Gartner estime que d'ici la fin de l'année, 65 % des personnes dans le monde verront leurs données personnelles protégées par des réglementations en matière de protection de la vie privée. C'est une excellente nouvelle pour les consommateurs, mais un défi difficile à relever pour les entreprises qui tentent d'exploiter les données.
Il existe aujourd'hui plus de 120 réglementations en matière de protection des données et de la vie privée dans le monde. Et de nombreuses autres sont en cours d'élaboration. Pour les entreprises opérant à l'échelle mondiale, il peut être très difficile de s'y retrouver. Il est essentiel pour les annonceurs de comprendre ces réglementations afin de s'assurer qu'ils restent conformes et qu'ils choisissent en toute confiance des fournisseurs de données et des partenaires respectueux de la vie privée.
Ce guide complet explique les lois les plus restrictives en matière de protection des données afin que les annonceurs puissent mieux comprendre ce qu'ils peuvent et ne peuvent pas faire avec les données de première main.
Le non-respect de la confidentialité des données se paie au prix fort
Il existe deux risques principaux en matière de confidentialité des données :
- Perdre des marchés parce que les utilisateurs ont perdu confiance dans la manière dont vous traitez leurs données.
- Les organismes de réglementation infligent des amendes pour traitement non conforme des données.
Ces deux risques s'accompagnent de coûts qui peuvent gravement nuire à une entreprise. Par exemple, la loi brésilienne sur la protection des données peut représenter 2 % du chiffre d'affaires d'une entreprise au Brésil et le GDPR de l'Union européenne peut représenter 4 % du chiffre d'affaires d'une entreprise au niveau mondial. Bien que la plupart de ces lois soient encore récentes, il existe de nombreuses lois sur la protection des données dans l'Union européenne. les entreprises qui ont déjà été condamnées à des amendes importantes.
Quelques informations sur les amendes importantes liées au GDPR :
- L'amende la plus importante à ce jour est celle infligée par le GDPR à Amazon en 2021, d'un montant de 877 millions de dollars.
- Meta (anciennement Facebook) s'est vu infliger en 2022 une amende de 433 millions de dollars.
- Le Les plus grosses amendes du GDPR Parmi eux, on trouve également Google, qui s'est vu infliger à deux reprises des amendes d'un montant total de 65 millions de dollars.
- Le GDPR a infligé une amende à un environ 1 000 entreprises au cours des deux dernières années, avec des amendes cumulées de 1,25 milliard de dollars.
Pour les entreprises qui n'exercent leurs activités qu'aux États-Unis, il existe des réglementations spécifiques à chaque État. La première réglementation active a été la CCPA de Californie, qui prévoit une amende de 7 500 dollars pour chaque violation de la confidentialité des données des consommateurs. À ce jour, dix entreprises ont été condamnées à des amendes, mais les montants totaux n'ont pas été divulgués. Ce qui est clair, c'est que des réglementations telles que la CCPA peuvent entraîner un cauchemar de résolution de demandes et de frais supplémentaires une fois que les consommateurs ont identifié un problème.
Les entreprises doivent prendre des précautions pour éviter les sanctions pour non-conformité. C'est particulièrement vrai pour les spécialistes du marketing qui utilisent de nombreuses données pour identifier des publics cibles et passer des contrats publicitaires. Il est donc essentiel que les annonceurs comprennent clairement les politiques les plus strictes et les questions importantes à poser en interne et en externe pour garantir la conformité.
Règlements notables en matière de protection des données
Les réglementations dont on parle le plus aujourd'hui sont celles qui ont été adoptées avec des délais de grâce ou celles qui donnent lieu à des amendes. Le règlement général sur la protection des données (RGPD) de l'Union européenne est l'un des plus stricts et des plus médiatisés. La loi brésilienne sur la protection des données (LGPD) a été adoptée après le GDPR et constitue la réglementation la plus importante en Amérique du Sud. Aux États-Unis, la loi californienne sur la protection des données des consommateurs (CCPA) a été la première à être adoptée, suivie de près par la loi sur la protection des données du Colorado et la loi sur la protection des données des consommateurs de Virginie (CDPA). Voici le détail de ces réglementations actives qui créent un précédent pour le reste du monde.
Règlement général sur la protection des données (GDPR)
- Date d'adoption de la loi : 14 avril 2016
- Date d'entrée en vigueur : 25 mai 2018
- Définition : Le GDPR exige que les entreprises demandent certaines permissions pour partager des données et donne aux individus des droits d'accès, de suppression ou de contrôle de l'utilisation de ces données. Le GDPR prévoit une autorisation "opt-in" lorsque l'utilisateur s'inscrit activement pour recevoir des courriels ou des bulletins d'information en fournissant son adresse électronique et parfois son nom et d'autres informations personnelles. À noter que le Royaume-Uni dispose également de sa propre version du GDPR : GDPR DU ROYAUME-UNI
- Mise en œuvre : Les autorités de protection des données (DPA) des 27 États membres de l'UE veillent à l'application du GDPR. Ces autorités sont indépendantes du gouvernement. Leur rôle est d'enquêter sur les plaintes, de fournir des conseils sur les questions de protection des données et de déterminer si le GDPR a été enfreint.
- Pénalités : Pour les infractions particulièrement graves, l'amende peut atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial de l'exercice précédent, le montant le plus élevé étant retenu. Pour les infractions moins graves, les amendes peuvent aller jusqu'à 10 millions d'euros ou jusqu'à 2 % du chiffre d'affaires mondial de l'exercice précédent, le montant le plus élevé étant retenu.
- Ce que cela signifie pour les annonceurs : Le GDPR s'applique à toute entreprise qui traite les données personnelles de citoyens ou de résidents de l'UE, ou qui leur propose des biens ou des services. Toute entreprise correspondant à cette description doit adhérer à ces sept principes :
- Légalité, loyauté et transparence - Le traitement doit être licite, loyal et transparent pour la personne concernée.
- Limitation des finalités - Vous devez traiter les données pour les finalités légitimes spécifiées explicitement à la personne concernée lorsque vous les avez collectées.
- Minimisation des données - Vous ne devez collecter et traiter que le nombre de données absolument nécessaire aux fins spécifiées.
- Exactitude - Vous devez veiller à ce que les données à caractère personnel soient exactes et à jour.
- Limitation du stockage - Vous ne pouvez stocker les données d'identification personnelle que pendant la durée nécessaire à la réalisation de l'objectif spécifié.
- Intégrité et confidentialité - Le traitement doit être effectué de manière à garantir une sécurité, une intégrité et une confidentialité appropriées (par exemple en utilisant le cryptage).
- Responsabilité - Le responsable du traitement des données doit être en mesure de démontrer que le GDPR est conforme à tous ces principes.
Il est également important que les annonceurs soient conscients des nouvelles règles strictes relatives à ce qui constitue une "publicité". le consentement d'une personne concernée pour traiter leurs informations.
- Le consentement doit être "librement donné, spécifique, éclairé et sans ambiguïté".
- Les demandes de consentement doivent être "clairement distinguées des autres questions" et présentées dans un "langage clair et simple".
- Les personnes concernées peuvent retirer leur consentement à tout moment, et vous devez respecter leur décision. Vous ne pouvez pas simplement remplacer la base juridique du traitement par l'une des autres justifications.
- Les enfants de moins de 13 ans ne peuvent donner leur consentement qu'avec l'autorisation d'un parent.
- Vous devez conserver une preuve documentaire du consentement.
Loi générale sur la protection des données au Brésil (LGPD)
- Date d'adoption de la loi : 14 août 2018.
- Date d'entrée en vigueur : 18 septembre 2020.
- Définition : La LGPD régit le traitement des données à caractère personnel dans le but de protéger les droits fondamentaux de la liberté et de la vie privée des individus. Toute organisation, quel que soit son lieu d'implantation, qui a des clients au Brésil doit se conformer à la LGPD. Cela signifie que les informations personnelles des citoyens brésiliens ne sont pas les seules à être protégées, mais aussi celles de toute personne dont les données ont été collectées ou traitées sur le territoire brésilien.
- Application de la loi : Cette loi prévoit notamment la création d'une autorité réglementaire fédérale indépendante, l'Autoridade Nacional de Proteção de Dados (ANPD). Son rôle est d'interpréter et d'appliquer la LGPD et d'agir en tant qu'autorité de contrôle nationale.
- Sanctions : Des sanctions administratives peuvent être appliquées par les autorités en cas de violation de la LGPD. Parmi les sanctions, il y a les avis et les amendes, qui peuvent varier de 2 % du chiffre d'affaires réalisé par l'entreprise au Brésil au cours de son dernier exercice fiscal, limité au total à 50 000 000,00 (cinquante millions de reais) par infraction. Il est également possible d'imposer une amende journalière pour contraindre l'entité à cesser les violations.
- Ce que cela signifie pour les annonceurs : Toute entreprise qui recueille des informations sur les utilisateurs pendant qu'ils sont au Brésil doit veiller à respecter ces normes, notamment en obtenant un consentement sans ambiguïté pour l'utilisation de leurs données personnelles. Si vous suivez les règles de consentement " opt-in " du GDPR, vous serez en conformité avec le LGPD.
Loi californienne sur la protection de la vie privée des consommateurs (CCPA & CPRA)
- Date d'adoption de la loi : Le 28 juin 2018, l'ACCP a été adoptée. L'ACPR est un amendement à l'ACPR et a été adoptée le 3 novembre 2020.
- Date d'entrée en vigueur : L'ACCP est entrée en vigueur le 1er janvier 2020. L'amendement de l'ACPR est entré en vigueur le 1er janvier 2023.
- Définition : Cette loi historique garantit aux consommateurs californiens de nouveaux droits en matière de protection de la vie privée :
- Le droit de connaître les informations personnelles qu'une entreprise recueille à leur sujet et la manière dont elles sont utilisées et partagées ;
- Le droit de supprimer les informations personnelles collectées auprès d'eux (avec quelques exceptions) ;
- le droit de refuser la vente ou le partage de leurs données personnelles ; et
- Le droit à la non-discrimination dans l'exercice de leurs droits au titre de la CCPA.
En novembre 2020, les électeurs californiens ont approuvé Proposition 24, CPRAqui a modifié la loi sur la protection des données et ajouté de nouvelles mesures de protection de la vie privée à compter du 1er janvier 2023. À partir du 1er janvier 2023, les consommateurs auront de nouveaux droits en plus de ceux mentionnés ci-dessus, tels que :
- le droit de corriger les informations personnelles inexactes qu'une entreprise détient à leur sujet ; et
- Le droit de limiter l'utilisation et la divulgation d'informations personnelles sensibles collectées à leur sujet.
- Mise en œuvre : L'Attorney General de Californie a toute autorité pour faire appliquer la CCPA. Cela dit, la modification de la loi sur la protection de la vie privée a accordé à l'Agence californienne de protection de la vie privée les pleins pouvoirs administratifs, l'autorité et la compétence pour mettre en œuvre et faire respecter la loi sur la protection de la vie privée ; le procureur général a conservé les pouvoirs d'application de la loi.
- Sanctions : Les violations de la CCPA peuvent être sanctionnées par le bureau du procureur général de Californie, qui peut demander des amendes civiles de 2 500 dollars pour chaque violation ou de 7 500 dollars pour chaque violation intentionnelle, après notification et possibilité de remédier à la situation dans les 30 jours.
- Ce que cela signifie pour les annonceurs : Les entreprises soumises à la CCPA ont plusieurs responsabilités, notamment celle de répondre aux demandes des consommateurs d'exercer ces droits et de leur donner certaines informations. des avis expliquant leurs pratiques en matière de protection de la vie privée.
Loi de Virginie sur la protection des données des consommateurs (VCDPA)
- Date d'adoption de la loi : 2 mars 2021
- Date d'entrée en vigueur : 1er janvier 2023
- Définition : La loi sur la protection des données à caractère personnel donne aux consommateurs le droit d'accéder à leurs données personnelles et de demander qu'elles soient effacées par les entreprises. Elle oblige également les entreprises à procéder à des évaluations de la protection des données en ce qui concerne le traitement des données à caractère personnel à des fins de publicité et de vente ciblées. La loi contient même certaines restrictions concernant l'utilisation de données dépersonnalisées, c'est-à-dire de données modifiées de manière à ne plus identifier directement les personnes à l'origine de ces données.
- Application : Le procureur général de Virginie est la seule entité habilitée à faire appliquer la VCDPA et à demander des dommages-intérêts.
- Sanctions : Les infractions peuvent donner lieu à des sanctions civiles pouvant aller jusqu'à 7 500 dollars par infraction commise par un consommateur. En outre, les entreprises peuvent être tenues de rembourser les dépenses raisonnables du bureau, y compris les frais d'avocat.
- Ce que cela signifie pour les annonceurs : La loi de Virginie n'est pas très différente de la CCPA, mais il est important de noter qu'elle ne précise pas les revenus de l'entreprise. En d'autres termes, elle s'applique aux entreprises de toute taille qui traitent des données.
Une liste complète des réglementations en vigueur dans les différents pays du monde est disponible à l'adresse suivante ici.
Un nouveau règlement sur la protection des données sera adopté en 2023
D'autres réglementations relatives à la protection de la vie privée sont en cours d'élaboration, mais voici quelques-unes des plus importantes qui entreront en vigueur dans un avenir proche.
La loi sur la protection de la vie privée du Colorado (CPA)
- Date d'adoption de la loi : 7 juillet 2021
- Date d'entrée en vigueur : 1er juillet 2023
- Définition : La loi sur la protection de la vie privée du Colorado donne aux résidents du Colorado le droit de refuser la publicité ciblée, la vente de leurs données personnelles et certains types de profilage. À partir du 1er juillet 2024, les responsables du traitement devront respecter les options de refus universelles choisies par les utilisateurs pour la publicité ciblée et les ventes. Les résidents du Colorado ont également le droit d'accéder à leurs données personnelles, de les corriger et de les supprimer, ainsi que le droit à la portabilité des données. Les responsables du traitement disposeront généralement de 45 jours pour répondre aux demandes des consommateurs.
- Exécution : Le respect de la LPC est exclusivement assuré par le procureur général du Colorado ou le procureur de district.
- Sanctions : En vertu de la LPC, les infractions sont passibles de sanctions civiles au titre de la loi sur la protection des consommateurs du Colorado, qui prévoit des sanctions civiles d'un montant maximal de 20 000 dollars pour chaque infraction commise par un consommateur individuel.
- Ce que cela signifie pour les annonceurs : En tant que nouvelle loi sur la protection des consommateurs, elle s'ajoutera à l'activité de la Californie et de la Virginie. Cela signifie que si une entreprise est accusée d'une violation dans un État, cela peut rapidement se répercuter dans d'autres États dotés de réglementations similaires.
La loi du Connecticut sur la protection des données personnelles (CTDPA)
- Date d'adoption de la loi : 10 mai 2022
- Date d'entrée en vigueur : 1er juillet 2023
- Définition : La loi CTDPA confère aux résidents du Connecticut les droits énumérés ci-après :
- Le droit d'accéder aux données à caractère personnel qu'un responsable du traitement a collectées à leur sujet.
- Le droit de corriger les inexactitudes dans leurs données personnelles.
- Le droit de supprimer leurs données à caractère personnel, y compris les données à caractère personnel qu'un responsable du traitement a collectées par l'intermédiaire de tiers.
- Le droit d'obtenir une copie de leurs données à caractère personnel dans un format portable et facilement utilisable qui leur permette de transférer facilement les données à un autre responsable du traitement.
- Le droit de ne pas participer :
- la vente de leurs données personnelles ;
- le traitement de données à caractère personnel à des fins de publicité ciblée ; et
- le profilage qui peut avoir des conséquences juridiques ou d'autres conséquences importantes.
- Application : Le procureur général du Connecticut est seul habilité à faire appliquer la CTDPA.
- Pénalités : Jusqu'à 5 000 dollars par infraction. Outre les sanctions civiles, le procureur général peut également intenter une action en justice pour obtenir des dommages-intérêts supplémentaires.
- Ce que cela signifie pour les annonceurs : Les entreprises qui collectent et traitent des données personnelles de résidents du Connecticut doivent :
- Fournir un avis concernant les types de données à caractère personnel qu'ils traitent, la ou les finalités du traitement, si et pourquoi ils partagent des données à caractère personnel avec des tiers et des informations sur la manière dont les consommateurs peuvent exercer leurs différents droits (par exemple, accès, suppression) sur leurs données à caractère personnel.
- Limiter la collecte de données à caractère personnel à ce qui est adéquat, pertinent et raisonnablement nécessaire au regard des finalités spécifiques pour lesquelles les données sont traitées (également connu sous le nom de "minimisation des données").
- Obtenir le consentement du consommateur avant de traiter ses données sensibles.
- Répondre aux demandes d'exercice des droits des consommateurs accordés en vertu de la LDCP.
- Procéder à des évaluations avant de traiter des données à caractère personnel d'une manière qui présente un risque accru de préjudice pour les consommateurs (appelées "évaluations de la protection des données"). Il s'agit notamment du traitement de données à caractère personnel à des fins de publicité ciblée, de vente ou de profilage, ainsi que du traitement de données sensibles.
Loi de l'Utah sur la protection de la vie privée des consommateurs (UCPA)
- Date d'adoption de la loi : 24 mars 2022
- Date d'entrée en vigueur : 31 décembre 2023
- Définition : Les consommateurs disposent de quatre droits principaux en vertu de la LPUC :
- Droit d'accès - le droit de vérifier si un responsable du traitement traite leurs données et le droit d'accéder à ces données à caractère personnel.
- Droit à l'effacement - le droit de demander à l'entreprise d'effacer les données à caractère personnel qu'ils ont fournies au responsable du traitement.
- Droit à la portabilité des données - le droit d'obtenir une copie de ses données personnelles dans un format facilement utilisable.
- Droit de refuser certains traitements - le droit de refuser le traitement de leurs données personnelles à des fins de publicité ciblée ou de vente de données personnelles.
- Application : Le procureur général de l'Utah est seul habilité à faire appliquer la LPUC.
- Sanctions : Les entreprises disposent d'un délai de 30 jours à compter de la notification pour remédier à l'infraction. Si elles ne le font pas dans ce délai, le procureur général peut imposer des sanctions et des dommages-intérêts pouvant aller jusqu'à 7 500 dollars par infraction.
- Ce que cela signifie pour les annonceurs : Cette loi est moins contraignante pour les entreprises que celles de Californie, de Virginie et du Colorado. Tant qu'une entreprise se conforme à ces réglementations plus strictes, il ne devrait pas y avoir de changement lorsque cette loi entrera en vigueur.
Protections fédérales des données aux États-Unis
Aux États-Unis, la protection des données des consommateurs est principalement gérée au niveau des États, mais il existe de nombreuses réglementations au niveau fédéral qui s'appliquent à certaines industries et auxquelles il convient de se conformer.
Loi sur la protection de la vie privée des enfants en ligne (COPPA)
La COPPA impose certaines exigences aux exploitants de sites web ou de services en ligne destinés aux enfants de moins de 13 ans, ainsi qu'aux exploitants d'autres sites web ou services en ligne qui savent qu'ils collectent des informations personnelles en ligne auprès d'un enfant de moins de 13 ans.
Loi sur la portabilité et la comptabilité de l'assurance maladie (HIPAA)
Le Health Insurance Portability and Accountability Act de 1996, communément appelé HIPAA, est une série de normes réglementaires qui décrivent l'utilisation et la divulgation légales des informations de santé protégées (PHI). La conformité à la loi HIPAA est réglementée par le ministère de la santé et des services sociaux (HHS) et appliquée par l'Office for Civil Rights (OCR).
Loi Gramm Leach Bliley (GLBA)
La loi Gramm-Leach-Bliley impose aux institutions financières (entreprises qui offrent aux consommateurs des produits ou des services financiers tels que des prêts, des conseils financiers ou d'investissement, ou des assurances) d'expliquer à leurs clients leurs pratiques en matière de partage d'informations et de protéger les données sensibles.
Loi sur l'information loyale en matière de crédit (FCRA)
Le Fair Credit Reporting Act protège les informations collectées par les agences de renseignements sur les consommateurs, telles que les agences d'évaluation du crédit, les sociétés d'information médicale et les services de contrôle des locataires. Les informations contenues dans un rapport sur le consommateur ne peuvent être fournies à quiconque n'ayant pas un objectif spécifié dans la loi. Les entreprises qui fournissent des informations aux agences de renseignements sur les consommateurs ont également des obligations légales spécifiques, notamment celle d'enquêter sur les informations contestées. En outre, les utilisateurs des informations à des fins de crédit, d'assurance ou d'emploi doivent informer le consommateur lorsqu'une mesure défavorable est prise sur la base de ces rapports.
Questions à poser aux fournisseurs de données pour garantir le respect de la confidentialité des données
Lorsque l'on travaille avec des fournisseurs de données et des partenaires, il est plus important que jamais de s'assurer qu'ils traitent les données personnelles de manière appropriée. Voici les questions essentielles à poser pour s'assurer que les nouveaux fournisseurs de données resteront en conformité avec les réglementations actuelles et à venir.
- Existe-t-il dans votre entreprise une équipe distincte chargée de veiller au respect de la vie privée ? Ou la protection de la vie privée est-elle intégrée dès la conception ?
- Quelle documentation conservez-vous sur les données que vous collectez, comme le consentement, la manière dont elles sont utilisées, l'endroit où elles sont stockées, l'employé qui en est responsable, etc.
- Quelles mesures de sécurité avez-vous mises en place pour le stockage de vos données ?
- Comment gérez-vous les exigences en matière d'opt-in et d'opt-out imposées par les régulateurs régionaux en matière de protection de la vie privée ?
- Que faites-vous pour répondre aux récentes lois des États américains ?
- Que faites-vous pour répondre aux récentes réglementations GDPR ?
- Comment vous assurer que vous traitez les données sensibles dans le respect de la vie privée, en particulier les données sensibles relatives à la santé ou à la religion ?
- Prévoyez-vous de réaliser un audit/examen de la protection de la vie privée en vue d'une éventuelle certification cette année ? Dans l'affirmative, avec quelle organisation prévoyez-vous de travailler ?
En posant ces questions, on peut se faire une idée précise du sérieux du fournisseur de données en matière de protection des données et de la vie privée, ainsi que de sa capacité à démontrer qu'il respecte les réglementations internationales. En s'associant à des fournisseurs de données tels que ShareThis, qui placent la confidentialité des données au premier plan de leurs pratiques commerciales, les annonceurs pourront moins se préoccuper de la conformité de la confidentialité des données et se concentrer plutôt sur le succès de leur publicité.