Le 25 mai 2018, le RGPD est entré en vigueur, établissant le premier socle solide pour une protection complète des données. protection de la vie privée dans l'UE.
Le nouveau règlement a créé un ensemble unique de règles de protection des données pour une conformité uniforme dans toute l'Europe. Toute personne exerçant une activité commerciale en Europe est soumise au RGPD, ainsi que toute personne traitant sciemment les données de citoyens européens.
Avantages et défis
Au cours des deux dernières années, le RGPD a contraint les organisations européennes (et internationales) à repenser complètement leur gestion des données. Les entreprises soucieuses de la protection de la vie privée, comme celles qui pratiquent la politique de l'autruche, ont dû se réveiller et prêter attention à la manière dont elles collectaient, partageaient, utilisaient et supprimaient leurs précieuses données.
L'attention nouvelle portée à la confidentialité a eu des répercussions sur les budgets, les rôles et les communications. En réponse au RGPD, de nombreuses organisations ont recruté Responsables de la protection de la vie privée et délégués à la protection des données Pour la première fois, afin de respecter les normes de reporting, d'assurer la conformité réglementaire et de rendre opérationnel le traitement des données, les entreprises collectant ou contrôlant les données (les « responsables du traitement ») ont dû dialoguer activement avec les entreprises traitant leurs données (les « sous-traitants ») et établir des contrats.
La nouvelle réglementation a également permis de sensibiliser le public aux droits des individus en matière de confidentialité des données, en encourageant les personnes concernées à demander aux organisations de rendre des comptes sur la collecte et la gestion appropriées de leurs informations.
Le problème est que la responsabilité de prendre le contrôle de ses données incombe à la personne concernée ou à l'utilisateur final. Le RGPD repose en grande partie sur consentement. Et même si le RGPD autorise le droit de retirer son consentement, cela peut ne pas suffire à donner aux personnes concernées (les personnes qui ont le plus besoin de protection) un contrôle réel et significatif sur le traitement de leurs données.
Le fait que le RGPD exige autogestion de la vie privée C'est un sujet très controversé. Comme le dit le professeur Daniel Solove, « le consentement légitime presque toute forme de collecte, d'utilisation ou de divulgation de données personnelles ». Ainsi, si le consentement n'est pas bien compris et si ces droits supplémentaires ne sont pas correctement gérés, les personnes concernées pourraient ne pas être beaucoup mieux loties qu'avant le RGPD.
Une approche interpartite
Une conformité réussie au RGPD nécessite une approche multipartite qui implique la communication et la coopération entre les équipes de confidentialité des données, de sécurité et de gouvernance, en plus des services juridiques, informatiques, marketing et de toute division impliquée dans le traitement des données personnelles.
De nombreuses entreprises ont mis en place des programmes entièrement opérationnels pour garantir une une seule vérité derrière leurs données afin qu'il soit précis, de haute qualité, sécurisé et qu'il dispose de procédures exploitables en cas de problème. violation de données.
Un indicateur clé de réussite réside dans la capacité à répondre rapidement aux demandes des personnes concernées et à éviter de susciter l'intérêt des autorités de contrôle. Pour ce faire, les organisations doivent avoir une vision claire des données qu'elles traitent, de leur organisation, d'un moyen de répondre à ces demandes et d'avoir une personne responsable de la prise de décision en matière de données.
Bien que les plaintes et les enquêtes soient inévitables, les organisations qui peuvent démontrer qu’elles ont respecté l’intention de la loi seront en meilleure position auprès des autorités chargées de l’application de la loi et de la perception du public.
Une influence de grande portée
Le RGPD s’est avéré être un pionnier, ouvrant la voie à des lois sur la confidentialité et la protection des données au-delà de l’UE.
Le Brésil, par exemple, s'est inspiré directement du RGPD en formulant son propre règlement omnibus sur la protection des données (LGPD) et même en s’appuyant sur des dispositions similaires, telles que la terminologie relative aux « données personnelles », les exigences d’extraterritorialité et plusieurs droits sur lesquels les personnes concernées peuvent agir.
Loi californienne sur la protection de la vie privée des consommateurs (CCPA) a pris un approche légèrement différente, mais elle garantit également des « droits de consommation » aux citoyens californiens. Si la nouvelle initiative de vote pour la loi californienne sur le droit à la vie privée, ou CPRA, entre en vigueur, la loi californienne dépassera alors le RGPD en termes d'exigences, d'obligations et de sanctions de non-conformité pour les entités traitant les données des consommateurs californiens.
À l'avenir, la prochaine phase de réglementation de l'UE en matière de protection de la vie privée est également en préparation. Malgré un retard dû à la pandémie de COVID-19, la Commission européenne (CE) s'apprête à entreprendre son examen et à publier un rapport sur les problèmes liés à la mise en œuvre du RGPD. Les experts ont déjà commencé à signaler un certain nombre de problèmes. défauts de rédaction pour la CE à prendre en compte.
Aux États-Unis, plusieurs projets de loi sur la protection de la vie privée au niveau des États et des discussions bien intentionnées sur la législation fédérale sur la protection de la vie privée gagnent du terrain. À l'échelle mondiale, nous verrons probablement de plus en plus de pays prendre des mesures en matière de protection des données. L'Inde, la Chine, l'Australie, le Japon, l'Afrique du Sud et la Turquie sont quelques-uns des pays qui ont déjà adopté des lois ou qui sont sur le point de les entrer en vigueur.
Et même si personne ne dispose de boule de cristal, l’idéal serait qu’un effort multipartite soit mené pour créer une réglementation omnibus sur la confidentialité à l’échelle mondiale afin de traiter les données sur une base plus harmonisée, cohérente et protégée.