Prédictions en matière de confidentialité des données
Prédictions en matière de confidentialité des données

10 prédictions en matière de protection de la vie privée pour 2020

Stacey Garrett |

Au cours des deux dernières années, les entreprises ont été catapultées dans un nouveau monde vertigineux, avec des attentes et des exigences en matière de protection de la vie privée qui étaient inconnues il y a seulement deux ans.

À peine la loi semblait-elle installée dans l'Union européenne avec le Règlement général sur la protection des données (RGPD ) entré en vigueur le 25 mai 2018, que la Californie s'est précipitée sur le devant de la scène avec son California Consumer Privacy Act (CCPA) qui est entré en vigueur le 1er janvier 2020.

La CCPA est la première loi nationale sur la protection de la vie privée à accorder aux consommateurs des droits étendus de contrôle (et dans certains cas de suppression) des informations personnelles que les entreprises collectent à leur sujet. Depuis lors, un certain nombre d'États ont suivi le mouvement en adoptant ou en proposant des lois sur la protection de la vie privée similaires à la CCPA, qui confèrent aux consommateurs au moins certains droits sur leurs données.

Si toutes les lois sur la protection de la vie privée actuellement à l'étude sont adoptées, 34 % des personnes vivant aux États-Unis auront au moins le droit de contrôler leurs données.

Infographie : Lignes directrices pour une intégration efficace des fournisseurs

Atténuer les risques tout en établissant de solides relations avec les fournisseurs.

Télécharger maintenant

10 prédictions en matière de protection de la vie privée pour l'année à venir...

Et ce n'est pas fini : 2020 est en passe d'apporter de nouveaux changements à une vitesse vertigineuse. Certains de ces changements seront motivés par la demande des consommateurs, d'autres par la concurrence des entreprises et d'autres encore par des obligations légales. Voici 10 prédictions sur l'évolution de la protection de la vie privée en 2020 :

Plus de lois sur la protection de la vie privée spécifiques à chaque État

D 'autres États suivront l'exemple de la Californie et promulgueront des lois sur la protection de la vie privée qui ressembleront à la CCPA, mais avec quelques différences locales. Les entreprises qui exercent leurs activités dans plusieurs États auront du mal à gérer toutes les exigences spécifiques à chaque État. La demande de professionnels de la protection de la vie privée et de programmes complets de mise en conformité va augmenter.

Le respect volontaire de la loi sur la protection des consommateurs, un avantage concurrentiel

Même les entreprises qui ne sont pas strictement soumises à la CCPA commenceront à se conformer volontairement à certains de ses principes, tels que la transparence des pratiques de collecte et d'utilisation des données et la possibilité pour les clients de connaître et de supprimer certaines informations que l'entreprise a collectées à leur sujet. Les entreprises cesseront de considérer la transparence et la protection de la vie privée comme des fardeaux de conformité et commenceront à les considérer comme des avantages concurrentiels.

Un défi constitutionnel à relever

L'ACCP fera l'objet d'un recours constitutionnel. Les opposants feront valoir que la loi viole la clause de commerce dormant de la Constitution des États-Unis parce que l'ACCP impose des charges excessives sur le commerce interétatique sans l'approbation du Congrès.

Cette contestation échouera très probablement. L'ACCP ne traite pas les intérêts économiques internes et externes à l'État différemment et d'une manière qui avantage les entreprises californiennes et pénalise les entreprises externes à l'État. Au contraire, l'ACCP impose des obligations à toutes les entreprises qui satisfont aux exigences minimales de l'ACCP.

Enfin, une loi fédérale sur la protection de la vie privée ?

En réponse aux appels de plus en plus nombreux en faveur d'une uniformité nationale, le Congrès poursuivra ses travaux sur une loi fédérale relative à la protection de la vie privée qui intégrera les principes de la CCPA. La préemption et le droit d'action privé continueront à faire l'objet de vives controverses et retarderont l'adoption d'une loi fédérale sur la protection de la vie privée qui devrait être facile à mettre en œuvre.

Nous ne verrons pas de loi fédérale sur la protection de la vie privée en 2020 (principalement parce que les dirigeants du Congrès seront d'abord préoccupés par la procédure de destitution, puis par les élections de 2020), mais peut-être en 2021 ou 2022.

L'ACCP 2.0 verra le jour

La législation californienne en matière de protection de la vie privée va continuer à évoluer. La nouvelle initiative californienne d'Alastair Mactaggart en matière de protection de la vie privée, le California Privacy Enforcement Act (CPEA), sera soumise au vote en novembre 2020 et sera adoptée. Cette évolution renforcera la nécessité d'une uniformité nationale et d'une préemption fédérale.

Le procureur général en ligne de mire

Les entreprises de tout le pays vont surveiller le bureau du procureur général de Californie pour voir à quelle vitesse il va appliquer la CCPA, qui sera dans le collimateur du procureur général et quelle sera la sévérité des sanctions. En décembre 2019, le procureur général Xavier Becerra a annoncé que si les entreprises ne fonctionnaient pas correctement, son bureau "leur tombera dessus et en fera un exemple, pour montrer que si vous ne faites pas les choses correctement, c'est ce qui vous arrivera".

Même si le procureur général ne prendra pas de mesures d'application avant le 1er juillet 2020, des mesures réglementaires et des amendes de 2 500 à 7 500 dollars peuvent être imposées pour des actes commis dès janvier 2020.

Recours collectifs et sécurité accrue

Maintenant que la loi californienne sur la protection de la vie privée des consommateurs est la première loi du pays qui prévoit des dommages-intérêts légaux dans les cas de violation de données, deux choses vont se produire. Tout d'abord, la Californie va devenir un point chaud pour les recours collectifs en cas de violation de données. Deuxièmement, les entreprises investiront beaucoup plus de ressources dans l'infrastructure de sécurité, le cryptage, la technologie et la formation afin de s'assurer qu'elles disposent de procédures et de pratiques de sécurité solides (et pas seulement "raisonnables").

"Applications "Supprimez-moi

Étant donné que la CCPA permet aux consommateurs de désigner des "agents autorisés" pour accéder aux informations et les supprimer en leur nom, les concepteurs d'applications créeront des applications qui permettront aux consommateurs d'autoriser l'application à soumettre des demandes de suppression en leur nom à des centaines de magasins de détail, de sites web, d'opérateurs en ligne, de plateformes de médias sociaux et d'autres institutions à l'aide d'un seul bouton "Soumettre".

Cela créera une industrie artisanale pour les développeurs d'applications et il sera difficile pour les entreprises de répondre, car de nombreux consommateurs n'ont peut-être même pas de compte chez le détaillant ou sur le site web. Pourtant, la CCPA exigera que l'entreprise confirme la réception de la demande, recherche des données réactives et, en fin de compte, rejette la demande parce qu'il n'y a pas de données à supprimer.

Les réponses manuelles céderont la place à des processus automatisés

Les entreprises continueront à essayer de répondre manuellement aux demandes d'accès et de suppression des données des consommateurs, mais pour certaines d'entre elles et certains secteurs d'activité, cet effort prendra trop de temps et sera sujet à des erreurs. Les entreprises verront les avantages des programmes de réponse automatisés et évolutifs et seront incitées à préparer l'avenir.

Conformité du site web avec les normes ADA

Dans le cadre de leurs efforts de mise en conformité en matière de protection de la vie privée, les entreprises s'attacheront également à rendre leurs sites web accessibles aux personnes handicapées. La CCPA exige que les entreprises publient les avis requis et leur politique de protection de la vie privée sur leurs sites web de manière à ce qu'ils soient accessibles aux consommateurs handicapés. Mais cela ne servira pas à grand-chose si la politique de confidentialité est accessible mais que le reste du site ne l'est pas.

Plusieurs cours d'appel des États-Unis ont désormais statué que les sites web qui ont un lien avec un lieu d'hébergement physique doivent se conformer au titre II de la loi sur les Américains handicapés (Americans with Disabilities Act). En Californie, les violations de l'ADA constituent également des violations de la loi californienne Unruh sur les droits civils, qui permet aux plaignants d'obtenir des dommages-intérêts pouvant aller jusqu'à trois fois les dommages réels, mais pas moins de 4 000 dollars par violation, ainsi que les honoraires d'avocat. (Il n'existe actuellement aucune prescription légale en matière d'accessibilité du web, mais les lignes directrices pour l'accessibilité du contenu web ("WCAG") 2.1 niveau AA sont fréquemment citées par les tribunaux comme étant la norme appropriée).