Les entreprises sont confront\u00e9es \u00e0 un besoin pressant de prot\u00e9ger les donn\u00e9es des clients et de l\u2019entreprise tout en rendant la communication simple et accessible \u00e0 tous.\nL\u2019ann\u00e9e 2018 a \u00e9t\u00e9 la premi\u00e8re ann\u00e9e au cours de laquelle de nombreux \u00c9tats ont pris des mesures r\u00e9glementaires actives pour relever ce d\u00e9fi.\n\u00c0 mesure que la l\u00e9gislation sur la s\u00e9curit\u00e9 des donn\u00e9es d\u2019assurance augmente, les questions relatives \u00e0 ces lois deviennent plus complexes pour les compagnies d\u2019assurance. <\/p>\n\n
R\u00e8glements disparates<\/h3>\n\n
L\u2019un des plus grands probl\u00e8mes auxquels sont confront\u00e9s les fournisseurs d\u2019assurance est le manque d\u2019exigences coh\u00e9rentes en mati\u00e8re de s\u00e9curit\u00e9 et de confidentialit\u00e9 des donn\u00e9es dans les diff\u00e9rents \u00c9tats.<\/p>\n\n
Les r\u00e9ponses des \u00c9tats aux pr\u00e9occupations en mati\u00e8re de protection des donn\u00e9es et de la vie priv\u00e9e sont apparues de mani\u00e8re disparate.\nLes 50 \u00c9tats ont actuellement des lois sur la notification des violations de donn\u00e9es, mais la majorit\u00e9 n\u2019a pas abord\u00e9 la cybers\u00e9curit\u00e9 dans le contexte de l\u2019assurance en particulier, disent Bindu Nair et Sean B. Hoar<\/a>, avocats chez Lewis Brisbois Bisgaard & Smith LLP. <\/p>\n\n Par exemple, la loi californienne sur la confidentialit\u00e9 des donn\u00e9es donne aux consommateurs un contr\u00f4le sans pr\u00e9c\u00e9dent sur leurs donn\u00e9es personnelles, ce qui pose \u00e0 la fois des d\u00e9fis et des opportunit\u00e9s pour les compagnies d\u2019assurance qui op\u00e8rent dans l\u2019\u00c9tat, explique Don Jergler<\/a> dans Insurance Journal.<\/p>\n\n Ces lois varient actuellement d\u2019un \u00c9tat \u00e0 l\u2019autre, mais l\u2019id\u00e9e d\u2019une loi nationale sur les violations de donn\u00e9es est approuv\u00e9e par le d\u00e9partement du Tr\u00e9sor am\u00e9ricain, disent Nair et Hoar.<\/p>\n\n Les modifications apport\u00e9es \u00e0 la r\u00e9glementation sur la protection des donn\u00e9es suscitent \u00e9galement des pr\u00e9occupations en mati\u00e8re de co\u00fbts pour les assureurs de dommages, en particulier lorsque ces entreprises sont d\u00e9j\u00e0 confront\u00e9es au double d\u00e9fi de la baisse des souscriptions d\u2019assurance automobile et de l\u2019augmentation des r\u00e9clamations pour dommages mat\u00e9riels.<\/p>\n\n \u00ab L\u2019effet r\u00e9el sera une \u00e9norme augmentation du co\u00fbt de la conformit\u00e9, ce qui ne fait probablement pas partie du budget actuel de l\u2019institution \u00bb, pr\u00e9dit Richard Fernandez<\/a>, sp\u00e9cialiste de la cyber-responsabilit\u00e9.<\/p>\n\n Le co\u00fbt comprendra le besoin de personnel d\u00e9di\u00e9 \u00e0 la cybers\u00e9curit\u00e9 et \u00e0 la conformit\u00e9, qui sont exig\u00e9s par plusieurs lois d\u2019\u00c9tat r\u00e9cemment promulgu\u00e9es.\nAlors que divers tribunaux ont rendu des d\u00e9cisions diff\u00e9rentes sur des litiges civils impliquant des violations de donn\u00e9es de clients, les compagnies d\u2019assurance sont \u00e9galement confront\u00e9es \u00e0 un paysage juridique de plus en plus complexe, explique l\u2019avocate Kimberly Horn<\/a>. <\/p>\n\n En l\u2019absence d\u2019une r\u00e9ponse f\u00e9d\u00e9rale unifi\u00e9e \u00e0 la s\u00e9curit\u00e9 des donn\u00e9es d\u2019assurance, les \u00c9tats am\u00e9ricains ont commenc\u00e9 \u00e0 r\u00e9glementer eux-m\u00eames la question.\nNew York et le Rhode Island ont adopt\u00e9 des r\u00e8gles concernant la protection des donn\u00e9es d\u2019assurance et la vie priv\u00e9e, tandis que la Caroline du Sud, le Michigan et l\u2019Ohio ont adopt\u00e9 une loi type en 2018. <\/p>\n\n D\u2019autres \u00c9tats, dont la G\u00e9orgie, l\u2019Illinois, le Kentucky, le Maryland et la Virginie, envisagent des lois sur la s\u00e9curit\u00e9 des donn\u00e9es d\u2019assurance.\nDe tels changements initi\u00e9s par l\u2019\u00c9tat obligent les assureurs IARD locaux \u00e0 faire face \u00e0 un paysage r\u00e9glementaire de plus en plus complexe, explique Christopher M. Brubaker<\/a> de PropertyCasualty360. <\/p>\n\n New York a ouvert la voie \u00e0 une r\u00e9glementation sp\u00e9cifique \u00e0 la protection des donn\u00e9es des assurances.\nLe D\u00e9partement des services financiers (DFS) de l\u2019\u00c9tat a mis en \u0153uvre une r\u00e9glementation sur la cybers\u00e9curit\u00e9 en 2017.\nElle exigeait des compagnies d\u2019assurance qu\u2019elles mettent en \u0153uvre une authentification multifactorielle pour l\u2019acc\u00e8s aux donn\u00e9es et qu\u2019elles signalent les incidents de cybers\u00e9curit\u00e9 dans les 72 heures.\nCela impliquait \u00e9galement des exigences suppl\u00e9mentaires en mati\u00e8re de gouvernance et de responsabilit\u00e9 sous la forme d\u2019un responsable de la s\u00e9curit\u00e9 de l\u2019information (CISO), explique Larry Bianculli<\/a>, directeur g\u00e9n\u00e9ral de CCSI. <\/p>\n\n La loi type sur la s\u00e9curit\u00e9 des donn\u00e9es d\u2019assurance de la NAIC, publi\u00e9e fin 2017, est bas\u00e9e sur la r\u00e9glementation de New York.\nPlusieurs \u00c9tats ont adopt\u00e9 la loi type dans son int\u00e9gralit\u00e9, tandis que d\u2019autres envisagent des projets de loi qui promulgueraient certaines des dispositions de la loi type. <\/p>\n\n La Caroline du Sud a fait la une des journaux en mai 2018 en devenant le premier \u00c9tat \u00e0 adopter la loi type sur la s\u00e9curit\u00e9 des donn\u00e9es d\u2019assurance NAIC.<\/p>\n\n La loi de la Caroline du Sud exige que les particuliers et les entreprises titulaires d\u2019une licence en vertu des lois sur les assurances de la Caroline du Sud respectent de nouvelles exigences en mati\u00e8re de s\u00e9curit\u00e9 des donn\u00e9es.\nAu c\u0153ur de la loi se trouve l\u2019obligation de cr\u00e9er un programme \u00e9crit complet de s\u00e9curit\u00e9 de l\u2019information (WISP), explique Nameir Abbas<\/a>, avocat chez Alston & Bird. <\/p>\n\n En cas d\u2019atteinte \u00e0 la protection des donn\u00e9es, les assureurs sont tenus d\u2019enqu\u00eater sur l\u2019\u00e9v\u00e9nement, d\u2019en \u00e9valuer la nature et la port\u00e9e, d\u2019identifier les renseignements compromis et de \u00ab prendre des mesures raisonnables pour r\u00e9tablir la s\u00e9curit\u00e9 des renseignements compromis \u00bb, affirment Joshua Mooney, Richard Borden et Sedgwick Jeanite<\/a> de White & Williams LLP. Les assureurs sont \u00e9galement tenus de signaler certains \u00e9v\u00e9nements au d\u00e9partement des assurances de l\u2019\u00c9tat.<\/p>\n\n Le Michigan et l\u2019Ohio ont \u00e9galement promulgu\u00e9 des lois sur la s\u00e9curit\u00e9 des donn\u00e9es d\u2019assurance en d\u00e9cembre 2018, adoptant la loi type sur la s\u00e9curit\u00e9 des donn\u00e9es d\u2019assurance NAIC.\nLes nouvelles lois s\u2019appliquent \u00e0 toute personne ou entreprise agr\u00e9\u00e9e par les d\u00e9partements d\u2019assurance des \u00c9tats respectifs. <\/p>\n\n La loi du Michigan int\u00e8gre \u00e9galement plusieurs dispositions de la loi sur la pr\u00e9vention du vol d\u2019identit\u00e9 de l\u2019\u00c9tat, explique Kate Hanniford<\/a>, avocate et membre de l\u2019\u00e9quipe d\u2019intervention en cybers\u00e9curit\u00e9 chez Alston & Bird.<\/p>\n\n La loi de l\u2019Ohio ne couvre que les assureurs, les agences et les courtiers qui font des affaires dans l\u2019Ohio.\n\u00ab Les r\u00e9assureurs domicili\u00e9s en dehors de l\u2019Ohio ainsi que les groupes de r\u00e9tention des risques et les groupes d\u2019achat agr\u00e9\u00e9s dans un autre \u00c9tat sont exclus de la loi \u00bb, d\u00e9clarent Edward R. McNicholas et Thomas D. Cunningham<\/a>, avocats et associ\u00e9s chez Sidley. <\/p>\n\n La loi type sur la s\u00e9curit\u00e9 des donn\u00e9es d\u2019assurance<\/a> de la NAIC \u00ab \u00e9tablit un cadre juridique pour exiger des organisations d\u2019assurance qu\u2019elles mettent en \u0153uvre des programmes de cybers\u00e9curit\u00e9 complets \u00bb, explique Matt Franko<\/a>, directeur de la s\u00e9curit\u00e9, de la confidentialit\u00e9 et des risques chez RSM. Ce cadre couvre un large \u00e9ventail de questions de s\u00e9curit\u00e9 des donn\u00e9es, allant des tests de cybers\u00e9curit\u00e9 et de la surveillance du conseil d\u2019administration aux plans d\u2019intervention en cas d\u2019incident et aux proc\u00e9dures de notification des atteintes.<\/p>\n\n La loi type a d\u00e9j\u00e0 \u00e9t\u00e9 adopt\u00e9e par plusieurs \u00c9tats et elle est \u00e0 l\u2019\u00e9tude dans d\u2019autres l\u00e9gislatures d\u2019\u00c9tat.\nSa popularit\u00e9 fait qu\u2019il vaut la peine d\u2019\u00eatre pris en consid\u00e9ration par les compagnies d\u2019assurance de dommages, les agents et les courtiers. <\/p>\n\n Trois dispositions notables d\u00e9finissent cette l\u00e9gislation, disent Andreas Kaitsounis et Shea M. Leitch<\/a>, avocats chez Baker Hostetler. Premi\u00e8rement, la loi type d\u00e9finit les informations non publiques de mani\u00e8re large, y compris non seulement les informations personnelles des clients, mais aussi certains types d\u2019informations commerciales sensibles.<\/p>\n\n \u00ab \u00c0 titre d\u2019exemple, cela signifie qu\u2019un \u00e9v\u00e9nement de ransomware qui paralyse les op\u00e9rations commerciales d\u2019une entit\u00e9 d\u00e9clencherait probablement une obligation de pr\u00e9avis, m\u00eame si l\u2019\u00e9v\u00e9nement n\u2019impliquait pas d\u2019informations personnelles \u00bb, expliquent Kaitsounis et Leitch.<\/p>\n\n La loi type fixe \u00e9galement des exigences strictes pour les programmes de s\u00e9curit\u00e9 de l\u2019information, y compris des programmes \u00e9crits, des plans d\u2019intervention en cas d\u2019incident et des exigences de surveillance \u00e0 la fois au sein de l\u2019organisation et dans les relations avec les tiers.<\/p>\n\n Enfin, les dispositions de confidentialit\u00e9 de la loi type sont assez larges, prot\u00e9geant les informations li\u00e9es aux \u00e9v\u00e9nements de cybers\u00e9curit\u00e9 contre les demandes de documents publics, les citations \u00e0 compara\u00eetre ou l\u2019utilisation dans des litiges civils priv\u00e9s.<\/p>\n\n Bien que la NAIC ait activement encourag\u00e9 l\u2019adoption de sa loi type par divers \u00c9tats, la loi type elle-m\u00eame n\u2019a aucun effet tant qu\u2019elle n\u2019est pas promulgu\u00e9e par une l\u00e9gislature d\u2019\u00c9tat.\n\u00c0 ce jour, plusieurs \u00c9tats ont promulgu\u00e9 la loi type avec des modifications pour s\u2019adapter \u00e0 leurs propres syst\u00e8mes de r\u00e9glementation des assurances existants. <\/p>\n\n Par exemple, alors que la loi type ne donne aux assureurs qu\u2019un an pour se conformer \u00e0 ses r\u00e8glements, le Michigan a adopt\u00e9 un syst\u00e8me permettant d\u2019\u00e9chelonner les exigences sur une p\u00e9riode plus longue.\nLa loi entre en vigueur le 20 janvier 2021, ce qui donne aux assureurs un an pour se conformer \u00e0 la plupart des dispositions et deux ans pour se conformer aux exigences des fournisseurs de services tiers, selon Lawrence R. Hamilton, Jeffrey P. Taft et Matthew Bisanz<\/a> de PropertyCasualty360. <\/p>\n\n La loi type exige que les assureurs respectent les exigences g\u00e9n\u00e9rales d\u2019un \u00c9tat en mati\u00e8re de notification des violations de donn\u00e9es.\nPourtant, l\u2019Ohio et le Michigan ont remplac\u00e9 ce langage par des exigences sp\u00e9cifiques de notification des violations de donn\u00e9es qui s\u2019appliquent uniquement aux agents d\u2019assurance, aux courtiers et aux soci\u00e9t\u00e9s couvertes par la loi, explique l\u2019avocate et actionnaire Josephine Cicchetti<\/a>. <\/p>\n\n Alors que les \u00c9tats continuent de tester leurs propres it\u00e9rations de la loi type, les compagnies d\u2019assurance devront prendre note de la nature changeante des r\u00e9glementations sur la confidentialit\u00e9 des donn\u00e9es, tant dans toutes les r\u00e9gions que dans le temps.<\/p>\n\n Images par\u00a0: Sergey Nivens\/\u00a9123RF.com, swollowpp\/\u00a9123RF.com, stylephotographs\/\u00a9123RF.com<\/em><\/p>\n","protected":false},"excerpt":{"rendered":" Les violations de donn\u00e9es ont fait les manchettes dans le monde entier en 2018. Des entreprises comme T-Mobile, Quora, Google, Orbitz et Facebook ont \u00e9t\u00e9 touch\u00e9es, exposant les informations personnelles de millions de personnes. La protection des donn\u00e9es et la confidentialit\u00e9 sont des probl\u00e8mes s\u00e9rieux dans le monde hyperconnect\u00e9 d\u2019aujourd\u2019hui, et elles occupent le devant […]<\/p>\n","protected":false},"featured_media":0,"template":"","insight-category":[],"class_list":["post-21250","insight","type-insight","status-publish","hentry"],"acf":[],"_links":{"self":[{"href":"https:\/\/bolttech.io\/fr\/wp-json\/wp\/v2\/insight\/21250","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/bolttech.io\/fr\/wp-json\/wp\/v2\/insight"}],"about":[{"href":"https:\/\/bolttech.io\/fr\/wp-json\/wp\/v2\/types\/insight"}],"wp:attachment":[{"href":"https:\/\/bolttech.io\/fr\/wp-json\/wp\/v2\/media?parent=21250"}],"wp:term":[{"taxonomy":"insight-category","embeddable":true,"href":"https:\/\/bolttech.io\/fr\/wp-json\/wp\/v2\/insight-category?post=21250"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Co\u00fbts de la protection des donn\u00e9es<\/h3>\n\n
![\"femme](\"https:\/\/bolttech.io\/wp-content\/uploads\/2024\/08\/charts-1024x683.jpg\")
<\/figure>\n\nLes \u00c9tats prennent des mesures en mati\u00e8re de s\u00e9curit\u00e9 des donn\u00e9es<\/h2>\n\n
New York<\/h3>\n\n
Caroline du Sud<\/h3>\n\n
Michigan et Ohio<\/h3>\n\n
![\"Deux](\"https:\/\/bolttech.io\/wp-content\/uploads\/2024\/08\/collegues-office-1024x683.jpg\")
<\/figure>\n\nComprendre la loi type sur la s\u00e9curit\u00e9 des donn\u00e9es d\u2019assurance<\/h2>\n\n