État du RGPD en 2021 : principales mises à jour et ce qu'elles signifient

Publié: 2022-03-10
Résumé rapide ↬ En tant que praticiens du numérique, le RGPD a eu un impact sur toutes les facettes de notre vie professionnelle et personnelle. Que vous soyez accro à Instagram, que vous envoyiez des messages à votre famille sur WhatsApp, que vous achetiez des produits sur Etsy ou des informations sur Google, personne n'a échappé aux règles instaurées en 2018.

Les directives de l'UE ont eu un impact sur pratiquement tous les professionnels du numérique, car les produits et services sont conçus en tenant compte du RGPD, que vous soyez une entreprise de conception Web dans le Wisconsin ou un distributeur à Malte. Les implications profondes du RGPD n'ont pas seulement un impact sur la manière dont les données doivent être traitées, la manière dont les produits doivent être construits et la manière dont les données sont transférées en toute sécurité au sein et entre les organisations. Il définit des accords internationaux de transfert de données comme celui entre l'Europe et l'Amérique.

Kevin Kelly, l'un des futurologues numériques les plus brillants au monde, affirme que "la technologie est une force aussi grande que la nature". Ce qu'il veut dire par là, c'est que les données des utilisateurs et les technologies de l'information sont à l'origine de l'une des périodes les plus profondes de l'histoire humaine depuis l'invention du langage. Regardez ce qui se passe alors que les gouvernements et les multinationales de la technologie luttent pour contrôler Internet.

La semaine dernière seulement, alors que le gouvernement australien a décidé de forcer les propriétaires de plateformes à payer les éditeurs pour le contenu partagé sur leur plateforme, Facebook a décidé de bloquer les nouvelles aux utilisateurs australiens avec un énorme tollé de la part du gouvernement australien.

Et cela s'ajoute aux controverses précédentes (l'organisation de l'émeute du Capitole américain, le scandale de Cambridge Analytica) à l'intersection où le gouvernement et la technologie se rencontrent.

Dans cet article, nous verrons comment le RGPD a évolué depuis 2018. Nous passerons en revue quelques mises à jour de l'UE, certains développements clés et où le RGPD est susceptible d'évoluer. Nous allons explorer ce que cela signifie pour nous , en tant que concepteurs et développeurs. Et nous verrons ce que cela signifie pour les entreprises à l'intérieur et à l'extérieur de l'UE.

Dans le prochain article, nous nous concentrerons sur le consentement aux cookies et le paradoxe où les spécialistes du marketing dépendent fortement des données des cookies de Google Analytics mais doivent se conformer aux réglementations. Et puis nous plongerons dans le suivi des publicités de première partie alors que nous commençons à voir des éloignements des cookies tiers.

  • Partie 1 : RGPD, mises à jour clés et ce qu'elles signifient
  • Partie 2 : Consentement aux cookies pour les concepteurs et les développeurs

Un récapitulatif rapide du RGPD

Commençons par nous rappeler ce qu'est le RGPD. Le RGPD est devenu loi au sein de l'UE le 25 mai 2018. Il repose sur 7 principes clés :

  1. Légalité, loyauté et transparence
    Vous devez traiter les données afin que les gens comprennent quoi, comment et pourquoi vous traitez leurs données.
  2. Limitation de l'objectif
    Vous ne devez collecter des données qu'à des fins claires, déterminées et légitimes. Vous ne pouvez alors pas le traiter d'une manière incompatible avec vos objectifs initiaux.
  3. Minimisation des données
    Vous ne devez collecter que les données dont vous avez besoin.
  4. Précision
    Vos données doivent être exactes et tenues à jour. Les données inexactes doivent être effacées ou corrigées.
  5. Limite de stockage
    Si les données peuvent être liées à des personnes, vous ne pouvez les conserver qu'aussi longtemps que nécessaire pour réaliser les finalités que vous avez spécifiées. (Mises en garde à des fins de recherche scientifique, statistique ou historique.)
  6. Intégrité et confidentialité (c.-à-d. sécurité)
    Vous devez vous assurer que les données personnelles que vous détenez sont traitées de manière sécurisée. Vous devez les protéger contre tout traitement non autorisé ou illégal et contre toute perte, destruction ou détérioration accidentelle.
  7. Responsabilité
    Vous êtes désormais responsable des données que vous détenez et devez être en mesure de démontrer votre conformité au RGPD.
Diagramme illustrant les sept principes du RGPD : licéité, intégrité, limitation du stockage et de la finalité, minimisation et exactitude des données, et responsabilité - recouverts de transparence, de confidentialité et de contrôles
Les principes du GDPR sont basés sur la transparence, la confidentialité et le contrôle des utilisateurs. (Crédit image : Cyber-Duck) ( Grand aperçu )

Quelques définitions

  • CJUE
    Cour de justice de l'Union européenne. Les décisions de ce tribunal clarifient les lois de l'UE comme le RGPD.
  • DPA
    Autorités nationales de protection des données. Chaque pays de l'UE en possède un. Le RGPD est appliqué et des amendes sont infligées au niveau national par ces organismes. L'équivalent britannique est l'Information Commissioner's Office (ICO). Aux États-Unis, la confidentialité des données de type GDPR est largement légiférée par chaque État.
  • Commission européenne
    La branche exécutive de l'Union européenne (essentiellement la fonction publique de l'UE). La Commission européenne rédige des projets de loi incluant le RGPD.
  • RGPD
    Le règlement général sur la protection des données de 2018.

Mises à jour clés de l'UE

Le RGPD ne s'est pas arrêté depuis mai 2018. Voici un bref aperçu de ce qui s'est passé depuis son entrée en vigueur.

Comment l'UE et ses États membres ont-ils mis en œuvre le RGPD ?

La Commission européenne rapporte que le RGPD est presque entièrement mis en œuvre dans l'UE, bien que certains pays - il vérifie le nom de la Slovénie - aient traîné des pieds. Cependant, la profondeur de la mise en œuvre varie. L'UE affirme également que ses pays membres utilisent, à son avis, leurs nouveaux pouvoirs de manière équitable.

Cependant, elle s'est également inquiétée de l'apparition de certaines divergences et fragmentations. Le RGPD ne peut fonctionner efficacement dans l'ensemble du marché unique de l'UE que si les États membres sont alignés . Si les lois divergent, cela trouble l'eau.

Comment l'UE souhaite-t-elle que le RGPD se développe ?

Nous savons que l'UE souhaite qu'il soit plus facile pour les individus d'exercer leurs droits en vertu du RGPD. Cela signifie une collaboration transfrontalière et des recours collectifs . Il veut voir la portabilité des données pour les consommateurs au-delà de la banque et des télécommunications.

Il souhaite également faciliter la mise en conformité des petites et moyennes entreprises ( PME ) avec le RGPD. Cela se présentera probablement sous la forme d'un soutien supplémentaire et d'outils tels que des clauses contractuelles plus standard – essentiellement des modèles de jargon juridique que les PME peuvent copier/coller dans les contrats – car l'UE ne souhaite pas contourner les règles pour eux.

Grand développement n° 1 : la définition étonnamment large du « contrôleur conjoint »

Bon, voici le premier grand changement depuis que le RGPD est devenu loi. Dans deux affaires tests impliquant Facebook, la Cour de justice de l'Union européenne a défini une interprétation beaucoup plus large du terme "responsable conjoint" que prévu.

Une situation de contrôleur conjoint survient lorsque deux contrôleurs ou plus ont tous deux la responsabilité de respecter les termes du RGPD. (Voici un bon explicateur de l'ICO sur les contrôleurs conjoints.) Essentiellement :

  • Lorsque vous traitez des données client, vous décidez avec votre ou vos co-responsables du traitement qui gérera chaque étape afin que vous soyez conforme au RGPD.
  • Cependant, vous avez tous l'entière responsabilité de vous assurer que l'ensemble du processus est conforme . Chacun d'entre vous est entièrement responsable devant l'autorité de protection des données du pays qui traite les réclamations.
  • Une personne peut porter plainte contre chacun des responsables conjoints du traitement.
  • Vous êtes tous responsables de tout dommage causé, à moins que vous ne puissiez prouver que vous n'avez aucun lien avec l'événement qui a causé le dommage.
  • Une personne peut demander une indemnisation à tout co-responsable du traitement. Vous pourrez peut-être récupérer une partie de cette compensation auprès de vos collègues contrôleurs.

Dans la première affaire Facebook, la CJUE a confirmé qu'une entreprise qui gérait une page de fans sur Facebook était considérée comme co-responsable du traitement aux côtés de Facebook. Dans la seconde, la CJUE a également confirmé qu'une entreprise qui avait intégré un bouton Facebook Like sur son site Internet avait le statut de responsable conjoint avec le réseau social.

Ces cas ont envoyé des ondes de choc dans la communauté de la confidentialité, car ils rendent essentiellement les éditeurs sociaux, les opérateurs de sites Web et les modérateurs de pages de fans responsables des données des utilisateurs aux côtés de plateformes comme Facebook.

Cependant, la CJUE a également précisé que la responsabilité partagée ne signifie pas une responsabilité égale . Dans les deux cas, la responsabilité incombait principalement à Facebook — seul Facebook avait accès aux données et seul Facebook pouvait les supprimer. Ainsi, l'impact de cette décision peut être moins grave qu'il n'y paraît au premier abord, mais il est toujours d'une importance cruciale.

Et c'est peut-être la raison pour laquelle certains sites, tels que le site Web de la présidence allemande de l'UE en 2020, bloquent par défaut le contenu social intégré, jusqu'à ce que vous l'ayez spécifiquement activé :

Capture d'écran de eu2020.de montrant le contenu du flux social bloqué jusqu'à ce que le suivi par un tiers soit activé
Certains sites commencent à empêcher les flux sociaux intégrés d'apparaître sur leurs sites par défaut, offrant aux utilisateurs le choix de s'inscrire avec le suivi. ( Grand aperçu )

Grand développement #2 : Bye Bye Privacy Shield, Hello CPRA

Le deuxième grand changement était plus prévisible : le Privacy Shield , le mécanisme qui facilitait le traitement des données des clients européens par les entreprises américaines, a été invalidé par la justice.

Voici pourquoi.

L'UE veut protéger les données personnelles de ses citoyens. Cependant, il souhaite également encourager le commerce international, ainsi que la collaboration transfrontalière dans des domaines tels que la sécurité.

L'UE se considère, à juste titre, comme une pionnière en matière de protection des données. Il utilise donc son pouvoir politique pour encourager les pays qui souhaitent commercer avec le bloc à respecter ses normes de confidentialité des données.

"

Entrez aux États-Unis. Les philosophies européennes et américaines concernant la confidentialité des données sont diamétralement opposées . (Essentiellement, le point de vue européen est que les données personnelles sont privées à moins que vous ne donniez une autorisation explicite. Le point de vue américain est que vos données sont publiques à moins que vous ne demandiez expressément qu'elles restent privées.) Mais en tant que deux plus grands marchés de consommation au monde, ils doivent Commerce. L'UE et les États-Unis ont donc développé le Privacy Shield.

Privacy Shield a été conçu pour permettre aux entreprises américaines de traiter les données des citoyens de l'UE, à condition que ces entreprises souscrivent à ses normes de confidentialité plus élevées.

Mais en vertu de la loi américaine, le gouvernement américain pourrait toujours surveiller ces données. Cela a été contesté dans une affaire intentée par le défenseur autrichien de la vie privée Max Schrems. La CJUE s'est rangée du côté de lui : le Privacy Shield a été annulé et les 5 300 PME américaines qui l'ont utilisé n'ont eu d'autre choix que d'adopter les clauses contractuelles types prescrites par l'UE.

Évidemment, il est dans l'intérêt de tous que le Privacy Shield soit remplacé - et il le sera. Mais les experts disent que son remplaçant sera probablement à nouveau annulé en temps voulu car les approches européennes et américaines de la vie privée sont essentiellement incompatibles.

Pendant ce temps, en Californie, la California Consumer Privacy Act (CCPA) de 2018, inspirée du RGPD, a été renforcée en novembre 2020 lorsque la California Privacy Rights Act (CPRA) a été adoptée.

La loi californienne sur la protection de la vie privée des consommateurs (CCPA)

Le CCPA, qui est entré en vigueur en janvier 2020, donne aux citoyens californiens le droit de refuser que leurs données soient vendues . Ils peuvent également demander que toutes les données collectées soient divulguées et ils peuvent demander que ces données soient supprimées. Contrairement au RGPD, le CCPA ne s'applique qu'aux sociétés commerciales :

  • Qui traitent les données de plus de 50 000 résidents californiens par an, OU
  • Qui génèrent des revenus bruts de plus de 25 millions de dollars par an, OU
  • Qui tirent plus de la moitié de leur chiffre d'affaires annuel de la vente des données personnelles des résidents californiens

La loi californienne sur les droits à la vie privée (CPRA)

Le CPRA, qui entrera en vigueur en janvier 2023, va au-delà du CCPA . Ses points clés incluent :

  • Il place la barre plus haut pour les entreprises qui traitent les données de 100 000 résidents californiens par an
  • Il donne plus de protection aux données sensibles des Californiens , telles que leur race, leur religion, leur orientation sexuelle, leurs données de santé et leur carte d'identité gouvernementale.
  • Il triple les amendes pour violation des données des mineurs
  • Il donne aux Californiens le droit de demander que leurs données soient corrigées
  • Il oblige les entreprises à participer aux enquêtes de l'ACPL
  • Et il établit une agence californienne de protection de la vie privée pour faire appliquer le CPRA
Graphique résumant le CPRA
La Californie renforce sa législation sur la protection de la vie privée avec le CPRA, à venir en 2023. ( Grand aperçu )

D'autres poussées vers des lois sur la confidentialité se produisent dans d'autres États, et ensemble, elles pourraient renforcer la nécessité de mesures fédérales de confidentialité sous la nouvelle administration Biden.

Grand développement #3 : Consentement aux cookies

En mai 2020, l'UE a mis à jour ses orientations RGPD pour clarifier plusieurs points, dont deux points clés pour le consentement aux cookies :

  • Les murs de cookies n'offrent pas aux utilisateurs un véritable choix, car si vous refusez les cookies, vous ne pouvez pas accéder au contenu. Il confirme que les murs de cookies ne doivent pas être utilisés.
  • Faire défiler ou balayer le contenu Web n'équivaut pas à un consentement tacite . L'UE rappelle que le consentement doit être explicite.

Je vais approfondir cela dans le deuxième article la semaine prochaine.

Avis de cookie Cyber-Duck avec le suivi des publicités activé par défaut
L'UE a mis à jour ses directives sur le consentement aux cookies. ( Grand aperçu )

Grand développement #4 : Google et Apple commencent à abandonner le suivi par des tiers

Alors que les grands acteurs du numérique découvrent comment respecter le RGPD – et comment tirer parti de la législation sur la protection de la vie privée – certains ont déjà été critiqués.

Google et Apple font face à des poursuites antitrust , à la suite de plaintes de sociétés et d'éditeurs adtech.

Dans les deux cas, les plaignants affirment que les grandes entreprises technologiques exploitent leur position dominante sur le marché.

Encore une fois, plus à ce sujet la prochaine fois.

Plus après saut! Continuez à lire ci-dessous ↓

Grand développement n° 5 : de grosses amendes RGPD à venir

Bien sûr, de nombreuses organisations se sont empressées de se conformer au RGPD parce qu'elles craignaient les amendes que les régulateurs pourraient appliquer. Ces amendes ont commencé à arriver :

Le régulateur français des données a infligé à Google une amende de 50 millions d'euros pour "manque de transparence, informations inadéquates et absence de consentement valable concernant la personnalisation des annonces", affirmant que les utilisateurs n'étaient "pas suffisamment informés" sur la manière et la raison pour laquelle Google collectait leurs données.

Son équivalent britannique, l'ICO, a infligé une amende de 18,4 millions de livres sterling au conglomérat hôtelier américain Marriott International Inc. pour ne pas avoir sécurisé les dossiers de 339 millions de clients. La cyberattaque de 2014 contre Starwood Hotels and Resorts Worldwide, Inc., que Marriott a acquise en 2016, n'a été découverte qu'en 2018.

L'ICO du Royaume-Uni a également infligé à British Airways une amende record de 20 millions de livres sterling pour une violation de données en 2018 concernant les données personnelles et de carte de crédit de 400 000 clients.

Ensuite, il y a mon préféré, une violation choquante de la confiance des employés par H&M qui a entraîné une amende de 35 millions d'euros.

Voilà où nous en sommes aujourd'hui.

Qu'est-ce que cela signifie pour toi?

En tant que concepteurs et développeurs, le RGPD a - et continuera d'avoir - un impact important sur les produits que nous concevons et fabriquons, et sur la façon dont nous concevons pour les données.

Voici ce que nous, en tant que concepteurs, devrions savoir

  • Le RGPD est essentiel pour vous, car vous allez concevoir les points auxquels les utilisateurs partagent leurs données , quelles données sont collectées et comment elles sont traitées.
  • Suivez les meilleures pratiques de confidentialité dès la conception. N'essayez pas de réinventer la roue - si vous avez créé une bannière de cookies conforme, utilisez votre modèle de conception éprouvé.
  • Travaillez avec vos équipes de conformité et de développement pour vous assurer que les conceptions sont conformes au RGPD et peuvent être mises en œuvre. Ne demandez que les données dont vous avez besoin.
  • Enfin, demandez à vos utilisateurs quelles données ils souhaitent partager et comment ils aimeraient que vous les utilisiez. S'ils trouvent cela effrayant, revoyez votre approche.

Voici ce que nous, en tant que développeurs, devrions savoir

  • Le RGPD est essentiel pour vous car vous permettez le traitement, le partage et les intégrations de données .
  • En règle générale, avec le RGPD, adoptez une approche basée sur le besoin d'accès . Commencez par tout mettre en œuvre sans accès, puis n'accordez à votre équipe l'accès aux données que lorsque cela est nécessaire (par exemple, en donnant aux développeurs l'accès à la console Google Analytics). Auditez et documentez au fur et à mesure.
  • Suivez les principes de confidentialité dès la conception et de sécurité dès la conception. Des modèles robustes et sécurisés pour la mise en œuvre de l'infrastructure sont essentiels.
  • Assurez-vous d'être impliqué dès le départ sur les aspects techniques, par exemple le consentement aux cookies/le suivi des conversations, afin que ce qui est décidé puisse être mis en œuvre.
  • La cartographie des processus montre où les données sont partagées avec les différentes parties de l'entreprise.
  • L'automatisation offre une gestion sécurisée des données qui réduit les erreurs humaines. Cela aide également à empêcher les mauvaises personnes d'accéder aux données.
  • Les listes de contrôle du RGPD et bien sûr les carnets de route vous aideront à gérer votre processus. Encore une fois, auditez et documentez au fur et à mesure.

Voyons maintenant comment le RGPD va évoluer dans un futur proche. Nous nous concentrerons sur trois domaines.

Trois domaines où le RGPD évolue rapidement

1. Comment l'UE met en œuvre le RGPD

Tout d'abord, voyons comment le RGPD sera davantage intégré dans le paysage législatif.

L'UE souhaite maintenir l'alignement de ses États membres , car cela facilitera les poursuites transfrontalières et la collaboration internationale. Il a donc renforcé le fait que les pays ne doivent ni s'écarter ni outrepasser le RGPD. Certains États membres, comme je l'ai dit, n'approuvent le règlement que pour la forme. D'autres veulent dépasser les normes du RGPD.

En échange de leur alignement, l'UE appliquera la conformité , s'efforcera de permettre des recours collectifs et des poursuites transfrontalières moins chères, et promouvra également la confidentialité et des normes cohérentes en dehors de l'UE. En plus d'un soutien et d'outils supplémentaires pour les PME, nous pouvons également voir une certification pour la sécurité et la protection des données dès la conception.

Enfin, cela pourrait soulever quelques sourcils dans la Silicon Valley : l'UE a laissé entendre qu'elle pourrait envisager d'interdire le traitement des données pour encourager la conformité . Des amendes de 50 millions d'euros ne sont pas la fin du monde pour Google et ses amis. Mais le temps passé à l'étape coquine – et les mauvaises relations publiques qui en résultent – ​​est une chose très différente.

2. Comment le RGPD fonctionne avec l'innovation

Le RGPD a été conçu pour être technologiquement neutre et pour soutenir, et non entraver, l'innovation. Cela a certainement été testé au cours des 12 derniers mois, et l'UE souligne le déploiement rapide des applications COVID-19 comme preuve que sa législation fonctionne.

On peut s'attendre à des codes de conduite pour les catégories de données sensibles (santé et recherche scientifique). Ceux-ci seront les bienvenus.

Cependant, ils surveillent de près les innovateurs. L'UE a exprimé sa préoccupation concernant la confidentialité des données dans la vidéo, les appareils IoT et la blockchain. Ils sont particulièrement préoccupés par la reconnaissance faciale (et vraisemblablement vocale) et les développements de l'IA.

Plus particulièrement, la Commission est profondément préoccupée par ce qu'elle appelle les "sociétés technologiques multinationales", les "grandes plateformes numériques" et la "publicité en ligne et le micro-ciblage". Oui, encore une fois, il vous regarde, Facebook, Amazon, Google et vos amis.

3. Comment l'UE promeut les normes GDPR au-delà de l'UE

Notre économie numérique est mondiale, de sorte que l'impact du RGPD se répercute au-delà des frontières de l'UE, et pas seulement en termes de conformité. L'UE fixe la barre en matière de législation sur la protection des données dans le monde entier. Au-delà du CCPA de la Californie, voyez le LGPD du Brésil, ainsi que les développements au Canada, en Australie, en Inde et dans un groupe d'États américains.

Bien sûr, il est dans l'intérêt de l'UE que d'autres pays et blocs commerciaux respectent leurs normes. Il s'agit donc de promouvoir le RGPD via plusieurs pistes :

  • Par des "décisions d'adéquation mutuelle" avec le Japon et prochainement la Corée du Sud
  • Intégré dans les accords commerciaux bilatéraux, par exemple avec la Nouvelle-Zélande, l'Australie, le Royaume-Uni
  • A travers des forums comme l'OCDE, l'ASEAN, le G7 et le G20
  • Par le biais de sa Data Protection Academy pour les régulateurs européens et internationaux

Il tient particulièrement à favoriser l'innovation grâce à des flux de données fiables et à permettre une coopération internationale entre les autorités répressives et les opérateurs privés.

L'UE est à la tête du monde en matière de protection des données. Là où il va, d'autres suivront. Ainsi, même si vous ne concevez/développez pas pour un public européen, vous devez être conscient de ce qui se passe.

"

Qu'est-ce que tout cela signifie pour les entreprises de l'UE ?

Les entreprises qui opèrent dans l'UE doivent se conformer au RGPD sous peine d'être condamnées à une amende. Ces amendes peuvent être assez lourdes, comme nous l'avons vu. Vous devez donc être en mesure de démontrer que vous respectez les 7 principes du RGPD et les directives spécifiques de votre autorité nationale de protection des données.

Cependant, ce n'est pas aussi simple qu'il y paraît, et vous pouvez choisir d'évaluer votre risque dans certains cas. Je vous donnerai un exemple la prochaine fois.

Qu'est-ce que cela signifie pour les entreprises basées en dehors de l'UE ?

Les implications pour les entreprises basées en dehors de l'UE sont exactement les mêmes que celles pour les pays de l'UE , si elles traitent des données personnelles de l'UE. En effet, le RGPD s'applique aux données personnelles des personnes basées dans l'UE. Si vous souhaitez le traiter, par exemple pour le vendre à des clients dans l'UE, vous devez respecter les règles. Sinon, vous risquez une amende, comme Facebook et Google.

Voici comment cela est appliqué : si vous avez une présence dans l'UE, comme le font de nombreuses multinationales, et que vous ne payez pas d'amende GDPR, vos actifs de l'UE peuvent être saisis. Si vous n'êtes pas présent, vous êtes obligé, en vertu du RGPD, de désigner un représentant dans l'UE. Toute amende sera imposée par l'intermédiaire de ce représentant. Alternativement, vous pouvez faire face à un procès international complexe et coûteux .

Et c'est là que ça devient complexe pour tout le monde :

Si votre clientèle comprend des personnes dans l'UE et des citoyens d'autres pays dotés de lois sur la confidentialité, comme l'État de Californie, vous devez vous conformer à la fois au California Consumer Privacy Act (CCPA) et au RGPD. Ces lots de législation s'alignent généralement, mais ils ne correspondent pas.

Prenez les cookies, par exemple. En vertu du RGPD, vous devez obtenir le consentement actif d'un utilisateur avant de placer un cookie sur son appareil, à l'exception de ceux strictement nécessaires au fonctionnement de votre site.

Cependant, en vertu du CCPA, vous devez divulguer les données que vous collectez et permettre à votre client de vous refuser l'autorisation de vendre ses données. Mais ils n'ont pas à accepter activement que vous puissiez le récupérer.

C'est pourquoi l'UE fait pression pour que des normes internationales simplifient la conformité mondiale.

NB Si vous êtes aux États-Unis et que vous attendez avec impatience le remplacement de Privacy Shield, vous préférerez peut-être vous inspirer du livre de Microsoft à la place - eux et d'autres ont déclaré qu'ils se conformeraient au RGPD plutôt que de dépendre de mécanismes bilatéraux pour activer traitement de l'information.

Quelles leçons les concepteurs et développeurs Web peuvent-ils tirer du RGPD ?

La réglementation sur la confidentialité est là pour rester et elle affecte toutes nos priorités et nos flux de travail. Voici six leçons à retenir lorsque vous travaillez avec des données client :

  1. Nous avons dû sprinter pour nous conformer au RGPD. Maintenant c'est un marathon.
    Nous savons que le RGPD continuera d'évoluer parallèlement à la technologie qu'il vise à réglementer. Cela signifie que les exigences envers nous ne resteront pas les mêmes. Non seulement cela, mais le GDPR a inspiré une législation similaire - mais pas identique - dans le monde entier. Ces exigences légales sont amenées à évoluer.
  2. La conformité crée un avantage concurrentiel.
    Alors que les premières amendes majeures du GDPR ont été époustouflantes, c'est en fait la publicité négative qui, selon beaucoup, est la plus dommageable. À qui profite une importante fuite de données ? Les concurrents de l'entreprise. D'un autre côté, si vous intégrez la conformité au RGPD au fur et à mesure que vous renforcez vos processus de conception et de développement, vous serez mieux à même de vous adapter à l'évolution de la réglementation.
  3. La conformité au RGPD et de meilleurs résultats COVID-19 sont liés par une conception centrée sur l'utilisateur.
    Nous savons que les entreprises qui avaient entamé leur transformation numérique ont mieux su s'adapter à la crise du COVID-19. La conception centrée sur l'utilisateur prend également en charge le RGPD. Il a le processus et l'orientation client dont vous avez besoin pour créer des produits qui s'alignent sur l'idée que les données client sont précieuses et doivent être protégées. Cela facilitera l'évolution de vos produits en fonction de la future législation.
  4. Vous pouvez intégrer la conformité dans vos produits numériques.
    La confidentialité dès la conception est là pour rester. Si vous utilisez déjà la conception de service, vous pouvez inclure des informations client en tant que couche de données dans vos plans de service. Si vous ne le faites pas, c'est le moment idéal pour commencer. La cartographie où les données sont collectées, traitées et stockées met en évidence les points faibles où des violations potentielles peuvent se produire. Les outils de conformité automatisés contribueront à alléger le fardeau des entreprises et ont le potentiel de rendre le traitement des données plus sûr.
  5. Le RGPD soutient l'innovation - si vous le faites correctement.
    Certains préviennent que le RGPD étouffe l'innovation en restreignant les flux de données et surtout en dissuadant les entreprises d'innover avec les données. D'autres soulignent les opportunités d'innover avec la blockchain, l'IoT et l'IA d'une manière sécurisée et où les données sont protégées. La vérité? Oui, bien sûr, vous pouvez innover et être conforme au RGPD. Mais l'éthique en IA est vitale : vous devez respecter vos clients et leurs données.
  6. Gardez un œil sur vos partenaires tiers.
    Cela remonte à la décision des responsables conjoints ci-dessus. Les entreprises partagent désormais la responsabilité des données clients avec les tiers qui les traitent et ce traitement doit être documenté. Vous pouvez vous attendre à ce que les contrôles, la surveillance et les obligations contractuelles des tiers soient désormais une priorité pour les entreprises.

Voici comment le RGPD pourrait évoluer

Phew. C'est beaucoup à encaisser. Mais pour l'avenir, voici où je parie que nous verrons des changements.

  1. Le RGPD continuera d'évoluer , la clarté venant des cas tests et potentiellement d'autres législations, y compris le règlement ePrivacy.
  2. L'UE continuera de promouvoir l'adoption internationale d'une législation sur la protection des données. Nous verrons de plus en plus de pays adopter la protection des données, souvent intégrée dans des accords commerciaux et de sécurité.
  3. Si nous avons de la chance, nous pourrions commencer à voir une convergence internationale de la législation sur la confidentialité des données , en particulier si les États-Unis mettent en œuvre la confidentialité des données au niveau fédéral.
  4. Mais nous verrons également plus d'affrontements entre l'UE et les États-Unis, en raison de leurs approches opposées de la vie privée.
  5. Comme "les données sont le nouveau pétrole", nous pourrions voir plus de situations où les utilisateurs reçoivent des produits et services gratuits en donnant des données via des cookies.
  6. Les entreprises abandonneront les cookies tiers et se tourneront vers le suivi et l'automatisation côté serveur, afin de rester conformes.
  7. Les entreprises adopteront la confidentialité dès la conception (PdB) et les outils et processus de conception de services, pour les aider à rester conformes à plusieurs ensembles de lois sur la confidentialité.
  8. Et enfin - et celui-ci est définitif - nous verrons de plus en plus de poursuites en matière de confidentialité . Qui sortira vainqueur - les grands défenseurs de la technologie ou de la vie privée ? Je ne sais pas, mais nous pouvons être certains d'une chose : les avocats spécialisés dans la protection de la vie privée gagneront beaucoup d'argent.

Un dernier mot sur la confiance

Le thème qui sous-tend à la fois les communications de la Commission européenne et les commentaires des experts du secteur est la confiance . Les agences numériques comme la nôtre doivent désormais fournir des preuves de la sécurité des données et de la conformité au RGPD, jusqu'aux politiques de formation du personnel pour la protection des données. C'est nouveau. La priorité de l'UE est de soutenir des flux de données sûrs et sécurisés et l'innovation, tant au sein de l'UE qu'à l'extérieur. La conformité aux normes est leur solution pour cela. Et nous, en tant que concepteurs et développeurs, avons un rôle crucial à jouer.

  • Partie 1 : RGPD, mises à jour clés et ce qu'elles signifient
  • Partie 2 : Consentement aux cookies pour les concepteurs et les développeurs

Lectures complémentaires

  • Protection des données, le site de l'UE
  • Guide de l'ICO britannique sur les cookies
  • GDPR Enforcement Tracker, enregistre les amendes appliquées en vertu du GDPR
  • Liste de contrôle GDPR, par Cyber-Duck (un excellent point de départ)
  • Aperçu de la loi sur la protection des données aux États-Unis, par ICLG
  • Guide de comparaison RGPD et CCPA, par DataGuidance et le forum sur l'avenir de la confidentialité
  • CCPA vs CPRA, de l'IAPP
  • Sécurité par conception (Amazon)
  • Comment protéger vos utilisateurs avec le cadre de confidentialité dès la conception, Heather Burns, Smashing Magazine