×
Outbyte PC Repair
Outbyte Driver Updater

Quel est l’impact du RGPD sur les entreprises et à quoi s’attendre en 2023

2023/01/12
Quel est l’impact du RGPD sur les entreprises et à quoi s’attendre en 2023
  • La conformité au RGPD est une cible mouvante, mais les directives réglementaires clarifient les dispositions de la loi.
  • L’application du GDPR a été lente, en particulier pour les grandes entreprises technologiques et les mégadonnées.
  • Pour toutes les entreprises, en particulier les petites entreprises, le respect des réglementations sur la protection des données renforce la fidélité à la marque et la confiance des clients.
  • Cet article est destiné aux propriétaires de petites entreprises qui souhaitent en savoir plus sur les réglementations en matière de confidentialité des données.

La législation radicale de l’Union européenne sur la protection des données, le règlement général sur la protection des données (RGPD), a forcé de nombreuses entreprises à se mettre en conformité avant sa mise en œuvre en mai 2018. La législation de l’UE couvre les données des citoyens de l’UE partout dans le monde, ce qui signifie que les entreprises du monde entier ont de se conformer ou de faire face à des amendes pouvant aller jusqu’à 10 millions d’euros ou 2 % de leur chiffre d’affaires mondial annuel (ou revenu) par infraction (selon le montant le plus élevé).

Aujourd’hui, quatre ans après la mise en œuvre du RGPD, le paysage de la confidentialité des données a considérablement changé. Alors que les grandes affaires contre les géants de la technologie attendent toujours les décisions finales, les petites entreprises ont dû changer leurs comportements et améliorer leur traitement des données des utilisateurs. Un certain nombre d’autres mesures de confidentialité et de sécurité des données ont vu le jour dans le monde, y compris de nombreuses réglementations d’État, telles que le California Consumer Privacy Act (CCPA) et le Virginia Consumer Data Protection Act (VCDPA).

À quoi ressemble la conformité RGPD ?

Le GDPR est une loi de 88 pages qui contient 11 chapitres et 99 articles, qui visent tous à améliorer et à unifier les pratiques de confidentialité des données en ce qui concerne les données des citoyens de l’UE. Elle ne se limite pas aux frontières de l’UE ; toute entreprise qui collecte et/ou traite les données de tout citoyen de l’UE doit se conformer au RGPD. Les entreprises à travers les États-Unis qui font des affaires avec des citoyens de l’UE sont incluses dans le champ d’application de la loi.

Parmi les règles que le RGPD a mises en place pour que le « contrôleur de données » et le « processeur de données » suivent figuraient les droits et libertés accordés à la personne concernée, ou à chaque utilisateur individuel. Il s’agit notamment de préoccupations éthiques telles que le droit de l’utilisateur de consentir à la collecte de données, le droit d’un utilisateur de demander la suppression de ses données et le droit d’un utilisateur d’accéder à ses données. Pour répondre de manière significative à ces droits, de nombreuses entreprises ont dû mettre en place des systèmes et des processus qui n’existaient pas auparavant. Depuis 2018, des efforts ont été faits pour clarifier les clauses spécifiques du RGPD, mais certaines questions demeurent pour les entreprises qui tentent de se conformer.

Odia Kagan, associée chez Fox Rothschild LLP et présidente de la conformité au RGPD et de la pratique internationale de confidentialité, a déclaré qu’il n’y avait pas de véritable plan directeur pour la conformité au RGPD. La question par laquelle les entreprises doivent commencer est la suivante : « En gros, que signifient réellement les règles pour mon entreprise ? » La réponse peut être différente d’une entreprise à l’autre, a déclaré Kagan.

« Nous avons essayé de commencer et de faire les bases pour commencer, car il y a des règles communes à tout le monde », a-t-elle déclaré. « Le RGPD n’est pas un instantané dans le temps ; c’est une affaire en cours. Vous devez continuer et continuer à réévaluer; c’est un processus de conformité continu. Même les entreprises qui ont effectué une bonne quantité de travail ont probablement encore plus à faire et à entretenir.

Le RGPD codifie les normes de traitement et de collecte des données, créant des règles générales régissant l’utilisation des données des citoyens de l’UE même en dehors de l’UE. Essentiellement, a déclaré Kagan, chaque entreprise doit commencer par les considérations suivantes lorsqu’elle travaille à la conformité au RGPD :

  • Divulgation élargie : les entreprises doivent fournir une description claire des données qu’elles collectent, pourquoi elles les collectent et comment elles les stockent et les traitent. Cela inclut des explications sur les personnes avec lesquelles les données sont partagées, la durée de stockage des données et la manière dont les données sont protégées.
  • Contrôle de l’utilisateur : les entreprises doivent accorder aux utilisateurs plus de contrôle sur ce qu’il advient de leurs données. Les utilisateurs ont droit à une copie de leurs données, sur demande. Ils peuvent également demander que leurs données soient supprimées ou que des modifications soient apportées à des données incorrectes. Les utilisateurs ont également le droit de consentir à ce que leurs données soient partagées avec une société tierce à des fins autres que l’externalisation du traitement.
  • Conformité en aval : toutes les sociétés et tous les fournisseurs de services tiers doivent également être conformes au RGPD ; dans le cas contraire, la responsabilité de la société collectant les données pourra être engagée. En d’autres termes, si vous collectez des données utilisateur à la lettre mais que vous sous-traitez le traitement à une entreprise non conforme, vous pourriez rester responsable des violations. Cela inclut la prise en compte des cookies tiers et la manière dont ils peuvent collecter et suivre les données générales.

« La complexité supplémentaire était que les entreprises de l’UE avaient déjà une grande longueur d’avance », a déclaré Kagan. « La directive sur la protection des données avait des lois nationales de mise en œuvre dans les 28 États de l’UE ; cela couvrait essentiellement 80 % des [règlements du] RGPD. »

Les améliorations ultérieures apportées à la directive sur la protection des données, telles que la directive ePrivacy de 2002, ont signifié que l’UE est en avance sur les États-Unis en matière de législation sur la protection des données. Les entreprises américaines ont dû se démener pour rattraper leur retard lors de la mise en œuvre du GDPR, et de nombreux clients ont demandé si Kagan avait une liste de contrôle à suivre. Sa réponse a été : « Oui, mais… » ce n’est pas un programme unique. Au lieu de cela, a déclaré Kagan, ils ont commencé par les exigences communes à toutes les entreprises.

Les conséquences du non-respect du RGPD

Les sanctions en cas de non-respect du RGPD sont potentiellement lourdes : des amendes pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial de l’année précédente. Pour de nombreuses entreprises, cela pourrait représenter un coup fatal. Alors que de grandes entreprises telles que Marriott, British Airways et H&M ont été condamnées à de lourdes amendes, il n’est pas clair si de plus petites entreprises ont fermé leurs portes à la suite de la réglementation. Le coût de la conformité aux nouvelles directives a entraîné la sortie d’environ un tiers des applications Android, selon une étude du National Bureau of Economic Research . Pour les entreprises aux États-Unis et au-delà, rester au top de la conformité GDPR est une priorité et un défi permanent.

Lorsqu’il s’agit d’assurer la conformité à toute loi radicale telle que le GDPR, il est sage de s’associer à un avocat ou à un consultant qui démontre une expérience et une spécialisation dans ce domaine. Cependant, une première étape importante consiste simplement à lire la loi, a déclaré Donovan Buck, vice-président du génie logiciel chez BrandExtract.

« Si vous ne savez pas par où commencer, la loi est vraiment facile à digérer », a déclaré Buck. « C’est un peu long, mais c’est écrit en termes clairs que les gens normaux peuvent comprendre. Et il y a un préambule… [qui] fait passer l’esprit de la loi. La loi elle-même n’est pas si effrayante. Lisez la loi; c’est pas si mal. »

Clarification de la réglementation RGPD

Même pour ceux qui lisent la loi, le RGPD a laissé de nombreuses questions sans réponse avant (et même après) sa mise en œuvre en mai 2018. Depuis lors, le comité européen de la protection des données, l’autorité de contrôle suprême régissant le RGPD, a publié des clarifications. et des lignes directrices pour aider les entreprises à s’assurer qu’elles sont effectivement conformes, notamment :

  • Divulgation claire et transparente : pour obtenir le consentement explicite d’une personne concernée , les entreprises doivent divulguer leur collecte, leur utilisation et leur partage de données avec les utilisateurs. Cela ne signifie pas seulement inclure des petits caractères quelque part dans les termes et conditions ; il doit être énoncé clairement dans un langage simple. Sinon, l’obtention du consentement explicite d’une personne concernée pourrait ne pas être considérée comme valable en vertu du RGPD.
  • Portée territoriale : En novembre 2019, le comité européen de la protection des données a publié des clarifications sur les entreprises auxquelles s’applique le RGPD . Les lignes directrices aident à clarifier ce qui constitue un établissement ou une entreprise de l’UE qui cible les utilisateurs au sein de l’UE. Il considère également la nécessité d’un mécanisme de coopération internationale pour faire appliquer le RGPD aux entreprises en dehors de l’UE.
  • Base juridique du traitement : en avril 2019, le comité européen de la protection des données a publié des lignes directrices sur la base juridique du traitement des données à caractère personnel dans le cadre du RGPD. Ces lignes directrices ont précisé ce qui constituait la collecte de données nécessaire, la résiliation des contrats et l’applicabilité de ces règles.
  • Utilisation des données de localisation et des outils de suivi des contacts dans le contexte de l’épidémie de COVID-19 : en avril 2020, le comité européen de la protection des données a dû répondre à certaines des complications en matière de confidentialité des données provoquées par la pandémie de COVID-19. Leurs directives ont mis l’accent sur le principe GDPR de « minimisation des données », soulignant que seules les données pertinentes pour la recherche des contacts COVID-19 – et non les informations d’identification ou les informations de localisation exactes – doivent être collectées.
  • Le droit d’accès : en janvier 2022, le comité européen de la protection des données a publié un projet de lignes directrices pour la mise en œuvre du droit des personnes concernées d’accéder à leurs données personnelles. Les contrôleurs doivent interpréter les demandes de données dans les termes les plus larges dans la plupart des cas, au lieu de limiter l’accès. Cependant, ils ne sont pas tenus de fournir aux personnes concernées les documents complets contenant leurs données et peuvent à la place fournir un nouveau document contenant uniquement les informations personnelles de l’utilisateur.

Point clé : le comité européen de la protection des données a publié une myriade de lignes directrices, de clarifications et de meilleures pratiques mises à jour depuis la promulgation du RGPD en 2018. Les mises à jour majeures incluent des informations sur les entreprises liées au RGPD, les données des consommateurs qu’il est nécessaire de collecter et la manière dont les entreprises devraient répondre aux demandes de données.

L’application du RGPD est en cours mais progresse lentement

Bien que le GDPR ait certainement amélioré la sécurité des données en éliminant certaines violations flagrantes, l’application globale prend plus de temps que prévu. Les informations circulent rapidement en ligne, et le GDPR semble, pour beaucoup, avoir du mal à suivre, en particulier dans le cas d’énormes entreprises technologiques de grande envergure telles que Meta et Google. Par exemple, l’organisation non gouvernementale de confidentialité des données noyb (qui signifie « aucune de vos affaires ») a déposé une plainte pour consentement forcé contre Instagram, Facebook, Google et WhatsApp le jour où le RGPD est devenu actif. Plus de quatre ans plus tard, une résolution est toujours en cours d’élaboration.

Cependant, la loi a été appliquée. Le GDPR a infligé 1 216 amendes, a rapporté Privacy Affairs, et ensemble, elles dépassent 2,5 milliards de dollars de sanctions en décembre 2022, selon Enforcement Tracker . Cela signifie que les entreprises doivent s’assurer qu’elles suivent les définitions des régulateurs des éléments de la loi, comme la « divulgation » et le « consentement », et non leur propre interprétation de ces termes.

Selon Enforcement Tracker, les trois plus grosses amendes comprennent 746 millions d’euros (environ 790 millions de dollars) contre Amazon Europe Core S.à.rl par des responsables luxembourgeois en juillet 2021, ainsi que deux grosses amendes contre Meta en 2022. En septembre 2022, l’Irlande La Commission de protection des données a infligé à Meta Platforms Inc. une amende de 405 millions d’euros (environ 430 millions de dollars) et, en novembre 2022, elle a infligé à Meta Platforms Ireland Ltd. une amende de 265 millions d’euros (environ 280 millions de dollars). Les mêmes noms dominent la liste des amendes les plus élevées, Amazon, Meta (y compris Facebook et WhatsApp) et Google recevant huit des 10 amendes les plus importantes.

La décision de novembre contre Meta concerne une violation de données d’environ 533 millions d’informations personnelles d’utilisateurs de Facebook, y compris des adresses e-mail et des numéros de téléphone. En plus de payer l’amende, Facebook doit prendre des mesures pour améliorer la sécurité des données des utilisateurs et empêcher de nouveaux grattages de données. La décision de septembre contre Meta a déclaré qu’Instagram enfreignait les directives du GDPR pour les données des enfants, qui font l’objet de protections spécifiques. Instagram permettait aux enfants âgés de 13 à 17 ans de partager des adresses e-mail et des numéros de téléphone sur des comptes professionnels. Il a également rendu publics les comptes des adolescents par défaut. Meta fait appel de la décision.

« Une grande partie de [de nombreuses] réglementations concerne la manière dont vous recueillez le consentement et dont vous informez le consommateur de manière claire, transparente et évidente [sur] ce que vous collectez », a déclaré Chris Slovak, co-fondateur et PDG de Challenger. Interactif.

Alors que la responsabilité des géants de la technologie évolue lentement, l’attitude générale à l’égard de la confidentialité des données évolue. Le consommateur moyen est devenu plus conscient de la manière dont les entreprises collectent leurs informations, et les préoccupations en matière de confidentialité sont devenues au cœur des conversations sur la technologie. Cependant, même les entreprises qui ne se considèrent pas comme des entreprises technologiques doivent évaluer leurs pratiques en matière de données clients et s’assurer que la gestion de leurs données est sécurisée.

Le RGPD n’était que le « catalyseur » d’un raz-de-marée de lois mondiales sur la protection des données, a déclaré Slovak, et les entreprises devraient surveiller des développements similaires dans le monde.

Par exemple, la Californie, la Virginie, l’Utah, le Colorado et le Connecticut mettent en place de nouvelles lois sur la confidentialité des données ou mettent à jour les lois existantes. D’autres pays, comme la Corée du Sud et la Chine, adoptent également de nouvelles réglementations sur la sécurité des données.

Selon le cabinet d’avocats Thompson Hine , les lois et réglementations à venir sur la protection des données aux États-Unis mettent l’accent sur les droits de retrait des consommateurs et la préférence en matière de confidentialité . Pour se conformer, les entreprises en ligne doivent s’assurer que leurs sites Web offrent aux clients un moyen clair et approuvé de refuser le partage ou la vente de leurs informations personnelles. Cela pourrait signifier un lien « ne pas vendre ni partager mes informations personnelles » et/ou un lien « limiter l’utilisation de mes informations personnelles sensibles ».

Ce ne sont là que quelques exemples de lignes directrices à venir conçues pour offrir aux consommateurs plus de transparence et de contrôle. En 2023, vous pouvez vous attendre à de nombreuses autres directives concernant la communication avec les clients concernant leurs droits à la confidentialité des données.

« Ce n’est pas isolé pour les citoyens de l’UE et la Californie », a déclaré Slovak. « C’est une tendance qui va balayer le monde. Prenez de l’avance en investissant dans les flux de données dont vous disposez aujourd’hui.

Conseils pour la conformité au RGPD et à la protection des données

La conformité à une loi globale telle que le RGPD peut sembler impossible, mais si vous y allez pas à pas, votre entreprise sera bientôt sur la voie de la conformité. Pour rester motivé, n’oubliez pas que la conformité totale n’a pas à être l’objectif ; même montrer un effort pourrait suffire à tenir les régulateurs à distance.

« Les entreprises qui ont été sur une voie et ont travaillé avec les régulateurs … ont vu des affaires fermées contre elles ou leurs amendes ont été réduites », a déclaré Kagan. « Vous avez besoin d’un plan. Effectuez une évaluation des risques, identifiez les éléments les plus risqués de votre traitement et commencez à les résoudre. Soyez sur un chemin.

Suivez ces conseils pour commencer :

  • Ne pas paniquer. Les lois sur la protection des données sont complexes et étendues. Cela peut être écrasant pour les entreprises, en particulier les petites et moyennes entreprises, à gérer. Cependant, il est important de décomposer le processus en éléments gérables afin que vous puissiez accomplir une petite tâche à la fois. Considérez-le comme un mouvement vers la conformité, plutôt que de le rayer de la liste d’un seul coup.
  • Procéder à une évaluation des risques. Un bon point de départ, selon Kagan, consiste à effectuer une évaluation des risques. Utilisez cette évaluation pour identifier les principaux domaines de risque pour votre entreprise où vous pourriez enfreindre les règles ou être vulnérable à une violation de données.
  • Commencez par les composants les plus risqués. Une fois que vous avez une compréhension complète des profils de risque de chaque élément de votre opération de collecte de données, vous pouvez déterminer les parties à traiter en premier. Commencez toujours par les éléments les plus risqués de votre entreprise. Par exemple, si votre sécurité fait défaut, renforcez vos défenses pour parer aux violations de données. Si vous n’obtenez pas le consentement des consommateurs pour collecter et utiliser leurs données, mettez en place une méthode pour obtenir ce consentement. Travailler avec un consultant en conformité GDPR peut vous aider à mieux comprendre les risques.
  • Comprenez les données et pourquoi vous les collectez. Un élément important du RGPD et de la législation sur la confidentialité des données aux États-Unis est que les entreprises doivent avoir une image complète des données qu’elles collectent et pourquoi elles les collectent. Sur demande, les consommateurs doivent recevoir une copie de leurs données et les entreprises doivent pouvoir les modifier ou les supprimer. Il est impératif que votre entreprise comprenne quelles données elle collecte, comment elles sont stockées, où elles sont partagées et pourquoi elles sont utilisées. Le fait de ne pas développer une compréhension complète rend la conformité aux lois sur la protection des données pratiquement impossible.
  • Établir un programme de gouvernance formel. Une fois que vous avez développé un processus interne pour vous conformer (ou au moins travailler à la conformité) aux lois sur la protection des données, l’établissement d’un programme de gouvernance formel vous aide à démontrer ces efforts aux régulateurs. Un programme de gouvernance formel peut structurer précisément la manière dont les données sont capturées, stockées, partagées et utilisées. Ceci est particulièrement important pour les grandes entreprises, a déclaré Kagan, mais les petites et moyennes entreprises pourraient également bénéficier de la formalisation de leur gouvernance des données. Cela pourrait inclure la nomination d’un délégué à la protection des données pour superviser la collecte et le traitement quotidiens des données afin de s’assurer qu’elles sont conformes aux règles du RGPD.

La conformité au RGPD, au CCPA et à d’autres législations sur la confidentialité des données est un processus continu. Bien que chaque mesure législative adoptée ou proposée ait des exigences différentes, les objectifs fondamentaux sont les mêmes. De la bonne gestion du traitement des données personnelles à la prévention d’une violation, les entreprises sont censées faire beaucoup. Cela signifie que vous pouvez commencer à travailler vers la conformité sans connaître tous les détails ou sans avoir toutes les clarifications des régulateurs, a déclaré Kagan.

« Il n’est pas trop tard pour se conformer », a-t-elle déclaré. « Ne tenez pas compte du fait que votre évier est plein de vaisselle. Ne l’évitez pas et remettez-le à demain – commencez simplement.

En mettant en œuvre et en suivant les meilleures pratiques, vous pouvez réduire votre risque d’enfreindre les lois sur la confidentialité des données et, dans le pire des cas, démontrer aux régulateurs que vous avez fait un effort de bonne foi pour protéger les données des consommateurs. Au-delà de la conformité, il existe des raisons commerciales impérieuses pour adhérer aux meilleures pratiques énoncées dans les réglementations sur la protection des données, a déclaré Slovak.

« Si vous le faites correctement, vous obtenez la vérifiabilité et la transparence », a-t-il déclaré. « Vous pouvez dire à vos clients quelles données vous avez et où vous les envoyez. Si vous le faites correctement, vous aurez de meilleures conversations avec vos clients parce que vous comprenez mieux ce qu’ils veulent au moment où vous leur parlez.

La protection de la confidentialité des données des consommateurs est une bonne décision commerciale et vous aide à créer une marque de confiance, a-t-il ajouté. La préparation au RGPD est un bon moyen de commencer à donner la priorité à la protection des données des consommateurs.

« En fin de compte, les données sont quelque chose qui vous est confié », a déclaré Slovak. « Un consommateur vous confie des informations sur lui-même afin que vous puissiez créer de meilleures expériences et services pour lui. C’est l’occasion de réévaluer la façon dont vous traitez vos clients et prospects. Cela nécessite une façon différente de penser et un investissement dans les données et les outils pour gérer les données elles-mêmes.

Pour garder une longueur d’avance sur la courbe réglementaire et commencer à établir de meilleures relations avec vos clients, vous pouvez commencer par investir dans votre infrastructure de données et votre gouvernance.

Cailin Potami a contribué à la rédaction et au reportage de cet article. Certaines interviews de sources ont été menées pour une version précédente de cet article.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *