Comment s'y retrouver dans la jungle des cadres réglementaires sur la protection des données
Aujourd'hui, 128 pays sur 195 au total dans le monde ont instauré une forme de législation relative à la protection des données et à la cybersécurité. Dans bon nombre de ces pays, les cadres réglementaires se complexifient un peu plus chaque année. Alors comment s'y retrouver ?
Dans le domaine de la protection des données, l’année 2018 aura marqué les esprits avec la découverte des agissements de Cambridge Analytica. Le cabinet de conseil en politique (aujourd’hui disparu) avait en effet collecté illégalement les données de près de 87 millions d’utilisateurs de Facebook. Les incidents de ce type ont précipité l’introduction et la mise en œuvre de nouvelles règles en matière de protection des données, comme la loi sur la protection des données (Data Protection Act) au Royaume-Uni et le Règlement général sur la protection des données (RGPD) dans l’Union européenne.
La plupart des pays ont adopté une forme de législation sur la cybersécurité et la protection des données, et beaucoup ont mis en place divers cadres visant à protéger leurs citoyens en ligne. Sur le plan légal, une plus grande transparence est désormais exigée des sites web et services en ligne sur les échanges de données avec les citoyens du Net.
Pour l’internaute moyen, c’est une bonne nouvelle. Mais pour les organisations qui cherchent à maintenir leur présence dans plusieurs territoires, cela complique un tant soit peu la donne. Comment concilier respect des réglementations dans les différentes juridictions et cohérence de leurs produits ? Dans ce guide, nous analyserons le problème afin d’aider les organisations à rester facilement en conformité.
La nature de la confidentialité des données évolue
On dit des données qu’elles seraient le nouvel or noir. Cela semble exagéré ? À peine, tant les données constituent une richesse extraordinaire. Le risque d’utilisation abusive existe cependant bel et bien. Dans la mesure où nous créons et stockons davantage de données, les législations qui régissent le traitement des données vont s’intensifier.
Les nouvelles technologies ne sont pas le seul facteur qui affecte la nature des données. Le rapport qu’entretiennent les consommateurs avec la technologie et la protection des données doit également être pris en compte. Ainsi, la génération Z investit différemment des générations précédentes. En plus d’être des consommateurs avertis, ils possèdent, de manière très visible, des connaissances financières plus poussées que leurs parents et leurs grands-parents.
Les jeunes générations veulent des solutions high-tech, et recherchent également des expériences UX personnalisées. La collecte de données utilisateurs permet aux commerçants et entreprises de mieux comprendre les tendances de leurs clients, et d’adapter leurs offres en fonction de leurs centres d’intérêt. Pourtant, les internautes avertis se méfient de plus en plus des risques liés aux violations de la vie privée, même s’ils autorisent la collecte de leurs données par les plateformes de réseaux sociaux, les applications, etc. Les législations d’aujourd’hui et de demain vont devoir s’adapter aux mœurs qui prédominent dans le domaine du respect de la vie privée. La raison ? Une meilleure compréhension des risques par une majorité d’utilisateurs.
Un large éventail de réglementations
Au moment de la rédaction de cet article, 128 pays sur 194 ou 195 au total dans le monde ont instauré une forme de législation relative à la protection des données et à la cybersécurité. Dans bon nombre de ces pays, les cadres réglementaires se complexifient un peu plus chaque année (ou presque).
En novembre 2020, la Chine a adopté sa loi sur la protection des informations personnelles — la Personal Information Protection Law (PIPL). Le texte porte sur la manière dont les organisations étrangères et locales traitent les données personnelles sur Internet. En République populaire de Chine, outre les lois sur la sécurité des données (Data Security Law, DSL) et sur la cybersécurité (Cybersecurity Law, CSL), la PIPL complète et enrichit le cadre réglementaire de la confidentialité des données et de la cybersécurité.
Fin 2020 encore, le Congrès américain a promulgué la loi sur l’amélioration de la cybersécurité de l’IoT (IoT Cybersecurity Improvement Act). Le texte exige que l’Office of Management and Budget (OMB) et le National Institute of Standards and Technology (NIST) établissent des lignes directrices sur la sécurité applicables par le gouvernement fédéral. Cette réglementation continue à évoluer et pourrait donner naissance à d’autres lois qui s’inscriraient dans un cadre plus large. Mais c’est déjà un bon début.
Les économies émergentes et en développement ont également adopté une législation sur la confidentialité des données. Après 17 ans d’élaboration, l’Afrique du Sud a finalement adopté la loi sur la protection des informations personnelles (Protection of Personal Information Act, POPIA) en juin 2021. Le texte s’appuie sur la version de 2018 du RGPD, qui a depuis été modifiée et mise à jour. Certains experts estiment qu’il faudrait également actualiser la loi POPIA.
C’est d’ailleurs un problème pour les entreprises. Non seulement de nouvelles lois et réglementations sont introduites en permanence, mais les anciennes évoluent aussi. Que peuvent alors faire les organisations pour préserver la vie privée et se conformer à une multitude de réglementations ?
De l’importance de la transparence
Initialement, il appartenait à chacun – du moins semble-t-il – de veiller à la protection de sa vie privée en ligne. Il est néanmoins parfaitement irréaliste d’attendre de l’utilisateur moyen qu’il lise chaque accord de confidentialité croisé — d’autant que ces textes sont mis à jour en permanence.
La transparence envers les clients constitue par conséquent la première étape d’une démarche de mise en conformité avec la plupart des réglementations sur la protection des données. À vous de faire en sorte que sur vos sites web, vos visiteurs comprennent parfaitement ce qu’implique une utilisation de vos services pour leur vie privée. Il ne s’agit pas seulement d’éviter les sanctions financières substantielles que peuvent imposer les autorités et commissions juridictionnelles, mais aussi de préserver l’image publique de votre entreprise.
Depuis le scandale Cambridge Analytica de 2018, la perception de Facebook dans l’opinion publique s’est dégradée. Bien que la plateforme reste populaire, son rayonnement culturel n’est plus ce qu’il était. Depuis des années, la direction multiplie pourtant les opérations de communication pour tenter de rétablir la pertinence de la plateforme et de revenir dans les bonnes grâces du public.
Les entreprises peuvent tirer les leçons de leurs erreurs en améliorant l’accessibilité de leurs politiques de protection des données. leurs clients savent-ils ce que sont les cookies ? Comprennent-ils les risques qu’ils encourent dès lors que leurs données sont stockées sur votre site web ou dans votre application ? Ce ne sont là que quelques exemples de ce qu’une organisation doit être prête à expliquer le plus clairement possible.
La création de vidéos et de segments audio (podcasts) permet aux entreprises d’expliquer les subtilités des révisions apportées à leurs accords de confidentialité. L’utilisation du SMS et du mail leur permet aussi de communiquer sur ces sujets, en insérant des liens vers leur nouvel accord de confidentialité, et vers des contenus et des guides explicatifs clairs.
Dans la plupart des cas, si une entreprise exerce ses activités dans plusieurs pays, un accord de confidentialité peut intégrer toutes les législations applicables dans les juridictions où elle opére et doit s’y conformer. Autre possibilité, chaque accord de confidentialité que l’entreprise choisit d’afficher pour ses utilisateurs doit correspondre à leur territoire. L’accès à certaines fonctionnalités du service proposé pourra par conséquent être restreint pour certains utilisateurs en fonction de la région où ils se trouvent. Cela doit être clairement indiqué dès le départ.
Optimiser la confidentialité des données
Tout d’abord, les entreprises doivent s’assurer de la sécurité de l’accès et du stockage de toutes leurs données. Elles doivent également disposer d’une protection efficace contre les cybermenaces, comme les rançongiciels et l’hameçonnage, sous peine de lourdes sanctions financières et d’une perte de confiance de leurs clients.
La violation des données de Marriott International en 2014 (découverte en 2018) illustre à quel point cela est important. Dans cette affaire, la cyberattaque a exposé les informations personnelles d’environ 339 millions de clients à travers le monde. À l’issue d’une enquête approfondie menée par l’Information Commissioner's Office (ICO), l’entreprise a été condamnée à une amende de près de 124 millions de dollars pour infraction au RGPD.
L’intégration d’outils permettant de protéger le mieux possible la vie privée des utilisateurs permet d’éviter ce genre d’incidents. Les entrerprises peuvent ainsi utiliser des outils et des technologies PET (Privacy-Enhancing Technologies) qui visent à renforcer la protection de la vie privée et à garantir la sécurité des données lors des accès et partages.
On peut également utiliser une solution de confidentialité des données basée sur l’apprentissage automatique ou l’IA, qui peut mettre à jour ses protocoles en fonction des nouvelles lois sur la confidentialité.
De plus, en vertu du RGPD, les organisations doivent embaucher des délégués à la protection des données (DPO). Même si elles prévoient d’opérer en dehors des juridictions de l’UE, elles doivent impérativement engager un DPO expérimenté et certifié. Dans les années à venir, ce poste devrait devenir l’un des plus convoités et les plus recherchés dans le domaine de la cybersécurité.
En conclusion
Il serait regrettable pour une entreprise qu’elle subisse des pertes de données et une dégradation de son image avant d’avoir priorisé la sécurité et la confidentialité des données. En anticipant, elle peut économiser beaucoup de temps et d’argent sur le long terme. Sans compter, qu’il existe pléthore de techniques et d’outils de protection des données à la disposition des entreprises. Lorsque la sécurité des données est en jeu, la négligence est difficilement excusable.