Catégories
Actualités

Confidentialité des données et organisations à but non lucratif – CharityLawyer Blog

Confidentialité des données et organisations à but non lucratif

Blackbaud est familier à de nombreuses organisations à but non lucratif et universités comme l’un des principaux éditeurs de logiciels cloud au monde pour la collecte de fonds, les relations et la gestion financière. Ils sont désormais sous les feux de la rampe après une attaque de ransomware très médiatisée au cours de laquelle les auteurs ont obtenu une copie d'un sous-ensemble de données de ses produits Raiser's Edge et NetCommunity qui suivent les donateurs et les activités de collecte de fonds des clients. Bien que Blackbaud affirme qu'aucune information personnelle (comme les numéros de carte de crédit, les informations bancaires ou les numéros de sécurité sociale) n'a été compromise lors de l'attaque, les utilisateurs de Blackbaud touchés par la violation ont depuis intenté un recours collectif pour négligence, rupture de contrat et autres allégations.

Certains ont également critiqué Blackbaud pour leur délai de plusieurs mois à informer ses utilisateurs à but non lucratif de la violation; la société soutient que, étant donné que les données violées ont finalement été récupérées auprès des pirates, aucune information à but non lucratif ou de donateur n'a été compromise et n'a donc pas besoin de notification en vertu des régimes réglementaires de confidentialité des données tels que le règlement général sur la protection des données (RGPD) de l'UE ou le Consumer Privacy Act de Californie. (CCPA). Alors, où cela laisse-t-il les petites organisations à but non lucratif dont les informations sur les donateurs et les clients ont peut-être été compromises et quelles leçons pouvons-nous tirer de l'accident de Blackbaud?

Pourquoi votre organisation à but non lucratif devrait se soucier de la cybersécurité

Dans le monde hyperconnecté d’aujourd’hui, les entreprises et les consommateurs sont de plus en plus victimes d’attaques numériques. Les conséquences peuvent aller de l'interruption de fonctions commerciales importantes et de la suppression d'informations critiques au vol d'identité et à l'extorsion. Mais avec les ramifications pratiques, il y a les obligations affirmatives des entreprises de se conformer aux nouveaux régimes de confidentialité des données tels que le GDPR et le CCPA.

Lois sur la confidentialité des données et organismes sans but lucratif

Le RGPD de l'UE, entré en vigueur en mai 2018, est considéré comme la principale norme mondiale régissant le traitement des informations personnellement identifiables (PII) – Les IPI peuvent inclure n'importe quoi, des adresses IP, des publications sur les réseaux sociaux, des images numériques et de la géolocalisation aux adresses postales et électroniques, aux dates de naissance, numéros de sécurité sociale et informations de carte de crédit. Bien que le RGPD ne régisse que les informations personnelles collectées sur les résidents de l'UE, la numérisation a mondialisé la portée des entreprises, ce qui rend de plus en plus probable que les entreprises et les organisations à but non lucratif relèvent de la compétence du RGPD.

De nombreux États ont suivi les traces de l’UE, la Californie ayant récemment adopté son propre système de protection de la vie privée des consommateurs, le CCPA. La CCPA s'applique à toute personne qui recueille ou traite des données sur les résidents de Californie. Et bien que les organisations à but non lucratif ne soient pas directement couvertes par la CCPA, la réglementation s'applique aux fournisseurs à but lucratif (tels que les fournisseurs de logiciels de collecte de fonds et les spécialistes du marketing) qui collectent, conservent ou utilisent ces informations pour le compte d'une organisation à but non lucratif. Avec de nombreux États derrière la Californie avec leurs propres régimes de réglementation, l'examen minutieux des pratiques de confidentialité des données ne fera que s'accroître. C'est pourquoi il est implicite pour les organisations à but non lucratif de mener un inventaire de recherche de leurs pratiques de confidentialité des données et d'identifier et de combler les lacunes de leurs programmes de cybersécurité et de confidentialité des données.

Pourtant, une récente enquête menée en 2018 auprès des organisations à but non lucratif indique que plus des deux tiers (68%) n'ont pas de politiques et de procédures documentées en cas d'attaque de cybersécurité et plus de la moitié (59%) ne fournissent pas de formation régulière à leur personnel. Naturellement, de nombreuses organisations à but non lucratif ont peu de ressources et toute la question de la confidentialité des données peut sembler un peu écrasante. Voici quelques étapes pratiques pour commencer.

Renforcer les risques de confidentialité des données de votre organisation à but non lucratif

Lancez un audit des données. Quel type de données collectez-vous, auprès de qui et comment les utilisez-vous? Qui a accès à ces données? Quel est le cycle de vie de ces données (c'est-à-dire où sont-elles stockées, quand sont-elles supprimées)? Et n'oubliez pas les fournisseurs tiers qui collectent ou utilisent également ces informations en votre nom.

Mettre à jour les politiques et procédures. Une fois que vous comprenez votre écosystème de données actuel, vous pouvez mieux comprendre quels régimes réglementaires peuvent s'appliquer et quels risques sont les plus importants. Dans cet esprit, vous pouvez mettre à jour ou créer des politiques et des procédures exploitables pour guider vos pratiques de confidentialité et de cybersécurité des données.

Former et éduquer. Les politiques et procédures ne sont aussi efficaces que les personnes qui les mettent en œuvre. C'est pourquoi il est important que vous preniez le temps de former et d'éduquer régulièrement les employés ET les bénévoles sur vos politiques et procédures en matière de confidentialité des données et de cybersécurité.

Surveiller et évaluer. La portée des menaces de cybersécurité et les exigences réglementaires évoluent rapidement. De même, au fur et à mesure que votre organisation à but non lucratif se développe et change, vos risques en matière de confidentialité et de cybersécurité des données augmenteront également. Vous devez avoir un processus en place pour surveiller régulièrement les changements dans votre écosystème de cybersécurité et pour évaluer l'efficacité relative de vos politiques et procédures, en apportant les modifications nécessaires.

Pensez à l'assurance. Une fois que vous avez évalué vos risques de cybersécurité relatifs, vous voudrez peut-être explorer les options d'assurance. Des politiques sont disponibles pour couvrir tout, des frais de notification des clients en cas de violation, aux effets pécuniaires d'un arrêt, de la perte de données ou du paiement des demandes de ransomware.

Le Conseil national des organismes sans but lucratif et la Federal Trade Commission offrent des conseils plus pratiques pour aider les organismes sans but lucratif à évaluer et à mettre en œuvre des pratiques efficaces en matière de confidentialité des données et de cybersécurité.

Ellis Carter est un avocat à but non lucratif autorisé à exercer à Washington et en Arizona. Ellis conseille les clients exonérés d'impôt sur les questions fiscales fédérales et la réglementation de la collecte de fonds à l'échelle nationale.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *