumer la responsabilité de la conformité, et à cause de cela, beaucoup auront du mal avec certains aspects de la conformité.
En général, il y a quelques défis pour la conformité des e-mails :
- Formation et éducation : Les employés doivent être formés sur les informations qu’ils peuvent et ne peuvent pas partager par e-mail et comment utiliser correctement la technologie de l’e-mail pour maintenir tout standard de chiffrement ou de sécurité.
- Automatisation et conservation : On ne peut pas s’attendre à ce que les utilisateurs conservent tous les e-mails, et sur des centaines de milliers d’e-mails par an, certains sont destinés à être perdus. Mettre en place de l’automatisation et un stockage sécurisé peut atténuer les exigences de conformité de conservation sans alourdir les employés ou les administrateurs.
- Maintien de la preuve de consentement : Dans des juridictions comme l’Union européenne, les entreprises doivent avoir une preuve de consentement pour les e-mails marketing. Cela devrait être intégré dans les CRM ou d’autres systèmes conformes afin que tous les enregistrements soient en place en cas d’audit ou de contestation de la part d’un consommateur.
La conformité des e-mails commence par les outils de conformité
Envoyer des e-mails conformes peut sembler une tâche ardue. Cependant, en utilisant des technologies conformes et l’automatisation dès le départ, une organisation peut éviter les pièges de la maintenance de la conformité tout en utilisant les communications par e-mail pour communiquer avec les clients et les employés.
La plateforme Kiteworks permet aux organisations, dans des secteurs comme la défense et la fabrication gouvernementale, la technologie, la santé, les sciences de la vie et la pharmacie, et le juridique, de maintenir la conformité des e-mails. La plateforme Kiteworks utilise un système de liens d’e-mails sécurisés, de serveurs protégés, de surveillance des données et d’analyses pour garantir qu’aucune information sensible ne soit divulguée par e-mail et que la documentation de consentement et d’opt-in soit sécurisée dans un journal d’audit immuable.
Pour en savoir plus sur Kiteworks, demandez une démonstration personnalisée.