Catégories
Start-up et applications

GDPR, CCPA et CPRA – Oh mon Dieu!

Au cours des dernières années, le monde a vu l'introduction de deux réglementations majeures en matière de protection des données: le règlement général sur la protection des données (GDPR) et le California Consumer Privacy Act (CCPA). Le RGPD, qui concerne l'Union européenne, est en vigueur depuis mai 2018, soit près de deux ans et demi. La CCPA est entrée en vigueur le 1er janvier 2020. Mais quels impacts ces règlements majeurs sur la protection de la vie privée ont-ils eu sur l'industrie?

Un an après l'entrée en vigueur du RGPD, nous jeté un oeil à ce qui s'était passé cette première année. Il s'est avéré que l'application de la loi avait été lente à démarrer, le respect et l'application de la loi étant un peu laxistes. En février 2019, neuf mois après l'entrée en vigueur de la loi, seules 91 amendes avaient été prononcées et la plupart d'entre elles étaient de petites amendes. L'une des principales amendes à l'époque concernait Google, qui était condamné à une amende de 50 millions d'euros (56 millions de dollars américains) «pour manque de transparence, d'informations inadéquates et de consentement valide concernant la personnalisation des annonces», selon le European Data Protection. Planche.

L'application de la loi semble avoir repris depuis lors. En août 2020, 347 amendes ont été prononcées, pour un total de 175.944.866 € (208.812.246 USD), Suivi GDPR des affaires de confidentialité spectacles. La plus grande amende à ce jour est toujours celle qui a été infligée à Google en 2019. La plus petite amende émise était de 90 € (106 USD), et elle concernait un hôpital en Hongrie. Les amendes à venir non incluses dans le suivi incluent celles de Marriott et de British Airways, qui sont encore au stade de la proposition.

CONTENU CONNEXE:
Le CCPA devrait entrer en vigueur début 2020
RGPD un an plus tard: conformité lente, application laxiste
La CCPA est entrée en vigueur en janvier et la Californie a commencé à être appliquée le 1er juillet. À la fin du mois d'août, aucune amende n'a encore été imposée.

«Pour le RGPD, il a fallu près d'un an avant que les amendes plus lourdes ne prennent effet. En raison du fait que CCPA est entré dans une période d'étirement avec COVID, il s'agissait d'une sorte de lancement silencieux. Dans les six prochains mois, nous verrons de plus en plus de personnes, les militants essayer de faire valoir leurs droits et nous verrons davantage les effets de cette réglementation », a déclaré Jean-Michel Franco, directeur du marketing produit pour Talend, un fournisseur de plateforme d'intégration de données et de qualité.

Les impacts du RGPD et du CCPA
Ces deux lois ont eu des impacts majeurs sur la manière dont les organisations gèrent la confidentialité de leurs données. Selon un Sondage 2019 de LinkedIn sur les emplois les plus populaires, les entreprises investissent dans des rôles de confidentialité des données. Cela est particulièrement vrai en Europe; Le délégué à la protection des données était le poste le plus dynamique en France, en Italie, aux Pays-Bas et en Suède. «Ce que nous constatons, c'est que de plus en plus d'entreprises sont conscientes qu'elles doivent y consacrer des personnes et des efforts», a déclaré Franco.

Les entreprises utilisent plusieurs méthodes pour améliorer la confidentialité des données. Par exemple, le mappage de données est utilisé pour s'assurer que chaque fois qu'une demande de suppression d'un utilisateur arrive, l'entreprise peut s'assurer que toutes les données sont correctement agrégées, a expliqué Franco. L'anonymisation des données est une autre méthode que les entreprises utilisent. Selon Franco, les entreprises se rendent compte que la gestion des données personnelles partout est coûteuse et risquée, elles déterminent donc quels systèmes ont besoin de ces données personnelles et quels systèmes seraient fonctionnels avec des données anonymisées.

Un autre effet secondaire des réglementations en matière de confidentialité comme le CCPA et le RGPD est que les entreprises sont plus intelligentes quant à la manière dont elles tirent parti des données. Ces réglementations ont entraîné le passage du consentement «opt-out» historiquement utilisé par les spécialistes du marketing à une approche «opt-in», entreprise de marketing par e-mail VenteCycle expliqué dans son Marketing par e-mail dans un monde soucieux de la confidentialité rapport. Selon le rapport, 32% des spécialistes du marketing exigent désormais un consentement explicite pour le marketing par e-mail, 26% ont introduit un processus d'acceptation plus strict et 21% ont mis en place des cases à cocher.

«Et donc toutes ces entreprises, elles ont mis en œuvre un programme pour récupérer le consentement des clients, puis elles gèrent également un peu différemment le problème de marketing afin que les clients soient plus engagés», a déclaré Franco. «Donc, dans l'ensemble, nous voyons des avantages. Il existe des statistiques qui montrent que les taux de retour et le retour sur investissement typiques d'un point de vue marketing se sont améliorés en Europe à cause de cela. Même s'il y a peut-être moins de clients ciblés pour chaque campagne parce que les noms sont sortis de la base de données, ceux qui restent sont plus engagés et l'entreprise fait plus d'efforts pour vraiment personnaliser le message, pour (éviter) de bombarder le client avec des e-mails qui ne sont pas ciblés. »

Selon Franco, une gouvernance accrue des données a également facilité le démarrage de nouveaux projets pour les entreprises. «J'ai vu quelques clients dire que maintenant que j'ai mis en œuvre mon projet GDPR, j'ai un seul endroit où toutes les données de mes employés sont décrites. Et donc ce n'est pas seulement utile pour la vie privée. Cela est utile car lorsque je souhaite lancer un nouveau projet sur les RH, je sais directement où se trouvent toutes mes données, les données sont documentées et il existe des règles pour y accéder. »

La vie privée au Royaume-Uni après le Brexit
Depuis l'entrée en vigueur du RGPD, le Royaume-Uni a officiellement quitté l'Union européenne. Il fonctionne toujours selon les règles du RGPD, mais après le 31 décembre 2020, il adoptera son propre règlement, selon un ebook de Zivver, une entreprise spécialisée dans la communication sécurisée. Le nouveau règlement, connu sous le nom de «RGPD britannique», reflétera le RGPD et contiendra de nouveaux ajouts.

«Ce serait pour des raisons pratiques et pour aider à garantir une décision d'adéquation avec l'UE, en minimisant tout impact sur l'échange de données transfrontalier entre les régions en 2021 et au-delà», a écrit Zivver dans son livre blanc.

Il devrait entrer en vigueur en 2021, a ajouté Zivver.

Pratiques de confidentialité et violations
Osano a récemment publié un rapport examinant la relation entre les mauvaises pratiques de confidentialité et les violations de données. Il a évalué 11 000 des meilleurs sites Web, sur la base des classements Alexa Internet.

Il a révélé que 2,77% des sites Web ont signalé une violation de données au cours des 15 dernières années. Sans surprise, les sites Web qui avaient de mauvaises pratiques de confidentialité des données étaient plus susceptibles de subir une violation de données. Il a donné à chaque site Web un classement: quartile supérieur, deuxième quartile, troisième quartile et quartile inférieur. Les sites Web du quartile supérieur ont fait des efforts proactifs pour être transparents sur les pratiques en matière de données, tandis que les sites Web du quartile inférieur ont «des avis de confidentialité extrêmement obsolètes ou aucun avis de confidentialité». Les sites Web du quartile supérieur avaient 1,86% de chances de subir une violation de données; les sites Web du quartile inférieur avaient une chance de 3,36%.

En plus d'être simplement plus susceptibles d'être violées, les organisations du quartile inférieur subissent des pertes de données plus graves en cas de violation. Les organisations des premier, deuxième et troisième quartiles perdent en moyenne 7,7 millions d'enregistrements. Lorsqu'une organisation du quartile inférieur subit une violation, elle perd en moyenne 54,4 millions d'enregistrements, soit une augmentation de 7 fois.

Et après?
À l'avenir, Franco prédit que l'éthique de l'IA sera le prochain grand aspect des données qui commencera à être réglementé. «J'utilise l'analogie avec les sciences de la vie. Lorsqu'un nouveau médicament arrive sur le marché, vous devez faire des essais », a déclaré Franco. «Vous devez prouver que la nouveauté n’a pas d’effets indésirables, et cet essai clinique est fortement réglementé. Il semble donc que l'Union européenne prenne ce genre de direction pour l'IA et pour s'assurer que les algorithmes d'IA, lorsqu'ils s'appliquent à une personne, fonctionnent de manière équitable et contrôlée et éthique … C'est assez intéressant et probablement la prochaine étape parce que nous voyons de plus en plus la puissance des données qui peuvent reconnaître automatiquement les personnes avec leur visage et tout et qui peuvent automatiquement déclencher une décision. Et cela devient donc un élément important en ce qui concerne la manière dont une entreprise doit régir la manière dont les données sont utilisées pour automatiser les décisions. »

En février, l'UE avait annoncé de nouveaux objectifs pour façonner son avenir numérique, dont l'un était de contrôler plus strictement son utilisation de l'IA. «Des règles claires doivent aborder les systèmes d'IA à haut risque sans imposer trop de charge aux systèmes moins risqués. Les règles européennes strictes en matière de protection des consommateurs, de lutte contre les pratiques commerciales déloyales et de protection des données personnelles et de la vie privée continuent de s'appliquer. Pour les cas à haut risque, tels que la santé, la police ou les transports, les systèmes d'IA doivent être transparents, traçables et garantir une surveillance humaine. Les autorités devraient pouvoir tester et certifier les données utilisées par les algorithmes lors de la vérification des cosmétiques, des voitures ou des jouets. Des données impartiales sont nécessaires pour former les systèmes à haut risque à fonctionner correctement et pour garantir le respect des droits fondamentaux, en particulier la non-discrimination », a écrit la Commission européenne dans un déclaration.

Aux États-Unis, il existe également un fort besoin d'une réglementation plus stricte sur l'utilisation des données personnelles par l'IA, en particulier lorsqu'elles sont utilisées pour des applications telles que la reconnaissance faciale. La technologie de reconnaissance faciale est actuellement utilisée par les agences gouvernementales aux États-Unis, y compris les DMV dans plusieurs États, aéroports et par la police, Recoder rapports. Les géants de la technologie comme Microsoft sont depuis longtemps vocal dans leur soutien pour une réglementation plus stricte afin d'éviter toute utilisation abusive par les gouvernements et les entreprises, et l'État de Washington (où Microsoft a son siège social) a adopté des règlements sur la reconnaissance faciale plus tôt cette année. La loi de Washington est la première loi sur la reconnaissance faciale aux États-Unis qui comprend des protections pour les libertés civiles et les droits de l’homme.

Décision relative au bouclier de protection des données UE-États-Unis invalidée
Le 16 juillet 2020, le Bouclier de protection des données UE-États-Unis a été jugée invalide par la Cour de justice de l’Union européenne, essentiellement la Cour suprême de l’UE. Le bouclier de protection des données UE-États-Unis «protège les droits fondamentaux de toute personne dans l'UE dont les données personnelles sont transférées aux États-Unis à des fins commerciales. Il permet le transfert gratuit de données vers des entreprises certifiées aux États-Unis dans le cadre du bouclier de protection des données », a déclaré la Commission européenne. Le cadre comprend des obligations strictes en matière de protection des données, des garanties sur l'accès du gouvernement américain aux données, une protection et une réparation efficaces pour les individus, et un examen conjoint annuel par des responsables de l'UE et des États-Unis pour surveiller l'accord.

Le bouclier de protection des données UE-États-Unis a été créé à la suite d'une plainte d'un ressortissant autrichien

Maximilian Schrems. Certaines des données de Schrems ont été transférées par Facebook Ireland vers des serveurs Facebook aux États-Unis pour y être traitées. Dans sa plainte, Schrems a affirmé qu'il ne pensait pas que les États-Unis offraient une protection suffisante de ses données contre les autorités publiques.

Cette plainte a été rejetée par la Haute Cour d'Irlande en 2015, mais par la suite, l'autorité de contrôle irlandaise a demandé à Schrems de reformuler sa plainte. Dans la nouvelle plainte, il a affirmé que «les États-Unis n'offrent pas une protection suffisante des données transférées vers ce pays». Il a également demandé la suspension des futurs transferts de ses données vers les États-Unis. Lorsqu'elle a été traduite en justice cette fois, la décision 2016/1250 a été adoptée, également connue sous le nom de bouclier de protection des données UE-États-Unis.

En annulant la décision, le tribunal affirme que «les limitations de la protection des données à caractère personnel découlant du droit interne des États-Unis concernant l'accès et l'utilisation par les autorités publiques américaines de ces données transférées de l'Union européenne vers ce pays tiers, qui la Commission évaluée dans la décision 2016/1250, ne sont pas circonscrites d'une manière qui satisfait à des exigences qui sont essentiellement équivalentes à celles exigées par le droit de l'Union, par le principe de proportionnalité, dans la mesure où les programmes de surveillance fondés sur ces dispositions ne sont pas limité à ce qui est strictement nécessaire.

Le post GDPR, CCPA et CPRA – Oh mon Dieu! est apparu en premier sur SD Times.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *