Dans le monde de la confidentialité des données, le Règlement général sur la protection des données de l'Union européenne (RGPD) a fait la une des journaux. Ce texte législatif historique de l'UE GDPR S'adressant à toute entreprise ou organisation stockant ou traitant des données de citoyens de l'UE, ce n'est en aucun cas le seul obstacle auquel les organisations internationales doivent désormais faire face. Les régulateurs américains, tels que la FCC et la FTC, intensifient leurs efforts pour réglementer l'identité numérique, tandis qu'au Canada, en Australie, à Singapour et en Russie, les exigences en matière de confidentialité se durcissent et gagnent en force. Aux États-Unis, les agences fédérales comme la FTC, la FCC et même les organismes de réglementation sectoriels comme la SEC, le CFPB et la FINRA sont devenus plus vigilants en matière de respect de la vie privée, tandis que les États adoptent également une approche plus proactive en matière de protection de la vie privée et des données des consommateurs. Le dernier exemple en date est l'extension des exigences de notification des violations en Floride, conformément à la loi FIPA.(Loi de Floride sur la protection des informations) qui exige désormais que le procureur général de l'État soit informé en cas de violation et que les organisations couvertes consultent les forces de l'ordre locales.
À l’échelle mondiale, quelque 65 pays Plusieurs pays ont adopté de nouvelles lois sur la protection de la vie privée l'année dernière ou sont en attente d'adoption, notamment en Chine et au Brésil. L'importance croissante accordée à la confidentialité et à la protection des données s'explique par le malaise généralisé des consommateurs quant à l'impact du commerce numérique sur la confidentialité de leurs données, aggravé par les violations de données personnelles récurrentes. Partout dans le monde, les régulateurs et les législateurs intensifient leurs efforts pour définir les exigences relatives à la collecte, au stockage, au traitement et au partage des données des consommateurs et des clients.
Le coût de la négligence
Quelle que soit la juridiction ou le point de départ des régulateurs, le point commun est que les organisations doivent faire preuve de responsabilité et de transparence dans le stockage, le traitement et le transfert des données privées, et agir comme si elles étaient désormais dépositaires des données personnelles et privées. Outre des déclarations d'intention claires concernant la collecte de données et le consentement des consommateurs et des clients, les organisations doivent fournir une politique de confidentialité.
Les spécificités de la législation — que ce soit en termes de droits des consommateurs Des mesures telles que le « droit à l'oubli », les exigences de conservation des données ou la nécessité de désigner des délégués à la protection des données peuvent varier considérablement d'une juridiction à l'autre, tout comme la capacité à appliquer la législation ou la réglementation et à imposer des sanctions. Bien que la sévérité des amendes et des sanctions varie d'un pays à l'autre, il est courant que le montant des sanctions soit devenu plus élevé et que les régulateurs soient plus à l'aise avec leur utilisation.
Dans ce contexte, le RGPD de l'UE annonce le changement le plus important en matière de confidentialité des données à l'ère numérique, et pas seulement en raison des exigences techniques, ni même de la nécessité de désigner des délégués à la protection des données dans certaines circonstances. Il s'agit plutôt de l'ampleur des sanctions en cas de violation et de la volonté affichée des régulateurs d'imposer, dès l'entrée en vigueur du règlement, des amendes pouvant atteindre 41 TP3T du chiffre d'affaires annuel mondial total de l'exercice précédent.
Parallèlement à des exigences plus explicites en matière de responsabilité selon les juridictions, les organisations doivent également se conformer à la définition élargie des données personnelles, qu'il s'agisse de données biométriques dans le cadre du RGPD de l'UE, d'adresses MAC ou d'identifiants de cookies dans le cadre des nouvelles réglementations sur la confidentialité proposées par la FCC aux États-Unis. Dans ses récentes décisions d'application, la Commission de protection des données personnelles de Singapour a fait valoir que le contexte est important : les violations des exigences de protection des données personnelles lorsque les données sont « de nature financière sensible » sont plus susceptibles d'entraîner des amendes. Les entreprises souhaitant se conformer aux nouvelles réglementations sur la confidentialité seront donc de plus en plus tenues de pouvoir trouver toutes les données personnelles avec précision et à grande échelle.
C'est une question de principes partagés
Certes, de nombreuses réglementations et exigences se rapprocheront davantage des dispositions du RGPD à mesure qu'elles approcheront de leur approbation, et les principes directeurs deviendront un point de comparaison. Cependant, il est important de comprendre que des différences d'approche persisteront. Par exemple, le RGPD de l'UE adopte une position globale, notamment par rapport à celui des États-Unis, où une approche sectorielle bien plus marquée est mise en œuvre par les régulateurs du secteur. La bataille actuelle entre la FCC et la FTC pour définir la confidentialité numérique en est un parfait exemple.
En outre, bien que les États-Unis ne disposent pas actuellement d’une législation fédérale générale sur la protection de la vie privée qui s’applique largement au secteur privé et sociétés[1] De nombreux États, dont la Californie, le Massachusetts et la Floride, ont mis en place des lois sur la protection de la vie privée des consommateurs. L'Assemblée législative de l'État de New York étudie actuellement un projet de loi sur la protection de la vie privée en ligne et la sécurité sur Internet, qui prévoit la création d'un groupe de travail sur les violations de données composé du procureur général de l'État, de fonctionnaires, du DSI et du commissaire à la Sécurité intérieure.
En Australie, les régulateurs et les législateurs ont collaboré avec les entreprises pour définir des cadres et des normes d'autorégulation afin d'assurer une protection responsable de la vie privée des consommateurs. Il en résulte que les principes directeurs fédéraux en matière de protection de la vie privée sont davantage axés sur les implications pratiques de la mise en œuvre des politiques et des protections de la vie privée. En revanche, la LPRPDE (Loi sur la protection des renseignements personnels et les documents électroniques) du Canada met l'accent sur les principes opérationnels et se rapproche davantage de l'approche globale de l'UE en matière de droit à la vie privée des citoyens.
La loi sur la protection de la vie privée s'applique aux agences fédérales : elle établit un code de pratique équitable en matière d'information qui régit la collecte, la conservation, l'utilisation et la diffusion d'informations personnelles identifiables sur les individus qui sont conservées dans les systèmes d'enregistrement des agences fédérales.
Le 10 principes de confidentialité de la LPRPDE
2 Identification des objectifs
5 Limitation de l'utilisation, de la divulgation et de la conservation
10 Contestation de la conformité
Principes australiens de confidentialité
APP 1 — Gestion ouverte et transparente des renseignements personnels
APP 2 — Anonymat et pseudonymat
APP 3 — Collecte de renseignements personnels sollicités
ANNEXE 4 — Traitement des renseignements personnels non sollicités
APP 5 — Notification de la collecte de renseignements personnels
ANNEXE 6 — Utilisation ou divulgation de renseignements personnels
ANNEXE 7 — Marketing direct
ANNEXE 8 — Divulgation transfrontalière de renseignements personnels
APP 9 — Adoption, utilisation ou divulgation d'identifiants liés au gouvernement
APP 10 — Qualité des renseignements personnels
APP 11 — Sécurité des renseignements personnels
APP 12 — Accès aux renseignements personnels
APP 13 — Correction des renseignements personnels
Cependant, même si les principes peuvent diverger, l’influence du RGPD de l’UE est que les tendances réglementaires mondiales se rassemblent autour d’un ensemble d’exigences et de considérations communes :
● Choix et consentement
● Sécurité pour la protection des données
● Accès aux données
● Exigences de notification
● Conservation des données
● Droit à l'oubli
● Divulgation à des tiers
● Délégués à la protection des données
● Transferts transfrontaliers
Cependant, la précision des exigences varie considérablement. Par exemple, même dans le contexte du RGPD, la désignation d'un délégué à la protection des données n'est obligatoire que lorsque l'organisation est une autorité publique, effectue une surveillance systématique à grande échelle ou traite à grande échelle des données personnelles sensibles. En vertu de la loi singapourienne sur la protection des données personnelles (PDPA), il appartient à l'organisation de décider si elle doit nommer un DPD à temps plein ou confier cette fonction à une autre autorité.
De même, la LPRPDE stipule que les données personnelles doivent être conservées « aussi longtemps que nécessaire pour atteindre les objectifs visés » plutôt que pendant une période déterminée.
Alors, comment une entreprise multinationale peut-elle gérer les différentes définitions des PII et les différentes exigences en matière d’accès des sujets, de fenêtres de notification et de traçabilité du traitement ?
Se mettre sur la même longueur d'onde : intégrer la science des données à la confidentialité des données
Nous ne nous demandons plus si la confidentialité et la protection des données doivent être à l'ordre du jour des entreprises informatiques et numériques. La question est désormais de savoir comment concilier au mieux les opportunités commerciales avec une mosaïque d'exigences législatives et réglementaires.
La première étape est évidente : adapter les opérations commerciales aux juridictions compétentes en matière de protection des données. Il est nécessaire de contourner les conditions spécifiques requises pour répondre à des exigences plus rigoureuses, comme le RGPD de l'UE ou la PCDA de Singapour. Il est également important de comprendre les principes fondamentaux qui encadrent la législation : qu'ils soient exhaustifs, sectoriels ou définis en collaboration avec l'industrie.
Cependant, la protection de la confidentialité des données personnelles repose sur une application cohérente des politiques de confidentialité et, plus important encore, sur des informations précises sur les données protégées. Toutes les exigences réglementaires partagent la nécessité de savoir quelles données sont stockées, à qui elles appartiennent, où elles se trouvent, qui y accède, quels consentements ont été approuvés concernant ces données et où elles sont utilisées. Sans ces connaissances fondamentales, il est impossible de déterminer avec précision si une organisation se conforme à une réglementation spécifique. Il est également impossible de gérer ces données. Sans informations, pas de contrôle. Sans contrôle, le risque de sanctions, voire de violation, augmente.
par @stavvmc et @dimitrisirota
Auteur
