12 février 2020

Multiplication des Privacy Act: Un casse-tête pour les entreprises ?

A l’occasion du Data Privacy Day, faisons un point sur une actualité riche en nouveaux projets de protection des données personnelles à travers le monde et sur la complexité croissante induite pour les entreprises internationales.

Nous écrivions déjà que le RGPD avait fait boule de neige en incitant de nombreux pays à adopter ou modifier leur législation: Brésil, Inde, Kenya, Nouvelle-Zélande, Botswana, Tunisie, …

Cette nouvelle donne a obligé les entreprises du monde entier à revoir leurs relations aux données personnelles et à se lancer dans une mise en conformité souvent parcellaire et ayant entrainé jusqu’ici 160 000 violations et 126 millions d’euros d’amende

Toutefois le prochain grand chamboulement a déjà commencé aux Etats-Unis, un des plus grands marchés au monde, en commençant par la Californie, 4e économie de la planète !

Il ne peut en rester qu’un (enfin peut-être …) !

Fortement inspiré du RGPD, et avec pour toile de fond les réticences du gouvernement américain à créer un équivalent fédéral, le California Consumer Privacy Act (CCPA) est entré en vigueur le 1er janvier 2020 et sera suivi d’autres réglementations tout aussi ambitieuses. La prochaine pourrait voir le jour dans l’Etat de Washington (Washington Privacy Act – WaPA), terre d’origine de géants comme Microsoft, Amazon, Boeing ou encore Starbucks.

Cette multiplication des projets étatiques et des appels des géants de la tech américaine semble avoir fait bouger les lignes du côté du Sénat américain.

Le Consumer Online Privacy Rights Act (COPRA) pourrait être le véritable équivalent du RGPD en termes de couverture de population et de taille de marché, mais pourrait en l’état introduire une complexité dantesque pour les entreprises.

En effet, une disposition du projet permettrait à chaque Etat américain de se doter de sa propre réglementation particulière. Le risque serait donc d’avoir 50 réglementations différentes avec des nuances subtiles mais marquées, comme entre le CCPA et le projet de WaPA sur la reconnaissance faciale (que le WaPA veut encadrer au maximum).

Un peu à la manière des clans écossais qui utilisaient des tartans de motifs très similaires mais de couleurs différentes pour se distinguer, le COPRA pourrait introduire beaucoup de complexité au travers de nuances et de détails variant d’un Etat à l’autre. Nous serions bien loin d’une réglementation unique de type « One bill to rule them all (and in the privacy bind them). »

Carte des clans écossais Source : flickr

La complexité induite par les différentes législations nationales a déjà rendu le travail de conformité des entreprises globalisées très ardu. La perspective d’une fragmentation supplémentaire sur un marché stratégique comme celui des Etats-Unis pourrait être cauchemardesque pour certaines entreprises.

Par exemple, le droit à l’effacement des données personnelles : il concerne toutes les données collectées selon le RGPD et seules les données récoltées les 12 mois précédant la demande pour le CCPA.

Ce fameux droit à l’oubli, valable uniquement dans l’espace européen selon la récente décision de la CJUE, sera-t-il aussi limité au sol américain, ou l’extraterritorialité de la justice américaine (récemment renforcée au travers du Cloud Act) imposera-t-elle un effacement mondial ?

Ou encore, l’âge minimum de consentement des mineurs s’établissant à 13 ans pour le CCPA (avec demande d’Opt-in entre 13 et 15 ans) et à 16 ans pour le RGPD (pouvant être abaissé à 13 ans si un Etat membre de l’UE en fait le choix), modifiera-t-il les conditions d’accès à certains services selon les localités ?

Gérer cette granularité risque donc de faire perdre la tête à nos professionnels de la Privacy (écossais ou non) !

Programme de Privacy multi-compatible ou Data Ascèse ?

Une des approches possibles pour les entreprises serait de créer un programme de protection des données personnelles « caméléon » ou multi-compatible qui reposerait sur les grands concepts suivants :

  • Transparence: cette notion fondamentale doit rendre à la personne concernée la maîtrise de ses données, de la collecte à la suppression, en passant par tous les stades de l’accès. Plus qu’à aucun moment, c’est en cas de violation ou de perte de données que la transparence devient primordiale, en tant que facteur important de confiance pouvant limiter les dégâts ou achever la réputation d’une entreprise.
  • Consentement et contrat: Si la licéité du traitement peut varier d’un pays à l’autre, le consentement et le contrat sont des dénominateurs communs forts et moins sujets à interprétation qu’une base légale de traitement comme l’intérêt légitime.
  • Minimisation: Pour éviter de jongler entre des jeux de données autorisées sur un territoire et interdits sur un autre, les entreprises pourraient se poser la question de l’utilité des données traitées. Elles ne devraient d’ailleurs pas perdre de vue que la seule donnée sans risque est la donnée que l’on ne traite pas !
  • Enfin, en implémentant et en sensibilisant leurs métiers au Privacy by design et au Security by design, les entreprises pourraient maintenir un haut niveau de Disponibilité, d’Intégrité, de Confidentialité et de Traçabilité, pierres angulaires indiscutables du traitement de données.

Si cette approche semble la plus logique et pragmatique pour une entreprise avec une très forte présence mondiale, elle ne doit pas oblitérer les questions de fond – quasi philosophiques pour les entreprises dites Data driven – sur le « pourquoi » du traitement des données personnelles et sur le « comment » de leur sécurisation.

Pour finir, on imagine mal ces entreprises « Data driven » opérer une révolution culturelle pour devenir « Data ascetic », elles pourraient toutefois avoir recours à la pseudonymisation ou l’anonymisation par défaut, ce qui aurait le mérite de sécuriser les données des personnes concernées sans pour autant leur faire perdre de leur valeur.

Sources:
[1] https://www.maddyness.com/2019/12/20/california-consumer-privacy-rgpd-americain/
[2] https://www.cpomagazine.com/data-protection/us-senators-introduce-new-copra-digital-privacy-act/
[3] https://iapp.org/news/a/comparing-the-new-washington-privacy-act-to-the-ccpa/
[4] https://news.bloomberglaw.com/privacy-and-data-security/washington-state-privacy-bill-targets-facial-recognition
[5] https://www.lemonde.fr/pixels/article/2019/09/24/le-droit-a-l-oubli-ne-s-applique-pas-au-monde-entier-tranche-la-justice-europeenne_6012818_4408996.html

Kévin Mekhloufi, Data Protection Officer

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *