
La Maison-Blanche publie un décret sur la protection des données
Toutes les entreprises qui ont des opérations à l’échelle internationale savent que la conformité aux règlements exige un travail complexe et continu. Étant donné le grand nombre de règlements nationaux et régionaux, comme le RGPD en Europe, la Loi sur la protection des renseignements personnels et les documents électroniques (PIPEDA) au Canada et la Loi californienne sur la protection de la vie privée des consommateurs (CPRA/CCPA), il existe de nombreux contrôles pour vérifier la façon dont certaines données sont collectées, stockées, déplacées, transférées, etc.
Les États-Unis constituent une exception majeure au niveau national : il n’existe pas de loi fédérale sur la protection de la vie privée ou des données, ce que certains considèrent comme une menace pour l’intérêt national et la sécurité nationale. Cela représente certainement une menace pour la vie privée des personnes dont les données privées sont collectées et stockées aux États-Unis.
Le 28 février 2024, le président Joe Biden a publié un décret qui devrait permettre de traiter certains aspects de cette menace.
Tendances inquiétantes en matière de fuite de données
En 2023, le nombre de fuites de données dans le monde a considérablement diminué. Selon un rapport de Surfshark publié en janvier 2024, près de 300 millions de comptes ont été piratés à la suite d’une violation, soit une réduction de 18 % par rapport à 2022.
Toutefois, la même étude a révélé que le nombre de comptes compromis aux États-Unis avait plus que triplé. Cette augmentation (de 30,9 millions à 96,7 millions) signifie que près d’un tiers de tous les comptes piratés dans le monde se trouvent aux États-Unis, ce qui propulse ce pays à la première place des nations qui ont été victimes du plus grand nombre de violations, prenant ainsi la place de la Russie.
Angle de la sécurité nationale
La Maison-Blanche considère cette situation sous l’angle de la sécurité nationale et réagit en conséquence. Selon elle, la principale menace est de voir les informations personnelles de ressortissants américains, notamment les données de santé, la localisation, les données financières et même les données génomiques, tomber entre les mains de « pays à risque ».
Dans le flou réglementaire actuel, les courtiers en données américains sont en mesure de recueillir des données provenant d’une grande variété de sources et de les vendre librement sur le marché, y compris à des organisations situées dans des pays hostiles, potentiellement hostiles, ou représentant de tels pays.
Ce qui inquiète particulièrement la Maison-Blanche est le fait que ces données puissent être utilisées pour compromettre des employés et des agents du gouvernement, notamment des militaires.
Ciblage des courtiers en données
Le décret présidentiel répond spécifiquement à cette préoccupation en autorisant le procureur général à empêcher les transferts à grande échelle de données personnelles de citoyens américains vers des pays à risque. Cela place les courtiers en données établis et leur modèle économique directement dans la ligne de mire.
Le décret comprend un certain nombre d'instructions spécifiques destinées au ministère de la Justice, notamment :
- Promulguer des règlements visant à renforcer la protection des données de géolocalisation des sites gouvernementaux et des données personnelles des militaires ;
- Trouver des moyens d’empêcher les pays à risque d’accéder aux données américaines par d’autres moyens commerciaux ;
- Veiller à ce que les subventions et les contrats gouvernementaux ne soient pas utilisés d’une manière qui permettrait aux pays à risque d’accéder aux données des Américains.
Parmi d’autres instructions, ce décret stipule que ces actions doivent être menées à bien tout en veillant à ne pas interrompre les flux d’informations sur lesquels reposent les services financiers et à ne pas nuire aux relations commerciales des États-Unis.
Conséquences pour votre entreprise
Si vous avez des activités à l’international, vous devez identifier les données que vous stockez et qui appartiennent à des ressortissants américains.
Examinez ensuite toutes les relations que vous avez avec des courtiers en données. Le moment est peut-être venu de suspendre ces relations en attendant de pouvoir examiner de plus près les effets du décret sur la capacité de ces courtiers à mener leurs activités ainsi que les risques potentiels liés à la vente de données qui se retrouvent dans un pays à risque.
À long terme, l’optimisme est de mise : le décret pourrait marquer le début d’un processus menant à une législation américaine comparable au RGPD. La mise en place d’un niveau standardisé de confidentialité et de protection des données permettra d’aligner le nombre de violations de données aux États-Unis sur celui du reste du monde. Et à long terme, un environnement réglementaire plus sûr et plus cohérent devrait avoir des effets positifs sur les activités commerciales.

Rapport 2025 sur les ransomwares
Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier
S’abonner au blog de Barracuda.
Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée
Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter