Qu’est-ce que la conformité à la FERPA ?

Des millions de résidents américains s’inscrivent à l’université et suivent des cours chaque année, ce qui fait des systèmes éducatifs la cible idéale pour une violation de données. Pour protéger les informations des utilisateurs, le Congrès américain a adopté en 1974 la loi sur les droits et la confidentialité en matière d’éducation familiale, ou FERPA (Family Educational Rights and Privacy Act).

Les établissements d’enseignement stockent des numéros de sécurité sociale, des comptes bancaires et d’autres données extrêmement sensibles. Ainsi, lorsqu’une violation de données se produit, la FERPA les tient pour responsables de ne pas avoir pris les mesures nécessaires pour mettre en œuvre la cybersécurité et protéger les informations des étudiants. Le non-respect de la réglementation FERPA peut entraîner la perte du financement fédéral.

Les règlements de conformité visent à assurer la sécurité des données des utilisateurs, et la FERPA concentre ses efforts sur la protection des données des étudiants.

Étant donné que les systèmes scolaires stockent des informations personnelles identifiables (PII) qui peuvent être utilisées dans le cadre d’un vol d’identité, la FERPA impose des sanctions strictes aux établissements d’enseignement qui ne les protègent pas.

Les écoles doivent employer une cybersécurité robuste ou risquer de perdre un soutien financier essentiel de la part du gouvernement. La FERPA fournit aux organisations les meilleures pratiques en matière de confidentialité des données et les tient pour responsables en leur imposant de lourdes amendes en cas de non-conformité.

En plus de protéger les données des étudiants, la FERPA exige que les organisations divulguent les droits des étudiants en vertu des lois sur la protection des données. Les étudiants doivent avoir un accès transparent à leurs informations et consentir à des pratiques spécifiques telles que la communication de leurs DPI à d’autres institutions ou à des tiers.

Consentement

Les étudiants peuvent demander leur dossier scolaire à tout moment et doivent être informés de leurs droits chaque année. Avec des conseils appropriés, les étudiants peuvent alors renoncer à leur droit de consulter leurs dossiers. Avant de divulguer des données personnelles, les étudiants doivent donner leur consentement par écrit avant que les administrateurs ou les responsables de l’école ne les diffusent.

Formation

La FERPA impose une formation aux enseignants, aux administrateurs ou à d’autres responsables de l’école sur les implications de la divulgation d’informations sur les étudiants. Ils doivent connaître la réglementation FERPA et savoir ce qu’ils peuvent faire pour protéger les données contre les personnes non autorisées. Les fournisseurs tiers ayant accès aux informations sur les étudiants doivent être informés de la conformité à la FERPA.

Cybersécurité

Les données numériques des étudiants sont une cible de choix pour les attaquants. Les organismes d’enseignement doivent suivre les meilleures pratiques pour protéger les données des cybercriminels. Une violation des données pourrait être coûteuse en termes d’amendes et de frais juridiques.

Voici quelques éléments de conformité à la FERPA en informatique :

• Chiffrer les données : Toutes les données doivent être chiffrées au repos et en transit. Cela signifie que les données stockées sur des appareils physiques ne peuvent pas être divulguées même si l’appareil est volé, et que les données transmises par Internet sont également protégées.
• Tester et corriger les vulnérabilités : Les analyses de vulnérabilité permettront de trouver des problèmes avec les infrastructures qui stockent des données, comme les bases de données et le stockage dans le cloud. Passez régulièrement en revue les contrôles et les politiques de sécurité.
• Surveillance et pistes d’audit : Surveillez tous les systèmes pour détecter toute activité suspecte qui pourrait indiquer une violation de données provenant de sources extérieures ou de menaces internes. Certaines applications surveilleront la conformité de l’infrastructure pour s’assurer qu’elle respecte les normes.
• Mises à jour et examens continus : Les normes de conformité changent, et les organismes de réglementation accordent un temps limité pour déployer les mises à jour du système. Pour disposer de suffisamment de temps pour déployer les changements et être au courant des mises à jour du FERPA, il faut toujours réviser les règlements chaque année.

• Perdre tout financement de la part du gouvernement.
• Poursuites en vertu des lois pertinentes, tant au niveau de l’État que fédéral.
• Enquêtes sur la mauvaise conduite des employés et les pratiques commerciales afin d’identifier les parties responsables et la négligence.

• Licenciement de tout employé responsable de la violation des données.
• Suspension temporaire de la direction chargée de superviser la conformité.

La première étape de la mise en conformité consiste en une évaluation complète des risques réalisée par un professionnel. Cette évaluation des risques analyse l’infrastructure en vue de sa conformité et les données qui pourraient constituer une cible pour les attaquants.

Voici d’autres moyens de vous mettre en conformité :

• Assurez-vous que les données sont chiffrées : Les données peuvent être au repos ou en transit. Les données au repos représentent les informations stockées dans une base de données ou les fichiers stockés sur un disque. L’envoi de données d’une page Web à la base de données est une donnée en transit. Les données des élèves doivent être chiffrées lorsqu’elles sont en transit et au repos sur un dispositif de stockage.
• Installez un pare-feu : Les pare-feu empêchent le trafic extérieur d’atteindre les dispositifs de stockage de données sensibles, comme une base de données. Les pare-feu sont obligatoires pour la conformité au FERPA, et ils sont des outils précieux pour contrôler le trafic sur votre réseau.
• Utilisez des politiques de contrôle d’accès : Un administrateur informatique de votre réseau doit mettre en place des politiques de contrôle d’accès structurées pour limiter l’accès aux données aux seuls utilisateurs autorisés. Censurez les autres données afin que les utilisateurs peu privilégiés ne puissent pas les lire. Par exemple, un administrateur du bureau d’enregistrement ne devrait voir que les quatre derniers chiffres du numéro de sécurité sociale d’un étudiant au lieu de révéler l’intégralité du numéro lorsqu’il l’affiche sur une application.
• Installez un logiciel anti-malware : Installez toujours des logiciels antivirus et anti-malware sur les serveurs et les ordinateurs des utilisateurs. Ces applications empêchent les malware tels que les ransomware d’être installés sur le réseau.
• Communiquez la collecte et le stockage des données aux étudiants : La FERPA exige que les étudiants comprennent les données stockées par l’établissement d’enseignement, et ils doivent être informés si l’établissement prévoit de divulguer leurs données à un tiers.