Depuis l’avènement de la législation générale de l’UE en matière de protection des données (RGPD), le monde entier a été balayé par un mouvement en faveur d’une législation sur la protection des données. Japon, Chine, Inde, États-Unis, Canada Brésil, tous les pays ayant des liens étroits avec le marché numérique mondial ont pris des mesures pour mettre leurs lois en conformité avec la nouvelle norme internationale établie par le RGPD.
La plupart des consommateurs ont adoptés la nouvelle législation comme une étape positive vers la réduction de collecte de données par les entreprises. En conséquence, cette législation met en exergue une inquiétante utilisation des données collectées, la transition vers un monde post-RPDG est une expérience plus difficile pour les entreprises.
La conformité est une question complexe à laquelle les entreprises doivent accorder une priorité immédiate afin de préserver leur réputation, la fidélité de leur clientèle, les amendes. Désormais une obligation légale, la protection des données ne peut plus être traitée comme une réflexion après coup, le RGPD doit être inscrit dans les pratiques de l’entreprise. L’objectif de cette réglementation est un changement fondamental dans la manière dont les les entreprises et les organisations collectent, traitent et utilisent les données, leurs responsabilités sont maintenant clairement établies.
Mais comment commencer de zéro ? En posant les bonnes questions, qui sont généralement les mêmes, peu importe où se trouve l’entreprise. Dans cet article, nous aborderons les cinq questions les plus élémentaires que se posent les entreprises qui démarrent:
1. Cette loi sur la protection des données s’applique-t-elle à nous?
C’est peut-être la première chose que toutes les entreprises se demandent. Que ce soit en raison de leur taille, de leur secteur ou de la quantité de données qu’ils recueillent, ils se demandent si, par hasard, le règlement ne s’applique pas à eux.
Les premiers critères d’applicabilité très généraux sont fondés sur les définitions générales du RGPD. Il ne précisent aucune limite d’applicabilité en fonction de la taille de l’entreprise, de ses revenus ou de la quantité de données qu’elle recueille ou traite. Bien que les organisations comptant moins de 250 employés soient exemptées de l’obligation d’enregistrer les activités de traitement énumérées à l’article 30, elles sont toujours tenues de signaler les violations de données et d’accorder aux personnes concernées les droits qu’elles ont obtenus grâce au RGPD, tels que le droit à l’oubli, le droit à la portabilité des données etc…
La France et son autorité de contrôle la CNIL, tiennent compte des besoins spécifiques des micro, petites et moyennes entreprises dans l’application du RGPD, à condition de démontrer la mise en place de procédures et outils permettant la mise en œuvre des droits acquis par les citoyens.
Un certain nombre de lois sur la protection des données dans le monde, comme la Lei Geral de Proteção de Dados (LGPD) du Brésil et la Loi sur la protection des renseignements personnels (APPI) du Japon, ont choisi de suivre l’exemple du GDPR.
Les entreprises doivent donc évaluer leurs réglementations nationales en matière de protection des données établir leurs degrés d’obligations à savoir, critères généraux d’applicabilité ou définitions plus spécifiques.
2. Quel type de données devons-nous protéger?
La plupart des règlements sur la protection des données considèrent les renseignements personnels identifiables (RPI) ou les données qui peuvent être utilisées pour identifier une personne, seules ou conjointement avec d’autres renseignements, comme des données sensibles qui doivent être protégées. Cela comprend les dates de naissance, les numéros de passeport, les permis de conduire, les numéros de sécurité sociale, etc…
Le GDPR, ajoute une couche supplémentaire de protection aux catégories de données, les données très sensibles qui nécessitent une attention particulière. Les données sur la santé, les renseignements sur la race, la religion, l’orientation sexuelle, les casiers judiciaires, entre autres. Il convient de noter que même en vertu de lois qui ne prévoient pas de dispositions spéciales supplémentaires pour ces types de données, celles-ci sont souvent incluses dans la définition plus large des données sensibles ou tombent sous le coup d’autres lois spécialisées en matière de protection des données comme la HIPAA et la GLBA aux États-Unis.
3. Que se passe-t-il si notre entreprise n’est pas située dans le pays? Les lois sur la protection des données s’appliquent-elles toujours à nous?
Dans le cas de la plupart des nouvelles réglementations en matière de protection des données, du GDPR à l’APPI et à la LGPD, une clause d’extraterritorialité est jointe à celles-ci. Cela signifie que, indépendamment du fait qu’une entreprise soit ou non physiquement située dans un pays, tant qu’elle collecte des données auprès de personnes concernées situées dans le pays où la réglementation sur la protection des données s’applique, elle doit s’y conformer.
4. Les données peuvent-elles encore être traitées à l’extérieur du pays?
En général, la législation sur la protection des données réglemente les transferts transfrontaliers, en les limitant à un nombre limité de pays qui offrent un niveau de protection des données comparable à celui du pays où la loi a été appliquée. Lorsqu’il s’agit du RGPD, ces décisions d’adéquation sont prises par la Commission européenne.
En l’absence d’une décision de caractère adéquat dans le pays du responsable du traitement ou du responsable du traitement, dans certains cas, les entreprises peuvent encore lui transférer les données si la personne concernée donne son consentement éclairé à l’avance. Il existe généralement aussi une voie légale par la mise en place de garanties appropriées. Des clauses contractuelles types ou des règles d’entreprise contraignantes (RCO) approuvées par l’autorité de contrôle du pays où la loi sur la protection des données est en vigueur peuvent faciliter les transferts transfrontaliers vers des pays qui ne disposent pas d’une décision adéquate.
5. Par où commençons-nous?
La conformité peut sembler une tâche écrasante, surtout au début. Beaucoup d’entreprises ne savent pas par où commencer. Une bonne première étape consiste à savoir quelles données sont collectées, comment sont-elles traitées, où sont-elles conservées, combien de temps ? Les entreprises ont besoin de cartographier leurs données afin d’élaborer des stratégies efficaces de protection.
Les entreprises peuvent ensuite évaluer leurs politiques de sécurité des données existantes. Etudier les convergences vers les exigences de conformité aux lois sur la protection des données. Evaluer quelles mesures de protection supplémentaires mettre en œuvre pour s’assurer que les données sensibles sont protégées où qu’elles se trouvent dans leur réseau.
De l’Europe à l’Asie et aux Amériques, les lois sur la protection des données sont la nouvelle norme. Vraisemblablement de plus en plus de pays les adopteront dans leur législation afin d’assurer à la fois, une équité des opérations transfrontalières, une égalité des droits concernant la protection des données. La conformité est un chemin difficile, mais les entreprises n’ont plus le choix : l’ère de la protection des données par conception et par défaut est arrivée.
