L'augmentation rapide de la collecte de données a été facile à ignorer pour de nombreuses personnes. Tant que nos applications fonctionnent bien et que nos colis sont livrés à temps, nous ne nous préoccupons guère de ce qui rend tout cela possible.
Cette ignorance béate a été ébranlée ces dernières années par l'augmentation des violations de données. violations de donnéesde données, de scandales et de révélations de mauvaises pratiques commerciales. En conséquence, les consommateurs sont de plus en plus conscients de la manière dont leurs données sont collectées, utilisées, partagées, vendues et, souvent, mal traitées.
De même, les gouvernements font ce qu'ils peuvent pour protéger les données des utilisateurs, leur donner plus de contrôle et tenir les entreprises pour responsables.
Il incombe désormais aux entreprises de cultiver une culture de la transparence et du respect des données de leurs consommateurs.
Pour cet article, nous avons posé à plusieurs experts de la protection des données quelques questions sur l'essor de la collecte de données, son impact sur le monde et les réglementations, et sur la manière dont les entreprises et les gouvernements devraient se comporter à l'avenir.
Nos interlocuteurs :
 Dr Frank Schemmel, CIPM, CIPP/E, CIPP/US |
 Petruta Pirvan, CIPM, CIPP/E, CIPP/US |
 Cristina Costache, CIPP/E, CIPM, CIPT, FIP |
 Derek A. Lackey, CIPM |
 Tim Clements |
 Jeff Jockisch, CIPP/US |
L'essor du Big Data
La dernière décennie a été marquée par une augmentation sans précédent de la collecte, de l'utilisation et de la vente de données, entre autres.
En avril 2022, il y avait cinq milliards d'internautes dans le mondesoit une proportion stupéfiante de 63 % de la population mondiale. Mais la collecte de données ne provient pas seulement des utilisateurs qui se connectent à un site web ici et là.
Avec l'essor des objets "intelligents", les entreprises n'ont jamais disposé d'un tel trésor d'informations sur les utilisateurs. De nos jours, des données sont collectées dans tout ce que nous faisons, tant que nous restons connectés à l'internet.
Environ 29 milliards d'appareils connectés ont été prévus pour 2022, l'internet des objets (IoT) - les objets de la vie quotidienne connectés à l'internet - représentant environ 18 milliards. Ce chiffre devrait atteindre 38,6 milliards dans le monde d'ici 2025.
Notre connexion à ces appareils génère 2,5 quintillions d'octets de données générés quotidiennement, nos actions étant constamment enregistrées, analysées et monétisées.
L'âge d'or de la collecte de données
Pendant un certain temps, les entreprises ont eu carte blanche en ce qui concerne les données des utilisateurs. Elles pouvaient collecter des données et les utiliser à leur guise sans trop de contrôle.
Tout était nouveau et brillant, et la seule chose que les consommateurs savaient, c'est que leur vie était facilitée. Les données étaient un mot utilisé par les professionnels de la technologie ; elles n'étaient guère présentes dans l'esprit du commun des mortels.
Au fur et à mesure que la technologie s'est développée et que nous sommes devenus plus connectés, les entreprises ont commencé à prendre conscience de l'importance de comprendre le client et de créer des expériences personnalisées.
C'est ainsi qu'ils ont commencé à s'emparer des données, sans entrave et avec ou sans le consentement des utilisateurs.
Par exemple, ils ont commencé à considérer les actions des clients, comme le fait de cliquer sur un lien, de télécharger un coupon ou d'effectuer un achat en ligne, comme des indicateurs du succès futur des ventes. Les spécialistes du marketing peuvent désormais savoir combien de personnes ont cliqué sur leurs publicités, combien de temps elles ont passé à regarder leurs produits, où elles étaient allées auparavant et si elles sont revenues.
Les données sont bonnes pour les affaires, et elles sont là pour rester.
Le Big Data prend son envol
Le nombre de points de données que les entreprises pouvaient collecter sur un seul client s'étant multiplié, les spécialistes du marketing ont commencé à qualifier cet ensemble de données massives de "Big Data", qui peuvent être analysées pour révéler des schémas, des tendances et des associations.
Comme on pouvait s'y attendre, cela a conduit à la création de nombreuses entreprises pour aider les entreprises à collecter et à analyser les données et à construire des modèles pour prédire les comportements futurs. Finalement, ces entreprises ont commencé à incorporer des algorithmes d'apprentissage automatique dans le processus, créant des graphiques prédictifs substantiels que les spécialistes du marketing utilisent pour déterminer le comportement des clients et personnaliser le marketing d'une manière qui n'était pas possible auparavant.
L'introduction de technologies intelligentes dans les produits physiques, qui ont permis aux entreprises de collecter des types d'informations entièrement nouveaux, tels que la localisation et le comportement de l'utilisateur, a également contribué de manière significative à l'essor du big data. La personnalisation qui en découle est aujourd'hui au cœur de l'expérience produit.
Mais l'explosion des données a également engendré des coûts importants. Si les nouveaux flux de données ont permis de relever toutes sortes de défis modernes, ils présentent également d'énormes possibilités d'utilisation abusive et de mauvais acteurs.
Augmentation des attaques contre les données
La croissance exponentielle des données a entraîné une augmentation significative des conséquences négatives pour les utilisateurs de l'internet. En fait, une récente étude de étude de l'université du Maryland a révélé qu'en moyenne, toutes les 39 secondes, les ordinateurs connectés à l'internet font l'objet d'un piratage.
Par exemple, le fournisseur européen de lentilles de contact en ligne Vision Direct a révélé une violation de données au cours de laquelle des cybercriminels ont accédé à l'intégralité des données des cartes de crédit de quelque 6 600 clients. En l'espace de cinq jours, un pirate informatique a eu accès aux numéros de cartes, aux dates d'expiration et aux numéros CVV !
Vision Direct affirme avoir pris de nombreuses mesures pour éviter que cela ne se reproduise. Mais ce n'est qu'un exemple parmi les nombreuses violations de données qui se sont produites ces dernières années.
Cette augmentation des attaques montre à quel point les données que nous partageons sont vulnérables et a poussé de nombreux consommateurs à mettre fin à leurs relations avec les entreprises à cause des données.
Nous avons interrogé les experts :
Quel est l'impact le plus important de l'essor de la collecte et de l'utilisation des données sur notre monde moderne ?
Dr Frank Schemmel, CIPM, CIPP/E, CIPP/US
Qu'en dehors des gouvernements et des institutions publiques, une poignée d'entreprises technologiques déterminent les finalités et les moyens du traitement mondial des données et défendent leur hégémonie oligopolistique par tous les moyens.
Petruta Pirvan, CIPM, CIPP/E, CIPP/US
L'impact le plus important est le manque de contrôle sur les données personnelles et les affaires privées. Nous vivons dans une culture numérique, l'ère de la mesure de masse. La culture de la collecte de masse altère la qualité des données. Il n'est même plus important de savoir si les données que nous collectons sont utiles ou non. Des stocks de données sont constitués au cas où.
Cette vision des données renverse le concept classique de protection des données et de la vie privée. Dans ce contexte, comment pouvons-nous nous assurer que l'individu conserve la seigneurie de lui-même ("la seigneurie de soi-meme" en français), comme l'a joliment dit Goethe en parlant de l'homme volontaire.
Derek A. Lackey, CIPM
Je dois dire que le scandale Cambridge Analytica/Facebook "vague II". ... . . . Ce [scandale] a réveillé une partie du public concernant ses propres informations personnelles et ce qui pouvait en être fait. Jusque-là, nous considérions les données comme un filet d'eau par-ci, un filet d'eau par-là, sans réaliser ce que des programmeurs informatiques intelligents et des personnages comme Aleksandr Kogan pouvaient faire s'ils rassemblaient tout cela et l'utilisaient pour manipuler les personnes concernées !
Cette histoire a mijoté et est arrivée à une lente ébullition pendant quatre ans, jusqu'à ce que Christopher Wylie tire la sonnette d'alarme et décrive en détail le fonctionnement du système.
Cristina Costache, CIPP/E, CIPM, CIPT, FIP
Du point de vue de la protection de la vie privée, la question devient immensément compliquée et plus importante chaque jour. Plus nous sommes avancés sur le plan technologique, plus nous diffusons de données dans l'éther, plus celles-ci peuvent être utilisées pour nous nuire ou nuire à autrui.
L'essor du big data peut apporter à la fois des avantages et des inconvénients. Il nous appartient, en tant que professionnels de la protection de la vie privée, d'établir une distinction claire et d'évaluer si les avantages sont justifiés par l'acceptation des risques de dommages éventuels, ainsi que d'élaborer et de mettre en œuvre des contrôles afin de réduire autant que possible les dommages éventuels.
Jeff Jockisch, CIPP/US
L'impact le plus important que la collecte de données a eu sur notre monde moderne a été de faire basculer nos inquiétudes concernant Big Brother vers Big Tech. Nos plus grands auteurs de science-fiction n'ont pas imaginé la montée du capitalisme de surveillance.
Les gouvernements tentent de résoudre nos problèmes de protection de la vie privée, de violation des données et d'identité. Mais ils s'exemptent généralement des réglementations qu'ils promulguent, en partie parce que trop de protection de la vie privée les empêche de gouverner, de mener des campagnes politiques, de satisfaire les forces de l'ordre avec des pouvoirs de surveillance.
Pourtant, les lois sur la protection de la vie privée en vigueur aujourd'hui n'ont pas modifié de manière significative la collecte des données. Les courtiers en données sont omniprésents. Les grandes entreprises technologiques n'ont pas beaucoup changé. La machine publicitaire tourne à plein régime. Et le capital-risque continue de financer des entreprises basées sur des modèles commerciaux qui portent atteinte à la vie privée.
L'essor de la protection des données
Avec le temps et l'omniprésence de la technologie, les gens - et les gouvernements - sont devenus plus conscients des risques qui accompagnent les commodités apportées par le big data. Cette prise de conscience a conduit à une demande de protection accrue des données et à une plus grande responsabilisation des entreprises quant à la manière dont elles traitent les données des utilisateurs.
Actuellement, les statistiques sur la confidentialité des données montrent que 75 % des Américains pensent qu'il devrait y avoir plus de réglementation pour protéger leur vie privée.
Si les préoccupations relatives à la protection de la vie privée et les tentatives de réglementation dans ce domaine ne datent pas d'hier, ce n'est qu'avec l'essor de la technologie Internet que les gouvernements ont dû élaborer une législation complexe pour protéger les données et le droit à la vie privée de leurs citoyens.
Nous avons interrogé les experts :
Qu'est-ce qui est à l'origine de l'augmentation de la réglementation en matière de protection de la vie privée dans le monde ?
Tim Clements
Ces dernières années, les nouvelles lois et réglementations relatives à la protection des données et de la vie privée se sont multipliées, de même que les modifications apportées aux lois et réglementations existantes. Bien que beaucoup considèrent le RGPD comme l'élément déclencheur, nous ne devons pas oublier que la Convention 108 est le seul accord international juridiquement contraignant en matière de droit de la protection des données. La Convention 108 a été ouverte à la signature pour la première fois le 28 janvier 1981 par le Conseil de l'Europe, un organisme totalement distinct de l'UE.
Les lois sur la protection des données et de la vie privée dans le monde ont des origines différentes. En Europe, il faut remonter aux années 1930 en Allemagne pour comprendre leur origine qui, associée à l'avènement des technologies de traitement automatisé et aux révélations sur la surveillance mondiale, a déclenché les premières lois sur la protection des données en Europe au début des années 1970.
Aux États-Unis, à la fin des années 60 et au début des années 70, les inquiétudes suscitées par les écoutes et la surveillance rendues possibles par la technologie, ainsi que par les volumes considérables de données sur les citoyens traitées par le gouvernement et les entreprises privées, ont conduit à l'adoption de lois sur la protection de la vie privée au début des années 70.
Au cours des 50 dernières années, la technologie est devenue un aspect essentiel de la vie de nombreuses personnes, entraînant directement ou indirectement des conséquences qui ne sont pas toujours favorables à l'individu. Aujourd'hui, les technologies de traitement se trouvent dans les poches des gens, à leur poignet, intégrées dans leur corps et la surveillance est un fait acquis dans de nombreuses sociétés.
Les législateurs ne cessent de rattraper leur retard, mais avec l'émergence rapide de nouvelles technologies et la volonté des entreprises de les adopter pour stimuler la croissance, réduire les inefficacités, etc.
Dr Frank Schemmel, CIPM, CIPP/E, CIPP/US
La Convention pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ("Convention 108") du Conseil de l'Europe est le premier instrument international juridiquement contraignant dans le domaine de la protection des données. Elle a été adoptée en 1981. Elle a inspiré de nombreuses réglementations internationales importantes en matière de protection de la vie privée, telles que le RGPD.
Petruta Pirvan, CIPM, CIPP/E, CIPP/US
Au lendemain de la deuxième guerre mondiale, qui a laissé l'Europe en ruines, une ancienne idée du président américain Woodrow Wilson, celle d'un organisme mondial chargé de garantir la paix, a été reprise et les Nations unies ont été créées. La Charte des Nations unies affirme dans son article 12 que l'atteinte à la vie privée constitue une violation des droits de l'homme. Parallèlement, dans l'Allemagne de l'Ouest des années 1960, on a beaucoup réfléchi aux atteintes à la vie privée commises par la Gestapo pendant la Seconde Guerre mondiale et aux atteintes à la vie privée commises par la Stasi à l'époque en Allemagne de l'Est.
L'État allemand de Hesse a été le premier à inclure la protection de la vie privée dans sa constitution en 1970. Il a été suivi par la Suède en 1976 et par la France en 1978. Au niveau de l'Union européenne, la directive communautaire de 1995 a permis d'harmoniser la législation, juste à temps pour maîtriser la plus grande invention des années 1990 : le World Wide Web et l'émergence du commerce numérique. Le commerce numérique a déclenché l'ère de la mondialisation et la protection de la vie privée est devenue un enjeu mondial. Entre-temps, la directive de 1995 a été remplacée par le RGPD et les pays du monde entier ont été confrontés au dilemme de la protection des données personnelles. Le RGPD est devenu la norme d'or imitée par de nombreuses juridictions en dehors de l'Union européenne.
Derek A. Lackey, CIPM
Il ne fait aucun doute que c'est l'UE qui a transformé la directive générale sur la protection des données en règlement général sur la protection des données. La structure de mise en œuvre a joué un rôle important. Il était clair que les entreprises faisaient ce que la technologie leur permettait de faire, sans se poser la question de savoir si elles devaient le faire. Dans ce monde de rapports trimestriels pour les actionnaires, de rémunérations en hausse vertigineuse pour les dirigeants et de soif de profits toujours plus importants, même au prix de l'éthique, on ne pouvait pas faire confiance au monde des affaires pour s'autoréguler. Il fallait faire quelque chose. Je pense que l'histoire montrera que l'application rigoureuse du RGPD a marqué un tournant dans le monde de la protection des données.
Cristina Costache, CIPP/E, CIPM, CIPT, FIP
Certains l'appellent l'effet Bruxelles. Je pense que le RGPD a été l'élément déclencheur de cette augmentation des réglementations en matière de protection de la vie privée, de leur application et de la sensibilisation du public à la protection et à la valeur de leurs données. Bien sûr, l'utilisation abusive des données personnelles et les préjudices que cette utilisation abusive peut produire sont également un facteur. Nous connaissons tous l'affaire Cambridge Analytica et d'autres cas similaires dans lesquels les données ont été utilisées pour cibler et influencer. À chaque fois, la prise de conscience s'accroît, les citoyens agissent (il est fortement recommandé de lire le document Stop LAPD Spaying Coalition à l' adresse https://stoplapdspying.org/) et les gouvernements s'efforcent d'élaborer une législation susceptible d'empêcher que de tels événements ne se reproduisent à l'avenir.
Le RGPD et d'autres lois strictes sur la confidentialité des données
Au fur et à mesure de la prise de conscience des mauvaises pratiques en matière de données, les gouvernements ont réalisé qu'ils devaient intervenir pour protéger leurs citoyens. L'Union européenne a pris les devants en adoptant la loi sur la protection des données la plus complète et la plus imitée à ce jour : le RGPD.
Le RGPD est la loi la plus stricte au monde en matière de confidentialité et de sécurité des données. Il s'applique à tout traitement de données à caractère personnel lorsque le sous-traitant ou la personne concernée est basé dans l'UE ou lorsque le traitement a lieu physiquement dans un pays de l'UE.
En vertu du RGPD, les consommateurs doivent donner leur consentement à la collecte de leurs données, ce qui signifie que les entreprises ne peuvent plus dissimuler leurs pratiques en matière de collecte de données ou les rendre difficiles à comprendre ; elles doivent être facilement compréhensibles par tous les consommateurs.
Le RGPD exige également que les entreprises donnent à leurs utilisateurs le droit d'accéder à leurs données, le droit de prendre ces données et de les utiliser ailleurs, et le droit des consommateurs de demander que leurs données personnelles soient complètement supprimées de leurs dossiers.
Impact mondial
Le RGPD ne s'applique pas seulement aux entreprises basées dans l'UE ; l'UE a promis d'imposer des sanctions si une marque enfreint le RGPD lorsqu'elle traite les données des citoyens de l'UE, quel que soit son lieu d'implantation.
Depuis son entrée en vigueur, le RGPD a eu un effet domino et de nombreux autres pays s'en sont inspirés pour élaborer leurs propres règles en matière de protection des données. À l'heure actuelle, 69 % des pays du monde ont adopté le RGPD, 69 % des pays du monde disposent d'une législation sur la protection des données et de la vie privée, et 10 % ont des projets de loi.
Aux États-Unis, la Californie a été le premier État à adopter une législation complète sur la confidentialité des données. Le California Consumer Privacy Act(CCPA) est entré en vigueur en 2020, et le California Privacy Rights Act (CPRA) entrera en vigueur au début de l'année 2023.
Le Canada, le Brésil, l'Australie, le Chili, le Nigeria et l'Islande sont également dotés de lois strictes en matière de confidentialité des données, et le nombre de pays augmente chaque année.
L'Islande a d'ailleurs été qualifiée de "Suisse des données". surnommée la "Suisse des données" pour ses lois strictes en matière de protection des données. en raison de ses lois strictes en matière de protection des données. La loi sur la protection des données (2000) stipule que les données ne peuvent être collectées qu'à des fins spécifiques et uniquement avec le consentement clair et éclairé de la personne concernée. Le non-respect de cette loi est passible d'amendes ou d'une peine d'emprisonnement pouvant aller jusqu'à trois ans.
Entre janvier 2021 et janvier 2022, près d'un milliard d'euros d'amendes seront infligées. 1,1 milliard d'euros d'amendes ont été imposées pour des violations du RGPD, soit une augmentation annuelle de 594 %. Des politiques et des pratiques robustes en matière de protection des données aident les entreprises à éviter des poursuites aussi coûteuses, c'est pourquoi beaucoup mettent à jour leurs politiques de confidentialité pour se conformer aux lois sur la protection des données, regagner la confiance de leurs clients et leur montrer exactement comment leurs données sont utilisées.
Nous avons interrogé les experts :
Les gouvernements en font-ils assez pour protéger les données publiques ?
Petruta Pirvan, CIPM, CIPP/E, CIPP/US
Non, sinon les actions entreprises par des activistes tels que Johnny Ryan ou noyb ne seraient pas nécessaires. Il y a quelques mois, le célèbre magazine Wired a publié un article intitulé "How RGPD Is Failing" (Comment RGPD échoue). Le fait est que le régulateur irlandais de la protection des données, qui est le principal responsable de l'application du RGPD, trébuche souvent dans l'application de la règle de droit, suscitant l'indignation de ses homologues dans les autres États membres. D'autre part, d'autres régulateurs de données sont encore en train de mûrir dans l'interprétation et l'application du RGPD et le manque de compréhension de leur personnel des principes fondamentaux de la protection des données est malheureusement visible pour les personnes concernées et exploitable par les entreprises de Big Tech armées de toutes les infrastructures pour retarder ou diminuer l'applicabilité de la loi.
Derek A. Lackey, CIPM
Non. À quelques exceptions près. Surveillez le Québec. Avec l'adoption récente du projet de loi 64 modifiant la loi sur la protection des renseignements personnels dans le secteur privé (PPIPS) et dotant la Commission d'accès à l'information (CAI) de solides pouvoirs d'exécution, je pense que nous verrons comment les données des citoyens peuvent être protégées avec la bonne volonté politique. D'ici septembre 2023, la quasi-totalité de cette loi entrera en vigueur et je pense que la CAI nous montrera à quoi ressemble une véritable mise en application. Leur loi est encore plus stricte que le RGPD à certains égards (par exemple, il n'y a pas d'"intérêt légitime" dans le PPIPS. Il n'y a que le consentement ou le contrat, à quelques exceptions près. Dans l'UE, la plupart des transactions sont effectuées sur la base légale de l'intérêt légitime, mais le Québec n'a pas tenu compte de cet aspect) et les pouvoirs d'exécution. Ils ont également, par défaut, rendu la plus haute autorité de l'entreprise responsable de toutes les informations personnelles détenues par cette entreprise. Je pense qu'ils ont compris que, dans l'UE, la suite C n'est souvent pas engagée dans la protection de la vie privée et des données. La clause de la "plus haute autorité" du Québec, correctement appliquée, changera rapidement la donne.
La plupart des gouvernements ont peur de contrarier leur source de financement - les entreprises. La plupart d'entre eux ont adhéré à cette idée folle selon laquelle l'application de la protection des données étoufferait l'innovation. C'est insensé. Il ne s'agit pas d'un jeu à somme nulle. Comme le changement crée un terrain fertile pour l'innovation, le fait de devoir modifier les pratiques en matière de données entraînerait probablement encore plus d'innovation - et ne l'étoufferait pas !
Dr Frank Schemmel, CIPM, CIPP/E, CIPP/US
Il existe toujours une marge de manœuvre pour l'amélioration. Par exemple, les gouvernements devraient fournir aux régulateurs des ressources suffisantes (en particulier, un budget pour embaucher du personnel qualifié) pour leur permettre d'assurer la formation nécessaire et une application efficace. Des ressources suffisantes, c'est ce qui manque à ce jour à la plupart des régulateurs de la protection de la vie privée.
Cristina Costache, CIPP/E, CIPM, CIPT, FIP
Quels gouvernements ? Il convient de faire une distinction. Alors que certains pays ont pris à cœur l'application du RGPD et infligent des amendes aux organismes gouvernementaux pour non-conformité et produisent des DPIA extrêmement complètes sur l'utilisation de certains services basés sur le cloud, d'autres pays ne font rien ou aussi peu que possible dans le domaine de la conformité au RGPD par les organismes publics.
Nous enseignons à nos enfants la valeur de l'exemple. Malheureusement, nous voyons des agences gouvernementales se voir infliger des amendes pour non-conformité au RGPD et nous constatons que des principes de base ne sont pas respectés, comme l'absence de mesures de sécurité suffisantes ou la non-désignation d'un DPD.
Non, le gouvernement n'en fait pas assez lorsqu'il s'agit de faire respecter la loi par les organismes publics. Nous avons tendance à oublier que les organismes publics détiennent une quantité massive de données sur leurs citoyens lorsque nous nous concentrons sur le secteur privé.
La demande de réglementation sur la protection de la vie privée a-t-elle toujours existé ?
Il y a toujours eu des personnes qui ont soulevé la question de la confidentialité des données.
Par exemple, dans les années 1990, les défenseurs de la vie privée ont exprimé leurs inquiétudes au sujet de Lotus Marketplace, un programme de base de données développé conjointement par Lotus Development Corporation (le développeur du logiciel) et Equifax (le fournisseur d'informations). Ce programme était censé contenir des informations privées sur 120 millions de personnes et 80 millions de ménages aux États-Unis. Plus de 30 000 personnes ont contacté Lotus pour pour se retirer de la base de donnéesDes protestations massives et des menaces de poursuites judiciaires ont eu lieu, invoquant l'atteinte à la vie privée.
Mais les gouvernements - et les citoyens - sont confrontés à des défis nouveaux et plus complexes dans le monde d'aujourd'hui. Avec les technologies modernes, ce ne sont plus seulement quelques entreprises dans quelques secteurs qui collectent et traitent des données, mais toutes les entreprises dans tous les secteurs.
Si, par le passé, les gouvernements ont dû faire face à des problèmes de protection de la vie privée dans des domaines spécifiques, leur tâche actuelle est beaucoup plus complexe. En raison de l'interconnectivité de notre monde, les citoyens attendent d'eux qu'ils créent des solutions qui réglementent presque toutes les entreprises dans toutes les parties du monde.
Bien qu'ils soient parfois perdus dans la mêlée avec l'accent mis sur les entreprises privées, les gouvernements doivent également se responsabiliser et responsabiliser les autres acteurs étatiques sur la manière dont ils traitent les données.
Nous avons interrogé les experts :
Comment le monde était-il différent avant la réglementation sur la protection de la vie privée ?
Dr Frank Schemmel, CIPM, CIPP/E, CIPP/US
Avant l'entrée en vigueur de réglementations complètes en matière de protection des données, les États et leurs représentants (agences gouvernementales et institutions publiques) avaient la haute main sur le traitement des données personnelles des citoyens, et il s'agissait souvent d'un acte arbitraire. Avec l'apparition de normes internationales cohérentes en matière de protection de la vie privée, les personnes concernées ont retrouvé une partie de leur pouvoir de disposition.
Petruta Pirvan, CIPM, CIPP/E, CIPP/US
Le monde serait beaucoup plus sombre sans les lois sur la protection des données. Le droit à la protection des données fonctionne comme une protection globale des autres droits fondamentaux. Ayant moi-même grandi sous un régime communiste, j'ai vu et vécu la peur des gens de s'exprimer, pensant que leurs propres options politiques, leurs croyances religieuses ou leurs opinions philosophiques les mettraient, eux et leur famille, en grand danger de persécution de la part du gouvernement. Par conséquent, pour reprendre mon idée, nous jouissons de la liberté d'expression, de la liberté d'opinion, de la liberté de religion, du droit à l'égalité de traitement indépendamment de notre appartenance ethnique, etc. en raison de notre droit à la vie privée.
Derek A. Lackey, CIPM
Parfois, l'ignorance est une bénédiction. La plupart des gens n'avaient pas conscience de la puissance des ordinateurs et de l'internet. Mais en réalité, le consommateur était impuissant face à l'utilisation de ses données personnelles. Le grand réveil de la vie privée leur rend leur pouvoir, ou du moins leur offre quelques options. Il est pratiquement impossible d'avoir une empreinte numérique nulle en 2022. La réglementation des données est une question de QUAND, et non de SI.
Cristina Costache, CIPP/E, CIPM, CIPT, FIP
Le rythme d'adoption de la législation sur la protection de la vie privée a été beaucoup plus lent, de même que l'activité d'application de la législation.
Du point de vue de mon entreprise, par exemple, nous opérons dans plus de 60 pays. Au cours de l'année écoulée, 12 de ces pays ont adopté une nouvelle législation sur la protection de la vie privée ou renforcé la législation existante, et 28 autres pays disposent d'une législation sur la protection de la vie privée ou d'amendements à l'état de projet qui devraient être adoptés dans les 12 à 24 mois à venir.
Nous pouvons également examiner l'activité d'application : avant le RGPD , nous n'avions pas vu d'amendes supérieures à 100 millions d'euros au niveau européen, sauf dans le contexte de la lutte contre les ententes et les abus de position dominante. Aujourd'hui, il semble que les amendes de plus de 50 millions d'euros soient quelque chose d'ordinaire et nous ne retenons pas notre souffle lorsque nous voyons ce genre de nouvelles. Ce qui est nouveau, c'est l'incrimination pour violation de la législation sur la protection de la vie privée. Hong Kong et les Philippines sont les premiers à appliquer de telles dispositions et nous nous attendons à ce que d'autres suivent.
La demande croissante de transparence des données
Qu'est-ce que la transparence des données ?
Le terme semble assez explicite, mais examinons d'abord la définition officielle de la transparence des données donnée par PCMag :
La transparence des données est à la fois "la capacité d'accéder facilement aux données et de travailler avec elles, quel que soit l'endroit où elles se trouvent ou l'application qui les a créées" et "l'assurance que les données communiquées sont exactes et proviennent de la source officielle".
Leur définition peut être difficile à comprendre pour les non-techniciens, alors simplifions-la.
Fondamentalement, la transparence des données est l'idée que les entreprises - et les autres entités qui les manipulent - doivent traiter les données des utilisateurs avec la plus grande intégrité. Leur traitement des données doit être légal, équitable, traçable et responsable.
En outre, les personnes concernées doivent être informées des données collectées auprès d'elles, de la manière dont elles sont collectées et des raisons pour lesquelles elles le sont, des personnes qui y ont accès, de la manière dont elles sont utilisées et de la manière dont elles peuvent y accéder - et les supprimer ou les modifier.
Pourquoi la transparence des données est-elle importante ?
La demande croissante de transparence des données émane des citoyens et, par conséquent, des gouvernements. Les citoyens - ou consommateurs - sont de plus en plus conscients de la quantité d'informations personnelles qui sont collectées, partagées et vendues. Ils découvrent de plus en plus que les entreprises ne sont pas toujours bienveillantes quant à la manière dont elles collectent les informations des utilisateurs et à la raison pour laquelle elles le font.
Cette prise de conscience a conduit les gouvernements à exiger davantage d'actions pour protéger les données et responsabiliser les entreprises.
À leur décharge, les États ont commencé à agir rapidement. L'UE a ouvert le bal avec son RGPD, ce qui a incité d'autres pays - et des États américains - à élaborer des lois pour protéger leurs propres citoyens.
Mais l'action des pouvoirs publics n'est pas la seule attente des consommateurs. Ils commencent à exiger des entreprises elles-mêmes qu'elles respectent des normes plus strictes. Les consommateurs commencent à éviter les entreprises qui ne sont pas transparentes sur leurs pratiques en matière de données.
Pour enfoncer le clou, voici quelques statistiques alarmantes concernant l'attitude des consommateurs à l'égard des entreprises et des données :
- 62 % des Américains ne croient pas qu'il soit possible de vivre au quotidien sans que des entreprises collectent des données à leur sujet. (Pew Research Center)
- 63 % des internautes estiment que la plupart des entreprises ne sont pas transparentes quant à l'utilisation de leurs données, et 48 % ont cessé de faire des achats auprès d'une entreprise en raison de préoccupations liées à la protection de la vie privée. (Tableau)
- 33 % des utilisateurs ont mis fin à leurs relations avec des entreprises à cause des données. Ils ont quitté des entreprises de médias sociaux, des fournisseurs d'accès Internet, des détaillants, des fournisseurs de cartes de crédit, des banques ou des institutions financières. (Cisco)
- Une étude de l'université du Maryland a quantifié le taux quasi-constant d'attaques de pirates informatiques sur les ordinateurs ayant un accès à l'internet : toutes les 39 secondes. (Université du Maryland)
- Plus de 120 pays ont déjà adopté des lois internationales sur la protection des données sous une forme ou une autre afin de mieux protéger leurs citoyens et leurs données. (Thales)
Comment votre entreprise peut-elle instaurer la confiance avec les consommateurs ?
Alors que les consommateurs exigent de plus en plus de transparence, les entreprises doivent commencer à évoluer sous peine d'être laissées pour compte. Il n'est pas possible de revenir à l'époque de l'aspiration effrénée des données des utilisateurs avec peu ou pas de responsabilité.
Les citoyens et les gouvernements font leur part en devenant plus conscients, en parlant avec leur portefeuille et en mettant en œuvre des réglementations. Il incombe désormais aux entreprises elles-mêmes d'encourager une nouvelle tendance de pratiques responsables en matière de données.
Comment une entreprise peut-elle y parvenir ?
Les entreprises peuvent prendre plusieurs mesures pour respecter et protéger les données des utilisateurs et garantir à leurs consommateurs qu'elles le font. Un bon point de départ est de se conformer aux sept principes de protection de la vie privée dès la conception énoncés par le RGPD.
- Principe n° 1 : Être proactif, et non réactif, en matière de protection de la vie privée
- Principe n°2 : La protection de la vie privée est la priorité dans tout ce que vous faites
- Principe n° 3 : Intégrer la protection de la vie privée dans la conception, le développement et la mise en œuvre dès le départ
- Principe n° 4 : La protection de la vie privée est une question à somme positive et non à somme nulle
- Principe n° 5 : Mesure de sécurité de bout en bout pour les données
- Principe n° 6 : Être visible et transparent
- Principe n° 7 : Se concentrer sur les utilisateurs et les respecter
Outre les sept principes ci-dessus, votre entreprise doit reconnaître que les utilisateurs sont pleinement propriétaires de leurs données. Vos consommateurs doivent être pleinement informés de tout ce que vous recueillez auprès d'eux, y avoir accès et en avoir le contrôle total.
Les changements importants dans la culture et les pratiques commerciales courantes peuvent être difficiles à gérer, et vous pouvez vous demander pourquoi vous vous donnez la peine de le faire. Outre les exigences légales croissantes, les entreprises ont une autre raison évidente de se surpasser : leur réputation.
La confiance comme facteur de différenciation concurrentielle
Si les lois sur la protection de la vie privée, comme le RGPD , ont un impact significatif sur les pratiques des entreprises en matière de données, un autre facteur entre en jeu : la concurrence.
La confiance a toujours joué un rôle dans les décisions des consommateurs, et il en va de même pour la confidentialité des données. Les entreprises qui ne mettent pas en œuvre les pratiques décrites ci-dessus et qui ne sont pas totalement transparentes avec leurs utilisateurs perdront des clients au profit de celles qui le font.
Si l'internet a eu un impact considérable sur la croissance des entreprises, il peut aussi avoir le même impact sur leur déclin. Aujourd'hui, les nouvelles vont vite et votre entreprise n'a que peu d'endroits où se cacher si la communauté Internet décide qu'elle n'est pas à la hauteur en ce qui concerne les pratiques en matière de confidentialité des données.
En conséquence, de plus en plus d'entreprises accordent la priorité aux utilisateurs et mettent en œuvre des pratiques appropriées en matière de données. Elles réduisent au minimum la quantité d'informations individuelles qu'elles doivent conserver, font preuve de transparence en ce qui concerne la collecte et l'utilisation des données, veillent à la sécurité des données et donnent aux utilisateurs un accès et un contrôle complets sur leurs données.
Posez-vous donc la question : Si votre entreprise ne fait pas de même, pourquoi vos clients vous choisiraient-ils plutôt qu'un concurrent qui le fait ?
L'avenir d'un marché où les données numériques - leur collecte, leur analyse et leur application - déterminent de plus en plus les modèles économiques repose sur la confiance des consommateurs.
En effet, 37 % des utilisateurs affirment que les entreprises qui sont transparentes en matière de données et proactives dans l'application de la confidentialité des données réduisent leurs inquiétudes.
En conséquence, les entreprises commencent à considérer la confiance comme un facteur de différenciation concurrentielle et un moyen de maximiser le retour sur investissement.
Nous avons interrogé les experts :
Quel conseil donneriez-vous à une entreprise désireuse d'instaurer un climat de confiance avec les consommateurs en ce qui concerne la confidentialité des données ?
Jeff Jockisch, CIPP/US
Les consommateurs attachent de l'importance à la protection de la vie privée. C'est un meilleur modèle pour votre entreprise et un avantage concurrentiel. Les entreprises qui prétendent le contraire n'ont généralement pas de concurrence significative.
Établir la confiance du client et se concentrer sur la collecte d'un nombre limité de données de première partie. C'est la voie la moins risquée et elle nécessite moins d'ingénierie.
Cristina Costache, CIPP/E, CIPM, CIPT, FIP
Sachez où se trouvent vos données. C'est la première étape de l'élaboration d'un programme de protection de la vie privée visant à gagner la confiance de vos consommateurs en faisant preuve de transparence, de responsabilité et d'obligation de rendre des comptes.
Pensez à l'obligation légale qu'ont les fabricants de produits alimentaires d'énumérer les ingrédients et d'autres informations pertinentes sur leurs produits. Un fabricant de produits alimentaires doit savoir ce que contiennent ses produits, n'est-ce pas ? Nous devrions avoir la même approche lorsqu'il s'agit de savoir quelles données nous possédons et où, et d'informer nos clients de ce que nous faisons de leurs données. Ils ont le droit de recevoir ces informations et de prendre une décision éclairée lorsqu'ils choisissent de partager leurs données avec une entreprise spécifique.
Petruta Pirvan, CIPM, CIPP/E, CIPP/US
Placer l'éthique dans l'interprétation et l'application de la loi au cœur de leur activité. Sinon, ils continueront à cocher des cases au détriment du consommateur qui est intelligent, connaît ses droits et cherchera toujours des alternatives pour échapper à ce qu'il ressent comme un jeu de dupes.
Dr Frank Schemmel, CIPM, CIPP/E, CIPP/US
Une approche centrée sur le consommateur, où l'intérêt du consommateur est au cœur du développement de tout service ou produit, le choix et la transparence étant les moyens les plus puissants pour gagner la confiance.
Derek A. Lackey, CIPM
Faire ce qu'il faut. Traiter les gens avec respect.
Comment Termly peut aider
Notre mission à Termly est de fournir aux entreprises les outils dont elles ont besoin pour se conformer aux lois sur la confidentialité des données. Mais notre conviction profonde est que vous devez respecter les données des utilisateurs parce que c'est la bonne chose à faire, et pas seulement parce qu'il s'agit d'une obligation légale.
Pour les entreprises
Sur Termly, nous proposons une solution de conformité complète pour votre entreprise, de la gestion des consentements aux générateurs de politiques juridiques.
Vous pouvez utiliser Termly pour :
- Obtenir le consentement approprié pour la collecte des données
- Générer une politique de confidentialité
- En outre, vous pouvez générer d'autres politiques, telles que Conditions générales, clauses de non-responsabilité, Politiques en matière de cookies, CLUFet autres.
- Et bien plus encore !
- Essayez Termly gratuitement !
Pour les agences partenaires
Termly offre aux agences une solution de conformité rationalisée qu'elles peuvent proposer à leurs clients en tant qu'argument de vente unique.
Notre programme de partenariat comprend tout ce qui est énuméré ci-dessus, avec en plus des prix de gros et des remises sur le volume, un support multi-domaines (y compris les sous-domaines) et multi-utilisateurs, un support client direct, et plus encore !
Nous travaillons avec de nombreuses agences dans divers secteurs et pouvons répondre à tous vos besoins en matière de conformité.
Nos ressources
En plus de notre logiciel de conformité, nous offrons une grande variété de ressources à tous les visiteurs, et pas seulement à nos clients. Notre page de ressources comprend divers modèles de politiques juridiques, des articles éducatifs, des guides pratiques, un dictionnaire juridique, et bien plus encore !
David Reynier, PDG @ Termly
Nous voulons fournir des outils et des ressources pour le respect de la vie privée et encourager les entreprises à cultiver une culture du respect de la vie privée des utilisateurs.
À emporter
À une époque où les droits à la vie privée sont de plus en plus connus et demandés, vous ne pouvez plus vous permettre de considérer la confidentialité des données comme une question secondaire. Elle devient de plus en plus un pilier de la conduite des affaires à l'ère moderne.
Les entreprises qui choisissent d'ignorer la demande des consommateurs pour plus de transparence et de responsabilité seront remplacées par celles qui ne le font pas. L'internet a révolutionné la manière dont les clients et les entreprises interagissent et a mis beaucoup plus de pouvoir entre les mains des consommateurs. Avec un tel choix d'entreprises, les utilisateurs ont rarement des raisons de s'en tenir à celles qui ne tiennent pas compte de leurs préoccupations.
En savoir plus sur l'auteur
Écrit par Masha Komnenic CIPP/E, CIPM, CIPT, FIP
Masha est spécialiste en sécurité de l'information et en protection des données, ainsi que déléguée à la protection des données certifiée. Depuis six ans, elle aide les petites et moyennes entreprises à se conformer aux réglementations et accompagne de nombreux accélérateurs internationaux en tant que mentor en conformité. Elle est spécialisée dans la mise en œuvre, le suivi et l’audit de la conformité des entreprises aux réglementations sur la protection des données (HIPAA, LPRDE, Directive ePrivacy, RGPD, CCPA, POPIA, LGPD). Masha a étudié le droit à l’Université de Belgrade et a obtenu son examen du barreau en 2016. En savoir plus sur l'auteur
