La loi Gramm-Leach-Bliley (GLBA), aussi appelée loi GLB ou parfois loi de modernisation des services financiers de 1999, est une loi promulguée par le Congrès américain pour réguler la manière dont les institutions financières traitent les informations personnelles sensibles de leurs clients.

GLBA

Pour se conformer aux dispositions de cette loi fédérale, les institutions financières doivent être transparentes dans la manière dont elles gèrent les données privées de leurs clients, donner des notifications lorsqu’elles partagent ces données, et informer les clients qu’ils ont le droit de se désinscrire de tout arrangement de partage de données. De plus, les règles de protection et de confidentialité de la loi détaillent les étapes spécifiques qu’une institution financière doit prendre pour protéger les données des clients.

La GLBA est principalement appliquée par la Commission fédérale du commerce, d’autres agences réglementaires fédérales, et les agences de surveillance des assurances des États. Voici une analyse détaillée de la GLBA et comment les organisations peuvent garantir la conformité réglementaire en tout temps.

Les principaux éléments de la GLBA

La loi Gramm-Leach-Bliley comprend trois sections :

  • La règle de confidentialité financière
  • La règle de protection
  • Les dispositions sur le prétextage

La règle de confidentialité financière régit la collecte et la divulgation des informations financières, tandis que la règle de protection oblige les institutions financières à mettre en place des protocoles de sécurité pour protéger les informations collectées. Les dispositions sur le prétextage couvrent toute tentative prétentieuse d’accéder à des informations sensibles.

L’objectif principal de la GLBA est de compléter les stratégies et programmes de gestion des risques en matière de cybersécurité que les entreprises ont déjà en place. La GLBA, en essence, ajoute une couche supplémentaire de sécurité aux informations personnelles identifiables financières (PII).

La GLBA place l’obligation de protéger les PII sensibles sur l’institution qui les collecte, avec la prémisse de respecter le souhait du client que ces données restent privées. Si une entreprise souhaite partager certaines des données PII d’un client ou les conserver pour une utilisation future, l’entreprise doit dûment informer le client et lui donner la possibilité de se désinscrire du partage de données.

Qu’est-ce qu’une “institution financière” selon la GLBA ?

La GLBA définit clairement ce qui qualifie une institution financière, tant en termes d’inclusions que d’exclusions. Plus précisément, toute entreprise qui offre des produits financiers tels que des assurances, des prêts, des conseils financiers ou des conseils en investissement est considérée comme une institution financière.

Selon la GLBA, ces entreprises DOIVENT divulguer leurs pratiques de partage de données et comment elles protègent les données sensibles de leurs clients. Elles doivent également informer leurs clients de leur droit de se désinscrire de tout arrangement de partage de données qui pourrait être en place.

La loi GLB limite la mesure dans laquelle une institution financière peut divulguer des données sensibles à des tiers non affiliés et comment notifier leurs clients lorsqu’ils le font. De plus, toute entité qui pourrait recevoir de telles informations est limitée dans la manière dont elle l’utilise ou la divulgue à d’autres parties.

Quelles entités doivent se conformer à la GLBA ?

La loi GLB ou la loi de modernisation des services financiers de 1999 s’applique à toutes les entreprises qui sont significativement engagées dans la fourniture de services et de produits financiers aux consommateurs.

Le terme significativement engagé est bien défini dans la loi pour inclure et exclure certaines entreprises. En bref, toutes les entreprises qui, dans le cadre normal de leur fonctionnement, entrent en contact avec des informations personnelles non publiques de nature financière de leurs clients doivent respecter les exigences de conformité réglementaire de cette loi.

Cela inclut des entreprises qui ne seraient pas normalement considérées comme des institutions financières. Les exemples comprennent :

  • Les évaluateurs immobiliers
  • Les agents de recouvrement de dettes
  • Les prêteurs sur salaire
  • Les coopératives de crédit
  • Les préparateurs d’impôts
  • Les entreprises de chèques de paie
  • Les cabinets comptables
  • Les services de coursier
  • Les courtiers en hypothèques
  • Les entreprises de location de voitures
  • Les agences de crédit
  • Les opérateurs de guichets automatiques
  • Les courtiers en valeurs mobilières
  • Les fonds spéculatifs

Les institutions financières traditionnelles, telles que les banques, les assureurs, les sociétés d’investissement et les sociétés de courtage, qui gèrent de grandes quantités de données sensibles, sont également considérées comme des entreprises de services financiers réglementées par la GLBA. Par conséquent, si une organisation appartient à l’une de ces catégories ou à toute autre catégorie qui est significativement engagée dans les services financiers, alors la conformité à la GLBA est OBLIGATOIRE.

Données couvertes par la GLBA

La GLBA couvre les informations personnelles non publiques (NPI) collectées par les institutions financières auprès de leurs clients. La NPI est légalement définie comme des informations financières personnelles identifiables. La GLBA ne couvre pas les dossiers publics ou les informations largement diffusées dans les médias. Certaines des informations qui peuvent être considérées comme NPI incluent :

  • Adresses
  • Revenu personnel
  • Informations sur les cartes de crédit/débit
  • Comptes bancaires
  • Soldes bancaires
  • Historique de crédit
  • Registres de propriété
  • Informations sur la sécurité sociale
  • Informations fiscales

Cette liste n’est pas exhaustive ; ce ne sont que des exemples du type d’informations qui sont considérées comme NPI. Par exemple, la GLBA couvre même les inférences tirées de ces données.

Comment se conformer à la GLBA

La clé pour garantir la conformité à la loi réside dans la compréhension des trois règles. Ce sont les trois sections que nous avons précédemment décrites.

La règle sur la confidentialité financière

La règle sur la confidentialité financière précise quelles organisations doivent se conformer à la loi et quel type d’information doit être protégé. Elle définit la NPI, tels que les noms, adresses, numéros de sécurité sociale et autres données transactionnelles comme les comptes bancaires, les informations de carte de crédit et les rapports de crédit.

La règle sur la confidentialité financière stipule qu’une organisation doit donner un “avis clair et visible” de toutes ses politiques de confidentialité et de confidentialité des données au début d’une relation avec un client. Les clients doivent également recevoir des avis de confidentialité annuels.

La règle sur la confidentialité financière va plus loin pour définir qui est un client par rapport à un consommateur. Un client est une personne qui entretient une relation continue avec une institution financière. Un consommateur, en revanche, est une personne qui n’a pas de relation avec une institution.

La règle sur les garanties

La règle sur les garanties décrit les moyens nécessaires pour protéger les informations identifiées en vertu de la règle sur la confidentialité financière. Elle stipule que les organisations soumises à la GLBA doivent avoir des garanties techniques, administratives et physiques en place lors de la collecte, de l’accès, de l’utilisation, de la distribution et du partage des informations des clients.

Les risques de cybersécurité couverts par la règle sur les garanties comprennent :

  • Le phishing
  • Les cyberattaques
  • Le spoofing d’e-mails

La règle sur les garanties, émise par la Federal Trade Commission en 2002, exige en outre qu’une institution financière, telle que définie par la loi, désigne une personne responsable de l’élaboration et du test d’un plan intégré de gestion des risques et des menaces de sécurité pour l’organisation.

Une institution financière partageant des données NPI doit avoir un plan de gestion des risques des tiers en place. De plus, l’institution de collecte est responsable en cas de violation de la sécurité.

Dispositions sur le Pretexting

Les dispositions sur le Pretexting visent à rechercher toutes les failles que des acteurs malveillants ou astucieux pourraient exploiter pour accéder et voler des données confidentielles. Les institutions financières réglementées par la GLBA doivent avoir des mesures pour détecter et prévenir un tel accès non autorisé aux données en leur possession.

Sanctions pour non-conformité à la GLBA

Une institution financière qui relève du cadre réglementaire de la GLBA encourt de lourdes sanctions financières si elle viole les dispositions de la loi. De plus, les cadres et les employés responsables de la protection des données font face à des amendes individuelles.

Pour les institutions, l’amende peut atteindre jusqu’à 100 000 $ pour chaque violation. Dans le cas des cadres et des employés, ils peuvent faire face à des amendes allant jusqu’à 10 000 $ et jusqu’à cinq ans d’emprisonnement, ou les deux, s’ils sont reconnus coupables de négligence.

Au-delà des éventuelles pénalités et amendes, il y a un risque accru de perte de confiance et de crédibilité dans les pratiques commerciales par les clients, les partenaires et les investisseurs, ce qui peut avoir un impact négatif plus important que les sanctions financières et les amendes.

Une façon courante pour les entreprises d’éviter les problèmes de conformité avec la GLBA et d’autres lois est d’investir dans une plateforme de cybersécurité robuste conçue pour répondre à leurs besoins commerciaux et à ceux de leurs clients, ainsi que pour assurer la conformité avec la loi.

Une autre façon d’assurer la conformité à la GLBA est d’embaucher des cabinets de conseil indépendants pour auditer votre infrastructure et vos pratiques de cybersécurité afin d’identifier les failles qui peuvent conduire à des problèmes de conformité.

Avantages de la conformité à la GLBA

En plus d’éviter les pénalités et les amendes, la conformité à la GLBA garantit qu’une institution financière protège sa réputation de marque, ce qui, à son tour, crée un sentiment de confiance qui favorise davantage d’affaires. Il existe également des avantages annexes qui découlent de la conformité à la GLBA. Par exemple, les capacités de gestion des risques de cybersécurité qu’une organisation nécessite pour la conformité à la GLBA permettent également la sécurité. Plus précisément, tout en se conformant à la GLBA, les capacités de gestion des risques de sécurité qu’une entreprise met en place étendent les protections contre les menaces à d’autres types d’informations confidentielles – informations médicales protégées, propriété intellectuelle de l’entreprise, informations non classifiées contrôlées, et plus encore. Ces contrôles de gestion des risques de sécurité peuvent même aider à protéger contre les menaces liées à la chaîne d’approvisionnement.

Un autre avantage significatif de la conformité à la GLBA est qu’elle renforce la conformité et la protection pour d’autres réglementations sur la protection des données telles que la loi sur la portabilité et la responsabilité de l’assurance maladie (HIPAA), la loi canadienne sur la protection des informations personnelles et les documents électroniques (PIPEDA), le Règlement général sur la protection des données de l’Union européenne (RGPD), la loi californienne sur la protection de la vie privée des consommateurs (CCPA), et la loi sur la protection des données (DPA) en France et au Royaume-Uni.

Procédures de notification de violation de la GLBA

Dans certains cas, même lorsqu’une organisation est en conformité, une violation peut se produire. Dans un tel cas, la GLBA exige que l’organisation affectée enquête sur la violation pour déterminer si des informations personnelles identifiables sensibles du client ont été consultées. Les clients affectés doivent être notifiés dans un délai raisonnable.

L’avis doit détailler le type de violation, quelles données ont été consultées, ce que le client doit faire pour protéger son identité, et un numéro de téléphone pour une assistance supplémentaire.

Confidentialité et conformité des communications de contenu sensible avec la GLBA

Les communications de contenu sensible relèvent de la juridiction de la GLBA. Les entreprises de services financiers qui envoient, partagent, reçoivent et stockent des informations confidentielles – à la fois en interne et en externe – doivent être en conformité avec la GLBA. Alors que la plupart des organisations ont encore du mal à gérer les communications de contenu sensible sur plusieurs canaux avec un patchwork d’outils technologiques, cela peut être une tâche importante. Sans métadonnées sur toutes les communications de contenu sensible, les organisations doivent passer un temps et des ressources précieux à rassembler les données de chacun de ces outils. Et sans gouvernance centralisée et automatisée de la sécurité et de la conformité, une gestion efficace des risques de sécurité peut être difficile, voire impossible.

La plateforme Kiteworks centralise toutes les communications de contenu sensible – email sécurisé, partage sécurisé de fichiers, transfert sécurisé de fichiers, transfert géré de fichiers, formulaires web et interfaces de programmation d’applications (API) – de sorte que les organisations peuvent assurer une exécution cohérente et conforme de la gouvernance, de la conformité et de la sécurité sur chaque canal de communication. Kiteworks permet aux organisations de créer des réseaux de contenu privé, qui incluent l’option d’hébergement autorisé par FedRAMP, qui minimisent le risque de non-conformité avec des réglementations comme la GLBA et les violations des informations privées.

Regardez une courte vidéo présentant comment Kiteworks permet la création de réseaux de contenu privé. Ou planifiez simplement une démonstration sur mesure aujourd’hui pour voir la plateforme Kiteworks en action.

Retour au glossaire Risque & Conformité

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

Partagez
Tweetez
Partagez
Explore Kiteworks