Principales réglementations de sécurité des informations, Royaume-Uni

Bâle II

Cette réglementation vise à mieux aligner les exigences du capital bancaire avec les risques sous-jacents. Les banques doivent surveiller, limiter et divulguer les risques.

http://www.bis.org/publ/bcbsca.htm

• Organisations mondiales de services financiers
• Banques internationales dont l’actif dépasse les 250 milliards de dollars ou dont l’exposition étrangère est supérieure à 10 milliards de dollars.

Payment Card Industry (PCI) Data Security Standard

Cette norme a pour but de fournir un seul ensemble de conditions de sécurité, applicable par toutes les organisations de paiement. Les sociétés commerciales et fournisseurs de services doivent appliquer cette norme pour évaluer leur situation de sécurité.

https://www.pcisecuritystandards.org/

• Tous les membres, sociétés commerciales et fournisseurs de services qui conservent, traitent ou transmettent des données sur les titulaires de cartes bancaires.

The Turnbull Guidance 1999

Le but de cette réglementation est d’encourager les entreprises à identifier et gérer les risques internes et externes auxquels elles sont confrontées.

http://www.frc.org.uk/corporate/internalcontrol.cfm

• Toutes les entreprises cotées en bourse au Royaume-Uni.

The Companies Act 1985 Regulations 2005

Ces réglementations modifient le Companies Act of 1985 et introduisent la nécessité d’une évaluation opérationnelle et financière. Celle-ci doit prévoir un examen équitable de l’activité de l’entreprise et une description des risques et incertitudes majeurs auxquels elle est confrontée.

http://www.opsi.gov.uk/SI/si2005/20051011.htm

• Rapport étendu du conseil d’administration : grandes entreprises
• Operating and Financial Review (OFR) : entreprises du Royaume-Uni cotées en bourse.

The Companies Act 2004

Cette loi vise à renforcer la fiabilité du reporting financier et l’indépendance des sociétés d’audit. Elle renforce le rôle du Financial Reporting Review Panel (FRRP) dans la mise en application de pratiques saines de comptabilité et reporting.

http://www.opsi.gov.uk/ACTS/acts2004/20040027.htm

• Toutes les sociétés soumises à un audit au Royaume-Uni et leurs conseils d’administration.

Money Laundering Regulations 2003 (MLR)

Ces réglementations exigent des entreprises qu’elles désignent un MLRO (agent chargé de prévenir le blanchiment d’argent) ayant pour rôle de former les employés aux principes et exigences de la loi, de vérifier l’identité des nouveaux clients et de gérer en toute sécurité les dossiers d’identification et de transaction des clients pendant cinq ans.

http://www.opsi.gov.uk/si/si2003/20033075.htm

• Institutions et professionnels des services financiers
• Certains secteurs tels que les organismes de l’état
• Entités dont les transactions de vente dépassent les 15 000 euros.

UK Data Protection Act

Cette loi oblige toute entité traitant des données personnelles à mettre en place des bonnes pratiques de gestion et d’utilisation des données. Toutes les entités doivent appliquer huit principes de bonne pratique de gestion des informations. Selon ces principes, les entités doivent empêcher tout traitement des données non autorisé ou interdit par la loi, et éviter toute perte accidentelle ou dommages aux données.

http://www.opsi.gov.uk/ACTS/acts1998/19980029.htm

• Toute organisation collectant des données personnelles.

The Freedom of Information Act 2000 - UK

Cette loi stipule que les informations des autorités publiques ne peuvent être altérées, maquillées, corrompues ou détruites. Les autorités publiques doivent veiller à ce que les systèmes détenant les informations restent disponibles.

http://www.opsi.gov.uk/ACTS/acts2000/20000036.htm

• Cette loi permet au public d’accéder aux informations détenues par les autorités publiques.

Directive de l’UE sur la protection des données (EU DPD)

Cette directive est relative au traitement des données personnelles, y compris automatique ou manuel dans un système de classement. Les organisations doivent mettre en place des mesures appropriées pour protéger les données personnelles de tout accès non autorisé, destruction accidentelle ou contraire à la loi, perte accidentelle, altération ou divulgation non autorisée.

Le US Safe Harbor Arrangement est un processus rationalisé qui permet aux entreprises américaines de se conformer à la Directive.

http://www.cdt.org/privacy/eudirective/EU_Directive_.html

• La directive concerne les États membres et les pays avec lesquels ils entretiennent des relations commerciales.

Réglementations CE relatives à la vie privée et aux communications électroniques
(Directive CE) - 2003

Cette directive protège le public des pratiques de marketing électronique qui nuisent ou enfreignent la vie privée. Elle demande la mise en place de mesures de sécurité visant à garantir la disponibilité et l’adéquation des dossiers de marketing électronique. Les fournisseurs de services électroniques doivent s’assurer de la disponibilité de leur système et de leur réseau, et mettre en place des mesures de sécurité pour protéger les données des clients.

http://europa.eu.int/comm/justice_home/fsj/privacy/law/index_en.htm

• Organisations qui utilisent le marketing par courrier électronique
• Les opérateurs téléphoniques et les fournisseurs de services Internet doivent mettre en place des solutions et des pratiques de sécurité supplémentaires pour sécuriser leurs services.

Annexe 11 de l’UE, systèmes informatisés

L’objectif principal de cette réglementation est de veiller à ce que les « dossiers soient constitués de façon adéquate et protégés des pertes, dommages ou modifications non autorisées afin de disposer d’une trace d’audit claire et précise tout au long du processus de fabrication ».

http://www.labcompliance.com/documents/europe/h-213-eu-gmp-annex11.pdf

• Laboratoires pharmaceutiques qui utilisent des systèmes informatisés.