Skip to content
Voir tous les articles

Top 10 Préoccupations en matière de protection de la vie privée pour 2023

La dernière Semaine de la confidentialité des données a présenté les points de vue des experts et a mis en évidence les problèmes de confidentialité qui préoccuperont probablement le plus les régulateurs et les équipes de confidentialité en 2023.

Parmi les problèmes les plus urgents en 2023, les suivants feront des vagues :

1 – Données sensibles

Devenir plus strict et plus large

L’utilisation de la biométrie (comme les empreintes digitales et la reconnaissance faciale), Données de santé et la géolocalisation à des fins d’identification et de sécurité devient de plus en plus répandue dans divers secteurs, notamment financer, soins de santéet les forces de l'ordre.

Ces technologies offrent un potentiel d'amélioration de la sécurité et du confort, mais soulèvent également d'importantes préoccupations en matière de confidentialité. Face à ces préoccupations, les gouvernements du monde entier adoptent des réglementations et des lois plus strictes pour encadrer l'utilisation de la biométrie, des données de santé et des informations de géolocalisation.

Nous observons des mesures plus strictes, des réglementations plus précises et un nombre croissant de projets de loi. En 2023, nous pouvons donc nous attendre à voir davantage d'efforts pour contrôler la collecte, le stockage et l'utilisation de ces données, et pour protéger le droit à la vie privée des individus.

2 – Données relatives aux enfants

Soyez au courant de la COPPA

Loi sur la protection de la vie privée des enfants en ligne est une loi fédérale aux États-Unis qui réglemente la collecte d’informations personnelles auprès des enfants de moins de 13 ans — et son application prend de l’ampleur !

L'application de COPPA a augmenté ces dernières années, de lourdes amendes étant imposées aux entreprises qui enfreignent la loi, comme $170 millions d'amende délivré à Google par la FTC.

En plus de la COPPA, la Californie a également introduit la Code de conception adapté à l'âge, qui devrait entrer en vigueur en 2024. Cette loi oblige les entreprises à mettre en œuvre des mesures spécifiques de protection des données lorsqu'elles savent que leurs services sont susceptibles d'être consultés par des enfants de moins de 18 ans.

Cela comprend la mise en place de politiques de confidentialité faciles à comprendre pour les enfants, l'obtention d'un consentement parental vérifiable avant la collecte d'informations personnelles et la mise à disposition d'un moyen pour les parents de consulter et de supprimer les informations personnelles de leurs enfants. Par conséquent, nous pouvons nous attendre à voir davantage de projets de loi déposés en 2023 visant à protéger la vie privée des enfants en ligne.

Ces projets de loi pourraient inclure des critères tels que « susceptible d'être consulté par un enfant de moins de 18 ans » afin de garantir que les entreprises mettent en œuvre des mesures appropriées de protection des données lorsque des enfants utilisent leurs services. Ces lois viseront également à garantir que les données personnelles des enfants ne soient pas utilisées à mauvais escient par les entreprises qui les collectent.

3 – Données des employés

Les droits des données des employés gagnent du terrain dans la législation des États

En Californie, les employés bénéficient de droits spécifiques en tant que consommateurs, et d’autres États suivent le mouvement en mettant en œuvre des lois qui protègent les données des employés dans divers domaines tels que l’utilisation de l’IA sur le lieu de travail et l’accès aux comptes personnels.

Il est toutefois essentiel d’être conscient des utilisations potentiellement non intentionnelles des données des employés et de prendre les mesures nécessaires pour protéger les informations sensibles et empêcher leur utilisation illégale, comme la vente des données des employés.

Les entreprises doivent s’assurer qu’elles respectent ces lois et mettre en œuvre des mesures de sécurité robustes pour sécuriser les données des employés.

Informer activement les employés

En outre, les employés doivent être informés de leurs droits et de la manière dont leurs données sont collectées, utilisées et stockées par l’entreprise.
Cela comprend transparence sur les données collectées et pourquoi, ainsi que le droit des employés d’accéder à leurs données personnelles, de les corriger et de les supprimer.

4 – Minimisation des données

Minimiser les données, maximiser la confidentialité

La minimisation des données est une préoccupation croissante parmi les régulateurs aux États-Unis et en Europe.

La FTC a pris des mesures contre des entreprises telles que CaféPress et Bruine pour ne pas avoir suivi les pratiques de minimisation des données, ce qui aurait pu réduire considérablement l'impact de la violations qu'ils ont subies (1) (2).

Collecter maintenant, notifier et choisir plus tard ?

Réfléchissez-y à deux fois.

Même 34 procureurs généraux des États Les entreprises ont convenu que la collecte d'informations immédiate et la fourniture ultérieure de notifications et d'options n'étaient plus acceptables. C'est le cas de JUUL Labs : le fabricant de la célèbre marque de cigarettes électroniques a été accusé d'avoir enfreint plusieurs lois sur la confidentialité des données, notamment « la collecte d'informations personnelles auprès de ses clients, notamment leurs noms, adresses et dates de naissance, sans leur consentement préalable ».

De plus, JUUL a été accusé d'utiliser ces données pour cibler des campagnes marketing auprès des jeunes, malgré le fait que les produits de l'entreprise sont uniquement destinés à être utilisés par des adultes de plus de 21 ans.

5 – Divulgation et modèles sombres

Votre conformité en matière de confidentialité en ligne est-elle menacée en raison de modèles sombres ?

Les régulateurs des deux côtés de l’Atlantique se concentrent sur l’amélioration de la transparence des divulgations en ligne et sur la protection des consommateurs contre les « dark patterns ».

Attendez une minute, que sont exactement les « motif sombre » ?

Les dark patterns sont des interfaces utilisateur conçues pour tromper ou induire en erreur les utilisateurs afin qu'ils fassent certains choix ou partagent des informations personnelles sans leur pleine compréhension ou leur consentement.
Certains exemples de dark patterns incluent l’utilisation de « peut » au lieu de « sera » pour rendre une demande moins définitive, l’utilisation de listes à puces pour masquer des informations importantes et la création d’expériences utilisateur trompeuses qui rendent difficile pour les utilisateurs de comprendre les implications de leurs choix.

Apprenez à repérer et à éviter ces pièges dans votre expérience en ligne

Pour éviter les schémas obscurs en matière de confidentialité, il est important d’être conscient des pratiques courantes utilisées pour manipuler les individus afin qu’ils partagent leurs informations personnelles ou acceptent des conditions qu’ils ne comprennent peut-être pas entièrement.

Voici quelques exemples de ces méthodes :

  • Rendre difficile la recherche ou la compréhension de l'option de désinscription
  • Présélectionner des options qui favorisent les intérêts de l'entreprise par rapport à ceux de l'utilisateur
  • Utiliser un langage difficile à comprendre ou trompeur
  • Dissimuler le véritable objectif d'une demande de renseignements personnels

Les régulateurs s’efforcent de garantir que ces pratiques ne soient pas utilisées pour tromper les consommateurs et leur fournir les informations dont ils ont besoin pour prendre des décisions éclairées concernant leurs informations personnelles.

Les lois actuelles sur la confidentialité des États, ainsi que les nouvelles propositions, adoptent un consentement de type RGPD (qui nécessite un consentement spécifique, librement donné, éclairé et sans ambiguïté).

Cela signifie que les entreprises ne peuvent plus conditionner l’utilisation de leurs services à la collecte et à l’utilisation de données qui ne sont pas nécessaires à la fourniture du service.

Désormais, les entreprises doivent obtenir le consentement explicite des individus pour l’utilisation de leurs données personnelles.
Cela représente un changement important dans la manière dont les entreprises doivent aborder la confidentialité des données et nécessitera un changement dans leurs pratiques commerciales.

7 – Aller au-delà de la « divulgation »

S'aligner sur les « attentes des consommateurs »

La spécification des attentes et des finalités des consommateurs est un aspect essentiel de la réglementation sur la protection de la vie privée et est étroitement liée à la notion de divulgation. Cependant, elle va au-delà de la simple information des consommateurs sur l'utilisation qui sera faite de leurs données personnelles.

Il s'agit également de garantir que les utilisations secondaires des données personnelles soient compatibles avec les attentes des consommateurs. Cela signifie que les entreprises doivent aligner leur utilisation des données personnelles sur les attentes raisonnables des consommateurs.

Ne pas abuser d'une utilisation secondaire

La Commission de protection des données d'Irlande a pris des mesures dans le Méta-cas, où il a été constaté que les entreprises utilisaient des informations personnelles à des fins qui ne correspondaient pas aux attentes des consommateurs.

De même, la loi californienne sur la protection de la vie privée contient une liste détaillée de réglementations qui régissent la compatibilité des utilisations secondaires des informations personnelles.

Il est important de noter que les consommateurs ont le droit de savoir comment leurs renseignements personnels sont utilisés et de s’attendre à ce qu’ils soient utilisés d’une manière compatible avec leurs attentes.

Les entreprises doivent être transparentes quant à leurs politiques de collecte et d’utilisation des données et ne doivent pas utiliser les informations personnelles à des fins inattendues ou indésirables.

8 – IA

L'application de l'IA est en hausse

Bien qu'il soit encore au stade de proposition, le projet de loi de l'UE Loi sur l'IA devrait établir la norme en matière de réglementation de l’IA dans l’UE et pourrait avoir un impact significatif sur la manière dont l’IA est développée et utilisée sur le continent.

France, Pays-Bas et Norvège

Des groupes de travail sont en cours de constitution en France et aux Pays-Bas :

  • En France, le groupe de travail s’appelle « Conseil national de l’IA » et sera chargé de créer un cadre juridique pour le développement et l’utilisation de l’IA.
  • Aux Pays-Bas, la « Coalition IA » s’attachera à garantir que l’IA soit développée et utilisée de manière responsable et éthique.
  • Les deux groupes de travail devraient travailler en étroite collaboration avec l’industrie, le monde universitaire et le gouvernement pour élaborer des réglementations et des lignes directrices pour une utilisation sûre et responsable de l’IA.

La Norvège a publié une loi sur l'IA et la transparence. Le projet de loi adopte une approche fondée sur les risques pour l'utilisation de l'IA, en appliquant différents niveaux d'exigences en fonction du risque associé à l'utilisation spécifique du système d'IA concerné.

New York et New Jersey

Les deux États ont introduit factures Réglementer l'IA dans le processus de recrutement. Ces projets de loi visent à répondre aux préoccupations concernant les risques de biais et de discrimination liés à l'utilisation des outils de recrutement basés sur l'IA, ainsi qu'à garantir la transparence et la responsabilité dans l'utilisation de ces technologies, protégeant ainsi les candidats contre la discrimination et les biais.

9 – Évaluations des risques, AIPD

Commencez maintenant, répétez plus tard

Il est important de commencer à mener une Évaluation de l'impact sur la protection des données (AIPD) le plus tôt possible, même si la réglementation à cet effet n’est pas encore en place.

Bien que la CPRA ne dispose actuellement d’aucune réglementation relative aux analyses d’impact sur la protection des données (AIPD), Le Colorado a un projet de réglementation.

Il est préférable de commencer à travailler sur une DPIA dès maintenant et de procéder à des ajustements à mesure que la réglementation évolue.

10 – Transfrontalier

Toujours pas tiré d'affaire

Il est important de revoir les Principes du cadre de protection des données UE-États-Unis pour assurer la conformité et comprendre les étapes nécessaires à la certification ou à la recertification, quelle que soit la Affaire Schrems.

Ici à BigID, nous suivrons de près ces défis permanents alors que nous continuons d'aider les organisations à s'adapter au paysage en constante évolution de la confidentialité des données.

En attendant – voir BigID en actionet planifier une démonstration pour parler avec nos experts en confidentialité qui vous aidera à répondre aux exigences de confidentialité des données, à sécuriser les informations hautement sensibles et à continuer de renforcer la confiance des consommateurs.

 


Auteurs contributeurs :

 

Shiko Genossar, chef de produit senior

 

 

 

Heather Federman, responsable de la confidentialité

 

 

 

Tomer Elias, directeur de la gestion des produits

Contenu