Il n’y a pas si longtemps, les centres de données sur-site (on-premise) impliquaient une conformité vis à vis de la protection des données relativement simple. Cependant, les données se déplaçant de plus en plus vers le Cloud, les préoccupations concernant le contrôle, la souveraineté et la protection de la vie privée sont maintenant au premier plan.
Aujourd’hui, il est presque impossible d’avoir une vie numérique sans divulguer des informations personnelles. En visitant la plupart des sites Web et en utilisant un certain nombre d’applications, vous laissez derrière vous une véritable mine d’or en termes d’informations que les sociétés d’analyse de données vont pouvoir parcourir pour le compte de leurs clients. Des outils tels que l’IA et le Machine Learning peuvent être exploités pour révéler de nombreuses informations sensibles sur une personne : localisation, centres d’intérêt, état de santé, opinions politiques, etc. Suite à ces progrès les utilisateurs sont de plus en plus inquiets concernant une utilisation abusive potentielle de leurs données personnelles par des entreprises, des gouvernements et des acteurs malveillants.
En raison de ces préoccupations, de nombreux pays cherchent à améliorer ou bien sont en train de créer des lois pour encadrer la protection des données. Ces lois visent à protéger et contrôler plus efficacement les données personnelles de leurs citoyens.
RGPD : un modèle pour les lois sur la protection des données
Parmi les lois internationales les plus importantes sur la protection des données figure le RGPD (Règlement Général sur la Protection des Données) de l’Union européenne, qui est entré en vigueur en 2018. Toute organisation, quel que soit l’endroit où se trouve son siège social, qui cible ou collecte des données auprès de personnes et d’entreprises dans les pays membres de l’UE doit se conformer à cette loi. Le RGPD est devenu le fil conducteur de nombreuses lois ultérieures sur la protection des données dans le monde. Aujourd’hui, plus de 100 pays dans le monde ont promulgué leurs propres lois sur la confidentialité des données qui traitent du droit fondamental à la protection de la vie privée d’un individu.
L’état de la protection des données aux États-Unis
Les États-Unis n’ont toujours pas de loi nationale sur la protection des données. Cependant, la loi américaine ADPPA (American Data and Privacy Protection Act) sur la protection des données et de la vie privée pourrait bientôt être codifiée et devenir la première loi fédérale sur la confidentialité des données aux États-Unis qui protègera les droits individuels à la protection de la vie privée.
Pendant ce temps, un nombre croissant d’États aux États-Unis ont promulgué leurs propres lois sur la protection des données. La Californie est en tête du peloton avec le CCPA (California Consumer Privacy Act) qui est entré en vigueur en 2018. C’est sans doute la loi sur la protection de la vie privée la plus stricte des États-Unis, avec des États comme la Virginie et le Colorado qui la suivent de très près.
Voici une liste des nouvelles lois nationales sur la protection des données qui doivent entrer en vigueur en 2023 :
- Le CPRA (California Privacy Rights Act) étend le CCPA pour inclure le droit de restreindre l’utilisation des données personnelles, le droit de correction, le droit d’accès et le droit de retrait. Le CPRA a créé une nouvelle agence d’application, la CPPA (California Privacy Protection Agency), en tant que principal organisme responsable de l’application des droits en matière de protection des données des Californiens.
- Le VCDPA (Virginia Consumer Data Privacy Act) a été promulgué le 1er janvier 2023. Il affecte à la fois les organisations gouvernementales et non gouvernementales qui contrôlent et traitent des quantités spécifiques de données personnelles.
- Le CPA (Colorado Privacy Act) devrait entrer en vigueur le 1er juillet 2023, offrant aux résidents du Colorado le droit de refuser le traitement des données personnelles pour la publicité ciblée ou la vente de ces dernières.
- Le CDPA (Connecticut Data Privacy Act) entrera en vigueur le 1er juillet 2023. Il offre aux consommateurs du Connecticut un certain de choix concernant les données personnelles collectées à leur sujet par les entreprises qui ont des activités dans l’État en question.
- L’UCPA (Utah Consumer Privacy Act) entre en vigueur le 31 décembre 2023. Il adopte une approche plus conviviale en matière de protection de la vie privée des consommateurs et ne s’applique qu’aux entreprises dont le chiffre d’affaires annuel est d’au moins 25 millions de dollars. Il s’appuie sur des mandats moins stricts, tels que l’absence d’obligation de procéder à des évaluations de la protection des données pour certains types d’activités de traitement.
L’année dernière, les législateurs de près de 30 autres États ont envisagé des projets de loi offrant divers degrés de protection de la vie privée des consommateurs. Certains d’entre eux pourraient être réintroduits lors des sessions législatives de 2023 avec d’autres nouveaux projets de loi en préparation.
Les lois sur la protection des données dans le monde
- Le PIPEDA (Personal Information Protection and Electronic Documents Act) est la loi fédérale sur la protection de la vie privée au Canada qui régit la manière avec laquelle les organisations du secteur privé recueillent, utilisent et divulguent des renseignements personnels dans le cadre d’activités commerciales.
- La Bill C-27 (Digital Charter Implementation Act) a été déposée par le gouvernement fédéral canadien en juin 2022. Elle contient trois lois proposées, qui concernent la vie privée des consommateurs, la protection des données et les systèmes d’IA. Les lois proposées sont le CPPA (Consumer Privacy Protection Act), le PIDPTA (Personal Information and Data Protection Tribunal Act) et l’AIDA (Artificial Intelligence and Data Act).
- Le PIPL (Personal Information Protection Law) est la première loi chinoise globale conçue pour réglementer les données en ligne et protéger les informations personnelles des consommateurs chinois. Elle est entrée en vigueur en novembre 2021. Le PIPL exige le consentement comme base principale pour la collecte et le traitement des données, limite les transferts de données transfrontaliers et impose des amendes strictes basées sur les revenus en cas de non-conformité.
- La ‘General Data Protection Law’ ou LGPD (Lei Geral de Proteção de Dados Pessoais) est entrée en vigueur en août 2020 au Brésil. Elle crée un cadre juridique pour l’utilisation des données personnelles des individus au Brésil, quel que soit l’endroit où se trouve l’organisme traitant les données.
- Le POPIA (Protection of Personal Information Act) est la loi sud-africaine sur la protection des données visant à protéger les informations personnelles identifiables (PII) des citoyens sud-africains.
L’avenir de la protection des données
Alors que les lourdes amendes et pénalités pour violation de la législation sur la protection des données sont en train de devenir une réalité, les entreprises investiront plus de temps et de ressources pour établir de solides programmes de conformité interne.
Les gouvernements et les organes législatifs feront pression ensemble pour une meilleure application des lois existantes telles que le RGPD et le CCPA. En 2023, attendez-vous à voir émerger davantage de lois sur la protection des données répondant aux problèmes de confidentialité découlant des données collectées par les appareils IoT et d’autres appareils connectés. Au fur et à mesure que les individus deviendront davantage conscients des dangers d’une utilisation abusive de leurs données personnelles, la manière avec laquelle ces dernières seront gérées et traitées aura un impact sur leur confiance dans une entreprise et influencera les résultats financiers de cette dernière.
Pour gagner la confiance des utilisateurs et gérer la réputation et la conformité de l’entreprise, les entreprises devront investir davantage dans les technologies de protection de la vie privée (PET : Privacy-Enhancing Technologies) où les données des utilisateurs priment sur l’identité de ces derniers.
L’initiative Privacy Sandbox de Google limite le partage des données des utilisateurs avec des tiers et fonctionne sans identifiants inter-applications pour créer des technologies qui protègent la vie privée des personnes en ligne tout en donnant aux entreprises des outils pour développer des activités rentables. Des entreprises comme DSpark regroupent et anonymisent les données de mobilité personnelle hautement sensibles, les convertissant en informations sur les données démographiques et les comportements des acheteurs, le nombre de visiteurs uniques, le nombre total de pas, etc. DSpark commercialise ces données sans vendre ni transférer de données personnelles sensibles.
Pour résumer, la protection des données est une préoccupation mondiale. Étant donné que de nombreuses entreprises opèrent au-delà des frontières, nous pouvons voir des nations collaborer pour une législation globale sur la protection des données couvrant toutes les nations, entreprises et personnes.
Résumé
La protection des données personnelles des citoyens est une préoccupation majeure pour les gouvernements du monde entier. Des lois sont en cours de formalisation pour contrôler les types de données personnelles pouvant être collectées et la manière avec laquelle elles peuvent être utilisées, stockées et partagées. Le respect des lois mondiales sur la protection des données est obligatoire pour toutes les entreprises : non seulement pour des raisons liées à la responsabilité financière, notamment les risques de poursuites judiciaires coûteuses et les lourdes amendes que la non-conformité peut entraîner, mais c’est aussi une question de confiance : en effet, les consommateurs qui partagent leurs données personnelles s’attendent à ce qu’elles restent privées.
Les solutions Sophos offrent plusieurs méthodes pour garantir la sécurité des données personnelles, donnant ainsi aux entreprises une longueur d’avance lorsqu’il s’agira de répondre aux exigences réglementaires. Consultez notre section concernant les solutions de conformité pour en savoir plus.
Billet inspiré de Data privacy laws, compliance to take center stage in 2023 and beyond, sur le Blog Sophos.
Qu’en pensez-vous ? Laissez un commentaire.