La sécurité des données client est une question primordiale. Les informations suivantes décrivent certaines des façons dont les données client sont protégées lors de l'utilisation d' IBM watsonx et ce que vous devez faire pour vous aider dans ces efforts.
- Responsabilité du client
- Conformité à la loi HIPAA
- Engagement de IBM quant à la GDPR
- Protection du contenu et des données
- Déclaration du GDPR qui s'applique aux fichiers journaux du moteur d'exécution IBM watsonx.ai
- Suppression sécurisée du service IBM watsonx.ai Runtime
Responsabilités du Client
Il incombe au client de veiller à sa propre conformité aux différentes lois et réglementations, y compris au Règlement Général sur la Protection des Données (RGPD) de l'Union européenne. Il relève de la seule responsabilité du client de consulter les services juridiques compétents aussi bien pour identifier et interpréter les lois et règlements susceptibles d’affecter son activité, que pour toute action à entreprendre pour se mettre en conformité avec ces lois et réglementations. Les produits, services et autres fonctionnalités décrits dans le présent document ne conviennent pas à toutes les situations du client et leur disponibilité peut être limitée. IBM ne donne aucun avis juridique, comptable ou d'audit et ne garantit pas que ses produits ou services assurent la conformité de ses clients par rapport aux lois applicables.
Prêt pour l'HIPAA
watsonx.ai Studio et watsonx.ai Runtime satisfont aux contrôles IBM requis qui correspondent aux exigences de la loi de 1996 sur la sécurité et la confidentialité de l'assurance maladie (Health Insurance Portability and Accountability Act of 1996 - HIPAA).
Ces exigences incluent les protections administratives, physiques et techniques appropriées requises pour les partenaires accrédités (45 CFR, chapitre 160 et sous-chapitres A et C du chapitre 164). La mise en conformité avec la loi HIPAA s'applique aux plans suivants :
- Le plan professionnel de watsonx.ai Studio dans la région de Dallas (US South)
- Le plan d'exécution standard de watsonx.ai dans la région de Dallas (sud des États-Unis)
Pour les autres services, vous devez consulter la page de plan dans IBM Cloud pour chacun d'eux afin de déterminer s'il est prêt pour HIPAA et si vous devez remettre à disposition le service après avoir activé le support HIPAA.
La prise en charge de la loi HIPAA d'IBM exige que vous acceptiez les conditions du l'annexe BAA (Business Associate Addendum) avec IBM pour le compte IBM Cloud. L'annexe BAA décrit les responsabilités d'IBM, mais aussi vos responsabilités pour maintenir la conformité avec la loi HIPAA. Une fois que vous avez activé la prise en charge de la loi HIPAA dans votre compte IBM Cloud, vous ne pouvez plus la désactiver. Consultez la documentation IBM Cloud : Activation de la prise en charge HIPAA pour votre compte .
Pour activer la prise en charge de la loi HIPAA pour votre compte IBM Cloud :
- Connectez-vous à votre compte IBM Cloud.
- Cliquez sur Gérer > Compte , puis sur Paramètres de compte.
- Dans la section HIPAA Supported, cliquez sur On.
- Lisez l'annexe BAA, puis sélectionnez Accept et cliquez sur Submit.
Engagement de IBM quant à la GDPR
En savoir plus sur l'engagement d'IBM pour la mise en conformité avec le règlement RGPD, ainsi que sur les fonctions et offres RGPD disponibles pour vous mettre en conformité avec le règlement RGPD.
Protection du contenu et des données
La fiche technique "Data Processing and Protection" fournit des informations propres au service IBM Cloud concernant le type de contenu qui peut être traité, les activités de traitement effectuées, les fonctions de protection des données et les spécificités liées à la conservation et au renvoi de contenu. Les détails ou clarifications et dispositions, y compris les responsabilités du client, concernant l'utilisation du Service Cloud et les dispositifs de protection de données, le cas échéant, sont énoncés dans cette section. Il peut y avoir plusieurs feuilles de données applicables à l'utilisation par un client du service IBM Cloud en fonction des options sélectionnées par le client. Il se peut que la fiche technique ne soit disponible qu'en anglais et qu'elle n'existe pas dans des langues locales. En dépit des pratiques du droit local ou coutumier, les parties conviennent qu'elles comprennent l'anglais et qu'il s'agit d'une langue appropriée pour l'obtention et l'utilisation des services IBM Cloud. Les fiches techniques suivantes s'appliquent au service IBM Cloud et à ses options disponibles. Le client reconnaît que i) IBM peut modifier les fiches de données de temps en temps à la seule discrétion de IBMet ii) de telles modifications annuleront les versions antérieures. L'objectif de toute modification apportée aux fiches techniques est :
- D'améliorer ou de clarifier les engagements existants
- De maintenir la conformité aux normes adoptées et aux lois applicables en vigueur, ou
- De définir des engagements supplémentaires. Aucune modification des fiches techniques n'altérera sensiblement la protection des données d'un service IBM Cloud.
Voir la section En savoir plus pour des liens vers certaines des fiches techniques que vous pouvez afficher.
Vous, le client, êtes tenu de prendre les mesures nécessaires pour commander, activer ou utiliser les fonctions de protection des données disponibles pour un service IBM Cloud et d'assumer les responsabilités liées à l'utilisation des services IBM Cloud si vous ne prenez pas ces mesures, notamment en respectant la protection des données ou d'autres règles juridiques concernant le contenu. Addendum relatif au traitement des données d' IBM (DPA) et les Annexes DPA s'appliquent et sont référencées dans le cadre du Contrat, si et dans la mesure où le Règlement général européen sur la protection des données (EU/2016/679) s'applique aux données à caractère personnel contenues dans le Contenu. Les fiches techniques applicables à ce service IBM Cloud serviront d'annexes DPA. Si la DPA s'applique, l'obligation de IBM de fournir un avis de changement aux sous-processeurs et le droit du client de s'opposer à de tels changements s'appliqueront comme indiqué dans le DPA.
Déclaration du GDPR qui s'applique aux fichiers journaux du moteur d'exécution IBM watsonx.ai
Tenez compte des principes de confidentialité des données lors de la sélection d'un jeu de données pour les données d'entraînement. Le traitement des informations personnelles est régi par des principes juridiques stricts et n'est autorisé que s'il repose sur une base juridique explicite. Ces réglementations exigent que les informations personnelles soient traitées uniquement dans le but pour lesquelles elles ont été collectées. Aucun autre traitement incompatible avec cet objectif initial n'est autorisé. Pour ces contraintes et d'autres qui restreignent ces règlements sur votre utilisation des informations personnelles (PI) , nous vous recommandons fortement de ne pas utiliser les " réelles " informations personnelles dans votre jeu de données de formation, à moins que cela ne soit permis ou autorisé. Vous pouvez remplacer les informations personnelles réelles en utilisant des données de test disponibles dans la sphère publique.
Suppression sécurisée du service IBM watsonx.ai Runtime
Toute personne ayant des informations et des données personnelles identifiables (PII) stockées dans le cadre de l'utilisation du service IBM watsonx.ai Runtime a le droit d'obtenir du responsable du traitement l'effacement de ces données dans un délai raisonnable. Le responsable du traitement est tenu d'effacer sans délai les données personnelles dans l'une des conditions suivantes :
Des données PII sont stockées dans le service IBM watsonx.ai Runtime
L'adresse électronique et le nom complet de l'utilisateur sont stockés en tant que métadonnées liées aux actifs du référentiel watsonx.ai Runtime.
L'utilisateur a fourni des données d'identification pour le service.
Le contenu de l'actif du référentiel, qui est généralement hors du contrôle du service Runtime de watsonx.ai et qui peut potentiellement contenir tout type de données PII. Dans ce cas, lorsque des utilisateurs souhaitent suivre les données à caractère personnel stockées dans des actifs, tels qu'un modèle, ils doivent :
- Obtenir la référence des données de formation à partir du modèle ou des métadonnées de l'actif.
- Analyser les données d'entraînement pour trouver les données à caractère personnel d'un utilisateur spécifique.
- Si de telles données peuvent être trouvées dans l'ensemble de données d'apprentissage, le modèle ou le bien doit être considéré comme pouvant contenir ces données dans son contenu.
Le contenu des actifs du référentiel, tels que les modèles, peut être supprimé en toute sécurité en exécutant l'une des méthodes pour supprimer définitivement des données personnelles.
Options pour supprimer définitivement des données personnelles
Il existe plusieurs options que les utilisateurs peuvent choisir pour supprimer définitivement leurs données personnelles :
Supprimez l'intégralité de l'instance de service IBM watsonx.ai Runtime d'IBM Cloud. Vous pouvez effectuer cette opération en envoyant une demande d'annulation de la mise à disposition via différents canaux, tels que l'interface utilisateur, l'interface de ligne de commande ou l'API REST d'IBM Cloud.
Utilisez le REST dewatsonx.ai Runtime pour supprimer des actifs ou des déploiements.
Pour le service IBM watsonx.ai Runtime, les informations et données personnellement identifiables sont entièrement supprimées de toutes les sources de données, y compris les sauvegardes, au bout de 30 jours.
En savoir plus
- termes watsonx
- Conditions d'exécution IBM watsonx.ai
- Conditions d'utilisation IBM watsonx.ai Studio
- Conditions d'utilisation IBM Cloud Object Storage
- Comment savoir si mes données sont protégées ?
- Principes de sécurité et de protection des données pour les Services IBM Cloud
- IBM et RGPD
- Rapports de compatibilité des produits logiciels : IBM watsonx.ai Studio
- Rapports de compatibilité des produits logiciels : IBM watsonx.ai Runtime
- Rapports de compatibilité des produits logiciels : IBM watsonx.ai Runtime Service
Rubrique parent: Sécurité