Contribution de Jared Wall1
Les fêtes de fin d'année sont terminées, la nouvelle année est là et votre entreprise est en conformité avec la législation sur les données. N'est-ce pas ?
Même si cela ne figure probablement pas en tête de votre liste de choses à faire pour la nouvelle année, il est essentiel que votre entreprise respecte les réglementations applicables en matière de protection de la vie privée si vous êtes présent en ligne. La technologie et l'évolution des habitudes des consommateurs ont permis aux entreprises d'accéder à plus de données que jamais, et la confidentialité des données devient un domaine de réglementation de plus en plus populaire dans le monde entier. En mars 2022, 157 pays avaient adopté des lois sur la confidentialité des données.2 et les réglementations plus anciennes sont mises à jour ou remplacées. Par exemple, le California Privacy Rights Act (CPRA), adopté par les électeurs californiens en 2020, est entré en vigueur le 1er janvier 2023. La CPRA modifie la loi californienne sur la protection de la vie privée des consommateurs (CCPA), adoptée en 2018, et crée, entre autres, de nouvelles exigences pour certaines entreprises.3
Malheureusement, avec 157 lois sur la protection de la vie privée et le comptage des données promulguées dans le monde, l'uniformité est peu probable. Si les lois peuvent s'inspirer les unes des autres, elles comportent souvent des variations dans leur mise en œuvre. Cela peut rendre la conformité plus difficile pour les entreprises qui peuvent opérer sous la juridiction de plusieurs lois différentes sur la protection de la vie privée.
Un autre piège potentiel est que certaines lois sur la confidentialité des données pourraient être applicables même si votre entreprise n'opère pas activement dans la juridiction qui les promulgue. Par exemple, le règlement général sur la protection des données (RGPD) de l'Union européenne protège les données appartenant aux citoyens et résidents de l'UE. Étant donné que le GDPR protège les données, il s'applique à toute organisation qui “traite” ces données, qu'elle soit basée dans l'UE ou non. L'UE qualifie cette disposition d“”effet extraterritorial", et l'article 3 du GDPR décrit les actions qui placent les entreprises sous l'autorité du GDPR.4
Un thème commun au nombre croissant de réglementations sur la confidentialité des données est la notification aux consommateurs de la nature des données collectées, de la manière dont elles sont collectées et de l'utilisation qui en est faite par l'entreprise. Il s'agit donc d'un bon point de départ pour un examen de la conformité. Comprendre quelles sont les données collectées par votre entreprise et pourquoi elles le sont est une bonne étape pour se mettre en conformité. Le reste dépend de divers facteurs et de l'applicabilité potentielle de 157 réglementations et comptages en matière de protection de la vie privée.
1Jared Wall est l'avocat général associé de Sea Foam International, Inc.
2Greenleaf, Graham, Maintenant 157 pays : Twelve Data Privacy Laws in 2021/22 (15 mars 2022). (2022) 176 Privacy Laws & Business International Report 1, 3-8, UNSW Law Research, disponible sur SSRN : https://ssrn.com/abstract=4137418
3Voir, de manière générale, le titre 1.81.5 California Consumer Privacy Act of 2018 [ § §1798.100 - 1798.199.100].
4Pour plus d'informations, consultez le site https://gdpr.eu/companies-outside-of-europe/#:~:text=The%20GDPR%20does%20apply%20outside,%E2%80%9Cextra%2Dterritorial%20effect.%E2%80%9D.
English (United States)
English (UK)
Chinese
French
Spanish