La journée de la protection des données qui a eu lieu le 28 janvier dernier, est un événement international visant à sensibiliser les entreprises et les internautes aux pratiques de confidentialité et de protection des données. Dans cette série de blogs, nous allons tenter de faire de même. Cet article fera lumière sur la confidentialité des données dans son ensemble, sur les lois importantes en la matière et sur certaines pratiques de collecte de données qui peuvent vous aider à respecter ces lois.
Qu’est-ce que la confidentialité des données?
Toute organisation recueille des données auprès de consommateurs, de clients, de prospects ou d’employés. Elles le font pour conserver des dossiers sur leurs clients, mieux comprendre le marché ou trouver des moyens d’améliorer l’expérience des individus. Ces données peuvent être tout ce qui se rapporte à une personne, comme son nom, son numéro de sécurité sociale, sa date ou son lieu de naissance, le nom de jeune fille de sa mère, son lieu de résidence, sa race, son origine ethnique, sa religion, ses données génétiques, ses données biométriques ou même des informations médicales, éducatives, financières ou professionnelles.
La confidentialité des données, ou confidentialité des informations, porte sur le traitement approprié de ces données en appliquant des mesures de protection et en se concentrant sur le respect des réglementations en matière de protection des données. Toutes les entreprises, grandes ou petites, doivent prêter attention à la manière dont elles collectent, stockent, gèrent et partagent les données des consommateurs et en assumer la responsabilité.
Historique de la Journée de la protection des données
La Journée de la protection des données est célébrée le 28 janvier de chaque année en l’honneur de l’introduction du premier traité international contraignant, la Convention 108, qui protège les individus contre la collecte intrusive de données et le traitement des données personnelles. Elle visait également à réglementer le flux transfrontalier de données à caractère personnel.
Le Conseil de l’Europe a lancé la Journée de la protection des données afin de sensibiliser les organisations et de promouvoir les pratiques de protection de la confidentialité et des données. Cette initiative a ensuite été adoptée par d’autres pays. Actuellement, la Journée de la protection des données est commémorée aux États-Unis, au Canada, en Israël et dans 47 autres pays européens.
Maintenant que vous savez ce qu’est la Journée de la protection des données, examinons quelques réglementations et lois importantes en la matière.
Respecter les lois sur la confidentialité des données
De nombreux pays disposent de lois visant à protéger le droit à la vie privée de leurs citoyens. Les organisations relevant de la juridiction de ces pays sont tenues de se conformer à ces lois, faute de quoi elles s’exposent à des poursuites judiciaires.
Ci-dessous, nous avons couvert quelques réglementations importantes en matière de confidentialité des données :
Règlement général sur la protection des données (RGPD)
Le RGPD est un règlement sur la protection des données et la vie privée dans l’Union européenne (UE) et l’Espace économique européen (EEE) visant à renforcer le contrôle et les droits d’un individu sur ses données personnelles. Il traite également du transfert des données personnelles en dehors des zones de l’UE et de l’EEE.
Ce règlement est directement contraignant et s’applique à toute entreprise traitant les informations personnelles des personnes au sein de l’EEE, indépendamment de la localisation de l’entreprise et de la citoyenneté ou de la résidence des personnes. À partir de 2021, le Royaume-Uni suit également cette loi.
Adopté le 14 avril 2016, le GDPR est rapidement devenu un précédent pour les lois du monde entier, notamment en Turquie, à Maurice, au Chili, au Japon, au Brésil, en Corée du Sud, en Afrique du Sud, en Argentine et au Kenya.
Loi californienne sur la protection de la vie privée des consommateurs (CCPA)
La CCPA, adoptée le 28 juin 2018, présente de nombreuses similitudes avec le RGPD et est une loi d’État destinée à renforcer le droit à la vie privée et la protection des consommateurs pour les résidents de Californie, aux États-Unis. En vertu de cette loi, les organisations sont tenues de “mettre en œuvre et maintenir des procédures et pratiques de sécurité raisonnables” pour protéger les données des consommateurs.
La CCPA s’applique à toute entreprise, y compris toute entité à but lucratif qui collecte des données personnelles de particuliers, qui exerce ses activités en Californie, sous réserve des critères spécifiés dans la loi.
Loi californienne sur les droits à la vie privée (CRPA)
La CRPA, proposée en novembre 2020, est une extension de la CCPA. La proposition inscrit davantage de dispositions dans la loi de l’État de Californie, permettant aux consommateurs d’empêcher les entreprises de partager leurs données personnelles, de corriger les données personnelles inexactes et de limiter l’utilisation par les entreprises d’informations personnelles sensibles telles que leur localisation, leur race, leur origine ethnique, leur religion, leurs données génétiques et leurs communications privées.
La CRPA entrera en vigueur le 1er janvier 2023 et s’appliquera aux données personnelles collectées à partir du 1er janvier 2022.
Loi Gramm-Leach-Bliley (GLBA)
La GLBA est une autre loi américaine qui impose à toutes les institutions financières de mettre en place une politique visant à protéger les informations des consommateurs contre les menaces prévisibles en matière de sécurité et d’intégrité des données.
Elle fait également respecter les droits des consommateurs en matière de protection de la vie privée en exigeant des institutions financières qu’elles fournissent un avis de confidentialité expliquant ce que l’entreprise recueille sur le client, où ces informations sont partagées et comment l’entreprise les protège.
La loi sur la portabilité et la responsabilité des assurances-maladie (HIPAA)
L’HIPAA est une loi fédérale américaine qui a imposé la création de normes nationales visant à protéger les informations sensibles sur la santé des patients contre toute divulgation sans leur consentement ou à leur insu.
Évaluation des pratiques de collecte de données: Respectez-vous ces principes relatifs à l’équité dans le traitement de l’information?
Malgré le monde actuel axé sur les données, la garantie de la confidentialité des données exige de réduire au minimum la collecte de données. Dans un premier temps, les entreprises doivent mettre en place des pratiques visant à limiter ce qui est collecté et pourquoi.
De nombreuses réglementations sur la confidentialité des données, telles que le RGPD et le CCPA, s’appuient sur les principes de pratique loyale de l’information, un ensemble de huit lignes directrices qui peuvent grandement aider les organisations à collecter prudemment les données et à se conformer aux lois sur la confidentialité.
Les principes relatifs à l’équité dans le traitement de l’information sont les suivants:
Limitation de la collecte: Une quantité limitée de données personnelles doit être collectée.
Qualité des donnée: Seules les données pertinentes pour l’objectif déclaré doivent être collectées. Ces données doivent être exactes et à jour.
Spécification de l’objectif: L’objectif de la collecte des données doit être précisé.
Limitation de l’utilisation: Les données ne doivent pas être utilisées à des fins autres que celles qui ont été spécifiées.
Garanties de sécurité: Les données doivent être protégées contre des risques tels que la perte, l’accès ou l’utilisation non autorisés, la destruction, la modification ou la divulgation.
Transparence: La collecte et l’utilisation des données personnelles ne doivent pas être tenues secrètes pour les individus. Les organisations doivent être ouvertes quant à la nature des données collectées, leur finalité et leur lieu de stockage.
Participation individuelle: Les personnes ont le droit de savoir qui détient leurs données, de se faire communiquer ces données, de savoir pourquoi une demande d’accès à leurs données est refusée, et de faire modifier ou supprimer leurs données.
Responsabilité: Les organisations qui collectent des données doivent être tenues responsables de la mise en œuvre de ces principes.