Lois internationales sur la protection des données : Un guide

La poussée pour la data privacy a explosé ces dernières années, avec des réglementations telles que le General Data Protection Regulation (GDPR) de l'UE et le California Consumer Privacy Act (CCPA) en tête de file. Cela signifie que les consommateurs du monde entier acquièrent des droits concernant la manière dont leurs données sont collectées, stockées, traitées et vendues, ainsi que davantage de moyens pour tenir les entreprises responsables lorsque de mauvaises pratiques de data security conduisent à des data breaches impliquant des informations personnellement identifiables (PII).

Avec le GDPR couvrant l'UE et le CCPA couvrant la Californie, ceux qui ne sont pas résidents de ces régions peuvent se demander si des réglementations de data privacy les protègent. La réponse est : « Ça dépend. » Chaque État américain ou pays n'a pas de réglementations sur la confidentialité des données.

Cependant, il y a de nombreuses raisons d'être optimiste. Gartner prédit qu'en 2024, la réglementation moderne sur la vie privée couvrira la majorité des données des consommateurs. Cependant, le même rapport prédit que moins de 10% des entreprises auront réussi à tirer parti de la vie privée comme avantage concurrentiel. Contrairement à ce que de nombreuses entreprises supposent, les nouvelles réglementations sur la vie privée sont des leviers commerciaux, et non des ennemis. Cela est dû au fait qu'elles peuvent vous aider à optimiser les processus commerciaux, améliorer la gestion des données et réaliser des économies de coûts.

À mesure que les flux de données deviennent de plus en plus mondialisés, les entreprises doivent acquérir une solide compréhension des lois internationales sur la confidentialité des données. Sinon, elles risquent de se voir infliger de lourdes amendes et autres pénalités. Elles échoueront également à fournir aux consommateurs la protection des données qu'ils méritent, nuisant à leur capacité d'attirer et de fidéliser la clientèle.

Lisez ce guide pour en savoir plus sur les lois relatives à la protection des données dans le monde entier — et comment répondre à leurs exigences pour garantir la conformité.

Lois et réglementations sur la protection des données

Maintenant que vous avez une compréhension claire du fonctionnement général des lois sur la protection des données, voici des résumés des lois sur la protection des données les plus importantes à travers le monde.

Union européenne (UE) : Règlement général sur la protection des données (RGPD)

Le GDPR est la loi de sécurité la plus stricte au monde. Elle est entrée en vigueur le 25 mai 2018 et impose des obligations à toutes les entreprises du monde qui collectent ou traitent des données relatives aux résidents de l'UE.

Les principaux principes, obligations et droits en vertu du RGPD sont les suivants :

• Minimisation des données — Les entreprises ne devraient pas collecter plus de données personnelles que nécessaire auprès de leurs utilisateurs.
• Intégrité et confidentialité (sécurité) — Les entreprises doivent protéger les données personnelles contre le traitement illégal ou non autorisé, ainsi que contre les dommages accidentels, la perte ou la destruction.
• Responsabilité — Les entreprises doivent documenter la manière dont les données personnelles sont traitées et limiter l'accès aux données aux personnes qui ont réellement besoin d'accéder à ces informations.
• Accès aux données — Les entreprises doivent répondre aux demandes des personnes concernées pour des copies de leurs données personnelles dans un délai d'un mois.
• Droit de modifier les informations — Les personnes concernées ont le droit de faire modifier leurs données personnelles par une entreprise si elles sont inexactes.
• Droit à l'effacement — Les personnes concernées ont également le pouvoir de demander la suppression de leurs données personnelles.
• Limitations sur le traitement automatisé —Le RGPD accorde aux personnes concernées le droit de ne pas être soumises à des décisions automatiques susceptibles d'avoir un effet significatif sur elles.
• Portabilité des données — Les sujets de données ont le droit de changer facilement de prestataires de services.

Les amendes pour violation du RGPD sont très élevées. Les infractions moins graves peuvent entraîner une amende allant jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial de l'entreprise de l'exercice financier précédent, selon le montant le plus élevé. Les infractions plus graves peuvent entraîner une amende allant jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial de l'entreprise de l'exercice financier précédent, selon le montant le plus élevé.

États-Unis : California Consumer Privacy Act (CCPA) et California Privacy Rights Act (CPRA)

Contrairement à l'UE, les États-Unis ne disposent pas d'une loi globale sur la vie privée comme le GDPR. Cependant, divers États, y compris la Californie, ont adopté des lois et des réglementations sur la protection des données personnelles pour protéger les informations personnelles des citoyens. Cela inclut le CCPA et son prédécesseur, le CPRA.

Le CCPA a été adopté en 2018 et offre aux consommateurs californiens plus de contrôle sur les données personnelles que les entreprises collectent à leur sujet. Depuis le 1er janvier 2023, il a été modifié par le CPRA.

Le CPRA s'applique aux entreprises qui répondent aux exigences suivantes :

• Avoir un chiffre d'affaires annuel brut de plus de 25 millions de dollars
• Partagez, achetez ou vendez les données personnelles d'au moins 100 000 résidents californiens
• Tirer 50 % ou plus de leurs revenus annuels de la vente ou du partage de données personnelles

Comme le GDPR, le CPRA confère aux consommateurs le droit de :

• Sachez qui collecte vos informations personnelles, comment elles sont utilisées et à qui elles sont divulguées ou partagées
• Limitez l'utilisation de leurs données personnelles
• Supprimez ou corrigez leurs données personnelles

De même, cela exige des entreprises de :

• Informez les consommateurs de la manière dont leurs données personnelles sont collectées et traitées
• Ne collectez des données personnelles que pour des finalités légitimes divulguées et dans une mesure pertinente
• Permettez aux consommateurs de supprimer, obtenir, corriger et partager leurs informations personnelles

Les entreprises qui ne respectent pas les exigences du CPRA peuvent être condamnées à une amende allant jusqu'à 7 500 $ par infraction délibérée et 2 500 $ par violation non intentionnelle.

Canada : Loi sur la protection des renseignements personnels et les documents électroniques (PIPEDA)

La loi fédérale sur la vie privée du Canada, PIPEDA, a été promulguée en 2000. Elle s'applique aux organisations du secteur privé au Canada qui utilisent, collectent ou divulguent des données personnelles dans le cadre d'activités commerciales.

• La LPRPDE définit une activité commerciale comme toute transaction, conduite ou acte de caractère commercial, y compris la location, l'échange ou la vente de listes de membres, de donateurs ou de collecte de fonds.
• Selon la PIPEDA, les informations personnelles comprennent toute information subjective ou factuelle, enregistrée ou non, concernant une personne identifiable. Cela inclut l'âge, le revenu, le nom, le groupe sanguin, les dossiers des employés, les opinions et les actions disciplinaires.

Les entreprises doivent suivre les 10 principes équitables de l'information pour se conformer à la PIPEDA:

• Responsabilité — Les organisations doivent se conformer aux 10 principes équitables de l'information, désigner une personne pour la conformité PIPEDA de votre entreprise et élaborer et mettre en œuvre des pratiques et des politiques d'information personnelle.
• Identifier les objectifs — Les entreprises doivent identifier et documenter leurs objectifs de collecte d'informations personnelles, et informer les clients de la raison pour laquelle elles ont besoin de leurs informations personnelles.
• Consentement — Les entreprises doivent obtenir le consentement de chaque personne avant de recueillir leurs informations.
• Limitations sur la collecte de données — Les organisations ne peuvent collecter que les informations nécessaires pour remplir un objectif légitime et identifié.
• Utilisation, divulgation et conservation limitées — Les entreprises ne peuvent utiliser ou divulguer des données personnelles que pour les finalités identifiées pour lesquelles elles ont été collectées.
• Précision — Les entreprises doivent minimiser le risque d'utiliser des données incorrectes lorsqu'elles prennent une décision concernant une personne ou divulguent des informations à des tiers.
• Mesures de protection — Les organisations doivent protéger les données personnelles en fonction de leur sensibilité et sécuriser toutes les données personnelles contre le vol, la perte et l'accès, la copie, la divulgation, la modification ou l'utilisation non autorisés.
• Ouverture — Les entreprises doivent disposer de pratiques de gestion des informations personnelles détaillées qui sont claires, faciles à comprendre et facilement accessibles.
• Accès individuel — Les individus ont le droit d'accéder aux données personnelles qu'une entreprise détient à leur sujet.
• Droit de contester la conformité — Les individus ont le droit de contester la conformité d'une entreprise aux principes d'information équitable.

Les organisations peuvent être condamnées à une amende allant jusqu'à 100 000 dollars canadiens pour chaque infraction.

Brésil : Loi générale sur la protection des données (LGPD)

La LGPD du Brésil s'inspire fortement du RGPD de l'UE et constitue la plus grande réglementation sur la protection des données au monde après le RGPD et le CCPA. Son objectif principal est d'unifier 40 réglementations différentes, souvent spécifiques à un secteur, et de résoudre les conflits qui surviennent en raison du nombre élevé de réglementations différentes sur la protection des données dans le pays.

La réglementation s'applique aux organisations qui traitent des données au Brésil, traitent des données personnelles collectées au Brésil, ou traitent des données personnelles en fournissant des biens ou services au Brésil. Comme le GDPR et le CCPA, une entreprise n'a pas besoin d'avoir son siège au Brésil pour être affectée par la LGPD.

Selon la LGPD, la personne à laquelle s'appliquent les données personnelles est considérée comme un titulaire, et les titulaires acquièrent de nombreux droits concernant leurs données personnelles. Cela inclut, mais sans s'y limiter à :

• Accès aux données personnelles d'une personne
• Correction de données personnelles obsolètes ou inexactes
• Suppression ou anonymisation des données personnelles non conformes à la LGPD ou traitées sans le consentement du titulaire
• La capacité de révoquer le consentement préalable d'une personne
• Informations sur la manière dont les données d'une personne sont utilisées et avec qui ces données sont partagées

L'article 18 de la LGPD couvre tous les droits des détenteurs de données en vertu de la réglementation, et d'autres articles traitent des amendes et autres pénalités pour ceux qui ne sont pas conformes.

Lois émergentes sur la confidentialité des données et impact mondial

Outre les lois mentionnées ci-dessus, vous devriez également surveiller les lois émergentes suivantes en matière de protection des données.

Inde : Projet de loi sur la protection des données personnelles (PDPB)

Ce projet de loi est encore à l'état de brouillon mais il mérite d'être discuté car il est également calqué sur le RGPD, la référence actuelle en matière de réglementation de la protection des données. Si promulgué, le PDPB s'appliquera aux organisations traitant des données personnelles collectées, divulguées ou traitées en Inde, donc, comme le RGPD, il aura un impact international.

Ce qui est couvert par le PDPB ressemble également au GDPR. Les consommateurs obtiennent le droit d'accéder, de corriger et de supprimer leurs données, ainsi que le right to be forgotten et la portabilité des données entre organisations.

Cependant, le fait qu'une organisation soit préparée pour le GDPR ne signifie pas nécessairement qu'elle est prête pour le PDPB. Les deux réglementations présentent de légères différences de portée, et le PDPB n'a pas encore été finalisé. Les spécificités de la réglementation sont susceptibles de changer, et toute organisation ayant des liens avec l'Inde devrait y prêter attention.

Autres lois notables sur la protection des données

Parmi les autres lois sur la protection des données qui méritent d'être mentionnées, citons :

• La loi sur la vie privée de 1988 de l'Australie
• Loi sur la protection des informations personnelles de Chine (PIPL)
• South Africa’s Protection of Personal Information Act (POPIA)
• Des lois spécifiques à l'industrie américaine, telles que :
• Health Insurance Portability and Accountability Act (HIPAA)
• Gramm–Leach–Bliley Act (GLBA)
• Sarbanes–Oxley Act (SOX)
• Federal Information Security Management Act of 2002 (FISMA)
• Loi sur la protection de la vie privée en ligne des enfants (COPPA)

Cadres

Il existe également des cadres qui peuvent aider les organisations à se conformer à la législation sur la protection des données, y compris :

• Le National Institute of Standards and Technology’s (NIST) Privacy Framework est un outil volontaire pour aider les entreprises à identifier et gérer les risques liés à la vie privée.
• La coopération économique Asie-Pacifique (APEC) Cross-Border Privacy Rules (CBPR)crée un cadre pour la coopération régionale dans l'application des lois sur la vie privée.
• ISO/IEC 27001 est la norme la plus connue au monde pour un système de gestion de la sécurité de l'information (ISMS).

Comment Netwrix peut vous aider à vous conformer aux lois sur la protection des données

La conformité avec les lois applicables sur la protection des données personnelles est essentielle pour éviter les amendes coûteuses, les dommages à la réputation, les poursuites judiciaires et autres coûts. L'une des manières les plus rentables d'atteindre, de maintenir et de prouver la conformité est d'adopter la Netwrix Compliance Audit Solution. Cette solution fiable, puissante et intuitive minimise le stress et le temps de préparation des audits et vous permet de répondre rapidement aux questions lors des audits de conformité. Vous pouvez :

• Découvrez où se trouvent vos données réglementées et restreignez l'accès.
• Appliquez des politiques de password policies strictes.
• Détectez les menaces à leurs premiers stades.
• Établissez et maintenez des configurations de système sécurisées.
• Produisez des preuves faciles à lire pour les auditeurs.

Intéressé à en savoir plus sur comment la Compliance Audit Solution de Netwrix peut aider votre organisation ? Demandez votre démonstration personnalisée dès aujourd'hui.

Questions Fréquemment Posées

Combien de pays ont des lois sur la vie privée ?

Selon la Conférence des Nations Unies sur le commerce et le développement (UNCTAD), 137 sur 194 pays ont mis en œuvre une législation sur la protection des données. Au total, 71 % des pays disposent de réglementations sur la vie privée, 9 % des pays ont une législation en projet et 15 % des pays n'ont aucune législation.

Étant donné que la plupart des pays ont des lois sur la vie privée et que le flux d'informations devient de plus en plus mondialisé, les entreprises doivent établir des politiques pour assurer la conformité avec ces lois. Sinon, elles peuvent se voir infliger des amendes coûteuses et subir une perte de réputation.

Existe-t-il une loi internationale sur la confidentialité des données ?

Oui. Le Règlement général sur la protection des données (RGPD) de l'Union européenne est une loi internationale sur la vie privée qui affecte toute organisation qui traite ou stocke les informations de tout résident de l'UE.

D'autres lois sur la protection de la vie privée des données au niveau étatique, fédéral et régional avec des applications internationales incluent le California Consumer Privacy Act (CPRA), la loi chinoise sur la protection des informations personnelles (PIPL) et la Privacy Act 1988 de l'Australie.

Quelles sont les principales lois mondiales sur la protection des données ?

Les principales lois mondiales sur la vie privée comprennent :

• Le Règlement général sur la protection des données (RGPD) de l'Union européenne
• La loi générale sur la protection des données du Brésil
• La loi chinoise sur la protection des informations personnelles (PIPL)
• California Consumer Privacy Act (CPRA)
• La loi australienne sur la vie privée de 1988

Combien de lois mondiales sur la protection des données existe-t-il ?

Au moins 17 pays et régions disposent de lois sur la protection des données personnelles existantes ou en attente, similaires au GDPR. Ainsi, vous devriez commencer à préparer votre entreprise à se conformer au GDPR, au PIPL et à d'autres réglementations mondiales sur la protection des données privées.

Quels sont les principes des lois sur la vie privée ?

Malgré leurs différences apparentes, chaque loi sur la vie privée repose sur les mêmes principes. Ceux-ci incluent :

• Consentement — Les entreprises doivent obtenir le consentement éclairé des individus avant de stocker ou de partager leurs informations. Le consentement donne aux individus le contrôle de leurs données personnelles.
• Limitation de finalité — Les organisations doivent limiter l'utilisation des données personnelles à des fins spécifiques et légitimes. Cela garantit que ce que vous faites avec les données des personnes concernées correspond à ce que vous leur avez dit.
• Minimisation des données — Les entreprises ne peuvent collecter et conserver que les données personnelles nécessaires. Cela réduit l'impact d'une violation.
• Droits individuels — Les organisations doivent accorder aux personnes concernées des droits sur leurs données personnelles, y compris le droit d'accès, de rectification et de suppression.