Dans ce guide, je présente certaines des violations les plus courantes de la confidentialité des données commises par les entreprises et je donne des conseils simples pour vous aider à éviter de commettre les mêmes erreurs.
Il est important que les entreprises connaissent ces informations, car elles peuvent être soumises à des lois sur la confidentialité des données qui prévoient des sanctions sévères en cas de violation de leurs règles, que ce soit de manière consciente ou inconsciente.
Poursuivez votre lecture pour en savoir plus sur ces violations courantes, les raisons pour lesquelles elles se produisent et ce que vous pouvez faire pour changer les choses. À la fin, vous découvrirez comment Termly vous aider à simplifier encore davantage la conformité de votre entreprise en matière de confidentialité des données.
- Les lois sur la confidentialité des données ont-elles un impact sur votre entreprise ?
- Quelles sont les conséquences d'une violation des lois sur la confidentialité des données ?
- Quelles sont les violations les plus courantes en matière de confidentialité des données ?
- Comment Termly les entreprises à simplifier la conformité en matière de confidentialité des données
Les lois sur la confidentialité des données ont-elles un impact sur votre entreprise ?
Si vous collectez des données personnelles auprès de vos consommateurs, il y a de fortes chances que les lois sur la confidentialité des données aient un impact sur votre entreprise.
Chaque loi sur la confidentialité des données est différente, mais peut s'appliquer à vous en fonction des facteurs suivants :
- Le lieu d'implantation de votre entreprise,
- Où se trouvent vos consommateurs,
- La quantité de données personnelles que vous collectez,
- Le type de données personnelles que vous collectez (c'est-à-dire les catégories spéciales de données telles que les données personnelles sensibles, les données relatives aux enfants, les données médicales, etc.).
Dans certains cas, d'autres éléments doivent être pris en considération, tels que votre revenu annuel brut et la quantité de données que vous partagez ou vendez.
Par exemple, le RGPD un champ d'application très large, touchant les petites et grandes entreprises du monde entier, car il s'applique à toutes les entités de l'UE/EEE et à toute personne en dehors de l'UE/EEE qui :
- Propose des biens ou des services dans la région, et
- Surveille les comportements en ligne des personnes dans l'UE/EEE.
De même, la loi CalOPPA, loi californienne qui réglemente le contenu des politiques de confidentialité, s'applique à tout site web recevant des visiteurs provenant de l'État de Californie.
Mais la CCPA, quant à elle, prend en compte d'autres facteurs, tels que le chiffre d'affaires annuel d'une entreprise et la quantité de données personnelles qu'elle collecte, même s'il s'agit également d'une loi californienne (et de la législation la plus stricte en matière de confidentialité aux États-Unis à ce jour).
Ces variations de seuils sont l'une des raisons pour lesquelles se conformer à toutes les différentes exigences de chaque loi applicable peut sembler être un travail à plein temps.
Déterminer celles que vous devez respecter peut sembler être un obstacle déroutant pour de nombreuses entreprises.
Quelles sont les conséquences d'une violation des lois sur la confidentialité des données ?
Les lois sur la confidentialité des données définissent plusieurs obligations auxquelles les entreprises doivent se conformer, sous peine d'être sanctionnées par une autorité de contrôle en cas de violation de ces règles.
Les sanctions dépendent de la loi spécifique, mais peuvent inclure des amendes, la cessation du traitement des données, d'éventuelles sanctions pénales, une atteinte à la réputation de votre marque et une perte de confiance des consommateurs.
Le tableau ci-dessous répertorie les principales lois relatives à la protection de la vie privée et les sanctions encourues en cas d'infraction :
| Droit | Peine maximale | Autorité chargée de l'application | Source officielle |
| RGPD | 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial | Autorités chargées de la protection des données (APD) | Article 83 RGPD |
| LGPD | 2 % du chiffre d'affaires brésilien, plafonné à 50 millions de réaux brésiliens par infraction | ANPD (Autorité nationale de protection des données) | Texte officiel de la LGPD |
| CCPA | 2 500 $ par infraction (non intentionnelle), 7 500 $ par infraction (intentionnelle/mineurs) | Procureur général de Californie | Code civil californien §1798.155 |
| Loi sur la protection de la vie privée au Colorado | Jusqu'à 20 000 $ par infraction | Procureur général du Colorado et procureurs de district | Colo. Rev. Stat. §§6-1-1301–1314 |
| Loi sur la protection des données du Connecticut | Jusqu'à 5 000 dollars par infraction délibérée | Procureur général du Connecticut | Conn. Gen. Stat. §42-515 et suivants. |
| CDPA de Virginie | Jusqu'à 7 500 dollars par infraction | Procureur général de Virginie | Code de Virginie, chapitre 53 |
| PIPEDA | Jusqu'à 100 000 $ CA par infraction | Commissariat à la protection de la vie privée et Cour fédérale | Texte intégral de la LPRPDE |
| Loi australienne sur la protection de la vie privée de 1988 | Jusqu'à 50 millions de dollars australiens ou 30 % du chiffre d'affaires | OAIC (Bureau du commissaire australien à l'information) | Loi sur la protection de la vie privée de 1988 |
| POPIA en Afrique du Sud | Jusqu'à 10 millions de rands sud-africains ou 10 ans d'emprisonnement | Régulateur de l'information | Texte officiel de la POPIA |
Quelles sont les violations les plus courantes en matière de confidentialité des données ?
Maintenant que nous avons passé en revue les lois susceptibles d'avoir un impact sur votre entreprise et les raisons pour lesquelles il est important de respecter les règles qu'elles énoncent, examinons les violations les plus courantes en matière de confidentialité des données commises par les entreprises afin que vous puissiez plus facilement les éviter.
1. Base juridique insuffisante pour le traitement des données
Selon le RGPD Tracker, la violation la plus courante pour les entités soumises au RGPD est « l'insuffisance de la base juridique pour le traitement des données ».
Avec 785 amendes totalisant environ 3 milliards d'euros (3,5 milliards de dollars), il s'agit de la principale infraction tant en termes de montant que de nombre d'amendes.
Pourquoi cela se produit-il ?
En vertu du RGPD, il existe six bases juridiques pour le traitement des données, et il appartient à l'entreprise de prouver de manière adéquate que son raisonnement s'inscrit dans le cadre des directives spécifiques.
En général, ces informations figurent dans la politique de confidentialité (ou la déclaration de confidentialité) des entités.
Si cette mention ne figure pas dans la notification ou si l'entreprise n'est pas en mesure de prouver de manière adéquate la validité de la base juridique, elle s'expose à une sanction pour cette infraction.
Comment mon entreprise peut-elle l'éviter ?
Pour éviter de commettre la même erreur, assurez-vous de disposer d'une base juridique valide pour chaque type de données que vous collectez :
- Consentement obtenu auprès de la personne concernée
- Obligation contractuelle
- Obligation légale
- Intérêts vitaux de l'individu
- Tâches/intérêt public
- Intérêt légitime
Élaborez également un moyen valable de prouver que la base juridique est pertinente pour le type de données que vous collectez et qu'elle reste conforme aux règles énoncées dans le règlement.
Par exemple, si le consentement est votre base juridique, vous devez respecter toutes les règles et obligations spécifiques RGPDen matière de consentement.
2. Respect insuffisant des droits des personnes concernées
Selon le RGPD Tracker, le montant total des amendes infligées aux entreprises pour ne pas avoir suffisamment respecté les droits des personnes concernées s'élève actuellement à 103 millions d'euros (120 millions de dollars).
Il s'agit là d'une autre violation courante, car toutes les lois sur la protection de la vie privée obligent les entreprises à trouver des moyens de recevoir et de répondre aux demandes des personnes souhaitant exercer leurs droits.
Pourquoi cela se produit-il ?
Les lois sur la protection de la vie privée exigent des entreprises qu'elles répondent aux demandes des consommateurs visant à faire valoir leurs droits dans un délai déterminé.
Si une entreprise ne répond pas dans les délais impartis (ou ne répond pas du tout), elle s'expose à une sanction pour cette infraction.
Cela peut également se produire si l'entreprise refuse à tort de se conformer à la demande de la personne, n'est pas en mesure de répondre de manière adéquate à la demande ou n'a pas les moyens de vérifier correctement l'identité de la personne qui fait la demande.
Comment mon entreprise peut-elle l'éviter ?
La meilleure façon d'éviter cette violation est de vous assurer que votre entreprise dispose d'un processus ou d'un flux de travail DSAR.
Il est également utile de fournir à vos utilisateurs des moyens clairs pour soumettre ces demandes, par exemple en ajoutant un formulaire DSAR à votre site web et en mettant en place une adresse e-mail clairement identifiée réservée à ce type de demandes.
La rationalisation de votre flux de travail DSAR de cette manière permet d'identifier, de traiter et de répondre à chaque demande de manière plus efficace, rapide et conforme à la législation.
3. consentement aux cookies inadéquates
Les lois sur la confidentialité ont une incidence sur la manière et le moment où les sites Web peuvent utiliser des cookies et autres traceurs. Vous devez obtenir le consentement adéquat pour ces cookies, sinon vous risquez d'être sanctionné.
Pourquoi cela se produit-il ?
Cette violation se produit généralement lorsque les sites Web présentent aux utilisateurs des bannières de cookies inadéquates qui peuvent ne pas comporter certaines fonctionnalités essentielles, notamment :
- Un bouton "Décliner
- Un bouton « Préférences »
- Un lien actif vers une politique de cookies précise
- Un lien actif vers une politique de confidentialité précise
Les règles relatives au consentement varient en fonction des lois applicables au consommateur qui consulte la bannière de consentement. Essayez donc d'utiliser des outils dotés de fonctionnalités telles que les paramètres de consentement régionaux.
Comment mon entreprise peut-elle l'éviter ?
Pour éviter cette erreur, utilisez une plateforme de gestion du consentement avec une bannière de consentement que vous pouvez configurer pour vous conformer à toutes les lois qui ont un impact sur votre entreprise et vos consommateurs.
Veillez également à effectuer régulièrement des analyses de votre site web afin d'identifier, de classer et d'étiqueter tous les cookies que votre site web souhaite placer sur les navigateurs des utilisateurs.
Présentez-leur toutes ces informations dans une politique de cookies à votre bannière ; ainsi, vous serez sûr qu'ils seront parfaitement informés, ce qui vous aidera à respecter les lois sur la confidentialité.
4. Ignorer les signaux de désinscription des utilisateurs
Les internautes peuvent configurer des signaux de préférence de désactivation sur leur navigateur ou utiliser des extensions de navigateur.
Certaines lois sur la protection de la vie privée considèrent cela comme une forme valable de mise en œuvre du droit des personnes à « refuser » le traitement de leurs données.
Si votre site web ignore ces signaux, vous risquez d'être condamné à une amende pour violation de lois telles que la CCPA.
Pourquoi cela se produit-il ?
Cette violation peut se produire lorsque les sites Web ne disposent pas du savoir-faire technique, du budget ou du temps nécessaires pour permettre à leur site de respecter les mécanismes universels de désactivation.
Dans certains cas, des sites web malveillants peuvent délibérément induire les visiteurs en erreur. Une telle intentionnalité conduit souvent à des violations plus graves de la législation sur la protection de la vie privée.
Comment mon entreprise peut-elle l'éviter ?
Pour éviter d'être pénalisé pour avoir enfreint cette loi, prenez le temps de mettre en œuvre les mesures techniques appropriées sur votre site.
Veillez à ce qu'il puisse détecter ces signaux de désactivation et s'adapter en conséquence, notamment en désactivant tous les cookies publicitaires.
Il peut détecter le signal dans les en-têtes HTTP ou JavaScript.
5. Détails vagues (ou manquants !) concernant la politique de confidentialité
Les politiques de confidentialité incomplètes, malhonnêtes ou obsolètes exposent votre entreprise à des amendes pour violation des lois sur la confidentialité.
Non seulement les lois telles que le RGPD, le CCPA et d'autres exigent la mise à jour des politiques de confidentialité, mais plusieurs lois stipulent qu'il est illégal de collecter des données qui n'ont pas été correctement divulguées au consommateur.
La meilleure façon de divulguer ces informations ? Dans une politique de confidentialité complète et correctement rédigée.
Pourquoi cela se produit-il ?
Cela peut se produire lorsque les entreprises modifient leurs pratiques en matière de confidentialité, mais oublient de mettre à jour leur politique ou n'informent pas correctement leurs utilisateurs des changements apportés.
Cela peut également se produire lorsque les entreprises ne donnent pas la priorité au respect des lois sur la protection de la vie privée.
Par exemple, certains pourraient croire à tort que les lois sur la protection de la vie privée n'ont pas d'importance, ou que leur entreprise est « trop petite » pour être condamnée à une amende pour avoir enfreint la loi.
Comment mon entreprise peut-elle l'éviter ?
Pour éviter d'avoir une politique de confidentialité vague, ou si vous devez encore en créer une pour votre plateforme, essayez d'utiliser un Générateur de politique de confidentialité comme Termly.
Avec le soutien de notre équipe juridique et de nos experts en confidentialité des données, nous avons littéralement conçu cet outil pour aider les entreprises à simplifier le processus d'élaboration de politiques de confidentialité conformes aux lois applicables.
Il pose des questions simples sur votre entreprise et sur la manière dont vous collectez et traitez les données, et comprend des détails qui vous aideront à créer différentes clauses conformément aux exigences de 30 lois sur la protection de la vie privée (et ce n'est pas fini !).
6. Collecte excessive de données inutiles
Toutes les lois sur la confidentialité des données limitent la quantité de données que les entités peuvent légalement collecter.
Les sites Web qui choisissent de collecter autant d'informations que possible auprès des utilisateurs sans raison valable s'exposent à des amendes (voire pire) pour violation de ces lois.
Pourquoi cela se produit-il ?
La collecte excessive de données survient généralement lorsque les entreprises ne prennent pas au sérieux les lois sur la protection de la vie privée ou leurs conséquences, ce qui témoigne d'un manque de respect pour la vie privée des consommateurs.
Non seulement le stockage de grandes quantités de données est irresponsable sur le plan juridique, mais il expose également les informations à un risque accru d'accès illégal ou de violation.
Comment mon entreprise peut-elle l'éviter ?
Pour éviter cette violation, effectuez un audit des données afin de connaître toutes les données personnelles collectées par votre entreprise, les raisons pour lesquelles elles sont collectées et ce que vous en faites.
Si la collecte et l'utilisation d'une information ne répondent pas à un objectif clair et légitime, il est préférable de cesser le traitement des données.
Demandez-vous toujours si la collecte de ces informations est nécessaire pour votre entreprise. Si la réponse est non, alors ne le faites pas.
7. Violations de données, fuites et accès non autorisés
Les dernières violations sur la liste, mais pas nécessairement les moins courantes, sont les violations de données, les fuites et les amendes infligées pour d'autres problèmes liés à l'accès non autorisé à des données personnelles.
Lorsque les données personnelles en votre possession font l'objet d'une fuite ou d'une violation, les lois sur la confidentialité des données vous tiennent financièrement et légalement responsable.
Pourquoi cela se produit-il ?
Les fuites et violations de données surviennent lorsque les entreprises ne sécurisent pas correctement les données qu'elles collectent et stockent.
Cela peut également se produire en raison d'une erreur interne, principalement si votre équipe n'est pas correctement formée pour lutter contre les cybercrimes courants ou les activités en ligne non sécurisées et les reconnaître.
Selon des données récentes, les cyberattaques sont en augmentation, ce qui en fait un aspect important du traitement des données que les entreprises doivent prendre en considération.
Comment mon entreprise peut-elle l'éviter ?
Pour éviter les fuites de données non autorisées, les violations et les cyberattaques, envisagez de mettre en œuvre les meilleures pratiques suivantes :
- Formez l'ensemble de votre équipe à la sensibilisation aux cybercrimes, notamment aux attaques par hameçonnage, à l'usurpation d'identité, à la nécessité d'éviter de cliquer sur des liens non sécurisés, etc.
- Mettez en place des politiques de mots de passe forts et imposez l'authentification multifactorielle.
- Cryptez les données sur les appareils, ainsi que toutes les données de sauvegarde que vous avez stockées.
- Utilisez des pare-feu et des logiciels antivirus.
- Mettez régulièrement à jour tous vos logiciels, systèmes d'exploitation et autres outils de sécurité afin d'éviter les failles de sécurité.
- Limitez l'accès aux données de votre équipe aux seules personnes qui en ont besoin.
- Vérifiez toujours que les fournisseurs tiers appliquent des mesures de sécurité et de sûreté rigoureuses.
Comment Termly les entreprises à simplifier la conformité en matière de confidentialité des données
Avec Termly votre boîte à outils, il est beaucoup plus facile d'éviter ces violations et d'autres violations courantes de la confidentialité des données.
Nos outils aident les entreprises à simplifier le processus d'alignement de leur site Web ou de leur application sur les lois applicables en matière de confidentialité des données.
Le Générateur de politique de confidentialité comprend des clauses conformes à 30 lois sur la confidentialité à travers le monde. Notre équipe juridique et nos experts en confidentialité des données le mettent régulièrement à jour afin de s'adapter à l'évolution du paysage juridique et aux besoins de nos utilisateurs.
Notre plateforme de gestion du consentement est configurable pour répondre aux exigences d'adhésion et de désinscription prévues par les lois en vigueur dans 80 régions. Elle comprend des fonctionnalités telles que le blocage automatique des scripts, les règles de consentement régionales, les journaux de consentement, un centre de préférences utilisateur, la compatibilité avec le mode consentement de Google, et bien plus encore.
Le meilleur dans tout ça ? Vous pouvez gérer tous ces outils depuis un seul et même endroit pratique, le Termly . Commencez dès aujourd'hui gratuitement !
En savoir plus sur l'auteur
Écrit par Natasha Piirainen
Natasha est une spécialiste du contenu avec plus de 10 ans d'expérienceprofessionnelle dans le développement de contenubasé sur la recherche. Elle est diplômée du Wheaton College en anglais et en philosophie. Chez Termly, ellese concentre sur les meilleures pratiques en matière de confidentialité des données et de gestion des consentements . Elleest responsable de la maintenance et de la mise à jour desdocuments relatifs à la confidentialité des données .
En savoir plus sur l'auteur
Révisé par Masha Komnenic CIPP/E, CIPM, CIPT, FIP Directrice de la protection de la vie privée au niveau mondial
