5 La protection des données à l'heure du COVID-19

Stacey Garrett |

Alors que les entreprises du monde entier se préparaient à répondre aux exigences des nouvelles lois et réglementations sur la confidentialité des données en 2020, le monde a reçu une balle courbe sous la forme de COVID-19.

Au sommet virtuel de Mitratech, L'avenir de la conformitéj'ai rencontré Mark Delgado, directeur général des produits de conformité de Mitratech, et Michael Rasmussen, fondateur de GRC 20/20, pour discuter de ce qui a changé et de ce qui n'a pas changé.

Voici cinq points à retenir concernant l'effet de la directive COVID-19 sur la confidentialité des données et les pratiques commerciales :

1 - Malgré la pandémie mondiale, l'application par le secteur privé des lois sur la protection de la vie privée n'a pas ralenti.

La loi californienne sur la protection de la vie privée des consommateurs (California Consumer Privacy Act) est entrée en vigueur en janvier 2020. Bien que la CCPA n'en soit qu'à ses débuts, au moins 19 actions en justice ont été intentées, au moins 19 actions en justice ont été intentées alléguant des violations de la CCPA ou des violations d'autres lois sur la protection des consommateurs et la concurrence déloyale fondées sur la CCPA.

Certaines de ces actions sont des recours collectifs alléguant que les informations personnelles sensibles des plaignants ont été violées parce que le défendeur n'a pas mis en œuvre et maintenu des mesures de sécurité raisonnables.

Infographie : Lignes directrices pour une intégration efficace des fournisseurs

Atténuer les risques tout en établissant de solides relations avec les fournisseurs.

Télécharger maintenant

Dans ces cas, les plaignants demandent des dommages-intérêts légaux compris entre 100 et 750 dollars par consommateur et par incident, ce qui peut vite s'avérer très coûteux. D'autres actions en justice visent à tester les limites de la CCPA et obligeront les juges à interpréter et à appliquer la loi d'une manière qui aura des effets durables.

2 - L'application réglementaire des lois sur la protection de la vie privée n'a pas non plus ralenti.

Le procureur général de Californie, Xavier Becerra, commencera à appliquer la CCPA le 1er juillet 2020. En mars 2020, 60 groupes professionnels et entreprises ont demandé au procureur général de reporter l'application de la loi sur la protection des consommateurs au 2 janvier 2021 en raison de l'affaire COVID-19 et du fait que les règlements relatifs à la loi sur la protection des consommateurs n'avaient pas encore été finalisés. Le procureur général a refusé.

Au contraire, le bureau du procureur général a réaffirmé qu'il s'engageait à appliquer la loi sur la protection des consommateurs à partir du 1er juillet, même avec la nouvelle réalité créée par la loi COVID-19.

3 - L'augmentation de la main-d'œuvre à distance met l'accent sur la sécurité des données

Le COVID-19 a entraîné un changement de nuit pour le travail à domicile. Examinez ces statistiques :

  • 88 % des organisations ont encouragé ou demandé à leurs employés de travailler à domicile.
  • Le travail à distance est là pour durer. 75 % des entreprises prévoient de passer définitivement au travail à distance après la conférence COVID-19.
Figure_1_74_des_entreprises_prévoient_de_passer_à_plus_d'éloignement_du_travail_après_la_COVID

L'évolution de la main-d'œuvre s'accompagne d'une évolution des risques pour la sécurité de la confidentialité des données. Les entreprises sont confrontées à une augmentation des menaces liées au courrier électronique et à des lacunes dans la sécurité des terminaux. Bon nombre des pare-feu et autres mesures de sécurité qui existent dans l'environnement de l'entreprise sont absents de l'environnement du bureau à domicile, ce qui rend les données vulnérables.

Les entreprises peuvent atténuer ce risque en dotant les travailleurs à distance d'une infrastructure de sécurité, en formant les travailleurs à reconnaître les menaces à la sécurité et en les sensibilisant à la culture de la protection de la vie privée et de la conformité.

4 - Les entreprises signalent une augmentation des demandes d'accès et de suppression de la part des consommateurs.

Que l'augmentation des demandes des consommateurs soit due au fait qu'ils sont plus conscients de leurs droits en matière de protection de la vie privée en général, ou au fait qu'ils passent plus de temps à la maison et en ligne à cause de COVID-19, le résultat est le même : de plus en plus de consommateurs exercent leurs droits en vertu de la CCPA et du règlement général sur la protection des données de l'Union européenne.

Par conséquent, les entreprises doivent être prêtes à accuser réception des demandes des consommateurs et à y répondre dans les délais requis par la législation applicable (généralement 45 jours en vertu de la CCPA et un mois en vertu du GDPR). Les entreprises qui se sont efforcées de rationaliser et d'automatiser leurs processus d'accueil des consommateurs, d'accusé de réception, de récupération des données et d'archivage seront mieux équipées pour répondre de manière efficace et précise à l'augmentation des demandes des consommateurs.

5 - Les programmes de retour à l'emploi posent de nouveaux défis

Alors que les entreprises envisagent le retour de leurs employés dans les bureaux, les usines, les magasins et les centres de services, nombre d'entre elles se demandent comment protéger les travailleurs et les visiteurs de l'exposition au COVID-19. Dans le cadre de ce processus, de nombreuses entreprises prennent la température des employés et d'autres leur demandent de fournir des informations médicales sous la forme d'antécédents médicaux et d'attestations de santé actuelles.

En fonction de la législation applicable, la collecte et la conservation de ces informations personnelles peuvent nécessiter une notification aux employés. La CCPA, par exemple, exige que les entreprises informent les travailleurs et les consommateurs des informations personnelles qu'elles collectent à leur sujet et de la finalité professionnelle ou commerciale de l'utilisation de ces informations. De même, le GDPR exige que le responsable du traitement des données informe les individus de l'objectif du traitement des données, ainsi que de la base juridique du traitement des données.

Comme les employeurs collectent de plus en plus d'informations personnelles auprès de leurs employés, les avis et politiques de confidentialité des données devront être mis à jour pour suivre l'évolution des pratiques de collecte et garantir un traitement sécurisé des données sensibles.

Ces cinq points essentiels ne sont que les points saillants de notre débat approfondi. Pour écouter l'intégralité de notre conversation sur la confidentialité des données dans ce nouveau monde, consultez l'intégralité de notre table ronde ici.

[bctt tweet="Les entreprises peuvent atténuer les risques liés au travail à domicile en dotant les travailleurs à distance d'une infrastructure de sécurité, en leur apprenant à reconnaître les menaces à la sécurité et en les sensibilisant à la culture de la protection de la vie privée et de la conformité." via="yes"]