La protection des données dans le monde

REGLEMENTS SUR LA CONFIDENTIALITE DES DONNEES
À partir d'un livre électronique NetApp
traduit de l'anglais par Google

Les données sont devenues un actif fongible pour presque toutes les organisations, qu'elles soient à but lucratif, à but non lucratif, grandes ou petites. La combinaison de ressources technologiques accrues pour la collecte de données et de la montée en puissance d'un stockage cloud peu coûteux et potentiellement illimité, les organisations stockent des quantités massives de données sur des particuliers et, dans de nombreux cas, utilisent ces données comme source de revenus.

Du point de vue des personnes dont les renseignements personnels sont achetés et vendus, c'est un problème. L'UE a opéré un virage révolutionnaire pour répondre à ces préoccupations en introduisant le règlement général sur la protection des données, ou RGPD. Ce règlement sur la confidentialité des données protège la confidentialité des données des citoyens et résidents de l'UE, quel que soit l'endroit dans le monde où se trouve l'entreprise qui utilise ces données.

Depuis lors, des lois similaires ont été adoptées dans des pays du monde entier, notamment la California Consumer Privacy Act (CCPA) aux États-Unis, le Lei Geral de Proteção de Dados Pessoais (LGPD) au Brésil et la Protection of Personal Information Act (POPIA). ) en Afrique du sud.

Laquelle de ces lois votre organisation va-t-elle être affectée et quelles sont les différences entre elles? Dans cet ebook, nous vous donnerons un moyen facile de comparer ces réglementations en matière de confidentialité des données du monde entier afin que vous puissiez mieux planifier la manière dont vous répondrez aux exigences uniques de confidentialité des données de votre entreprise.

Tableau de comparaison: Réglementations mondiales sur la confidentialité des données

Loi - GDPR

Portée territoriale: mondiale

Délais de réponse DSAR obligatoires: généralement dans un délai d'un mois

DPO: obligatoire pour les organismes du secteur public et les entreprises qui traitent des données personnelles à grande échelle

Délais de signalement des violations: dans les 72 heures

Pénalité: 4% du chiffre d'affaires annuel global ou 20 millions d'euros, selon la valeur la plus élevée

Loi - CCPA

Portée territoriale: à l'échelle de l'État et mondiale

Délais de réponse DSAR obligatoires: fenêtre de 45 jours, avec des extensions jusqu'à 90 jours autorisées.

DPO: Aucun

Délais de signalement des violations: aucun, mais d'autres lois étatiques exigent des délais de 72 heures

Pénalité: 7500 $ par infraction individuelle et réclamations personnelles de 750 $ par incident

Loi - LGPD

Portée territoriale: mondiale

Délais de réponse DSAR obligatoires: dans les 15 jours

DPO: Obligatoire

Délais de signalement des infractions: dans un délai raisonnable

Pénalité: 2% du chiffre d'affaires annuel brésilien d'une entreprise, plafonnée à 50 millions de reais

Loi - POPI

Portée territoriale: réservée aux organisations basées ou traitant des données personnelles en Afrique du Sud

Délais de réponse DSAR obligatoires: dans un délai raisonnable

DPO: Rôle obligatoire appelé agent d'information

Délais de signalement des violations: dès que raisonnablement possible

Peine: amende de 10 millions de rands ou 10 ans d'emprisonnement

RGPD: le règlement révolutionnaire de l'UE sur la confidentialité des données

RGPD signifie règlement général sur la protection des données. Il a été promulgué par l'Union européenne pour garantir que les organisations à but lucratif et à but non lucratif situées en Europe et les organisations de tout lieu qui traitent les données des résidents de l'UE se conforment à un ensemble strict de règles de confidentialité des données, sous peine de devoir payer des amendes allant jusqu'à 4% des chiffre d'affaires annuel de l'entreprise plafonné à 20 millions d'euros.

Votre organisation est-elle prête?

• Selon des études récentes, le nombre d'entreprises entièrement préparées au RGPD n'est que de 20% et seulement 60% des entreprises technologiques des entreprises sont actuellement conformes au RGPD des entreprises technologiques ont des politiques GDPR en place

• Solution: adoptez des politiques et utilisez une technologie qui peut s'aligner sur les meilleures pratiques du RGPD, telles que la nouvelle technologie de cartographie des données de conformité cloud de NetApp pour le cloud.

Amendes majeures du RGPD

Une liste incomplète de certaines des amendes majeures qui ont été imposées jusqu'à présent et qui démontrent l'énorme impact du RGPD.

5 milliards de dollars: l'amende de Cambridge Analytica sur Facebook

Le groupe de recherche politique a pu accéder aux données de plus de 87 millions d'utilisateurs de Facebook. Le géant des médias sociaux a ensuite été condamné à une amende énorme de 5 milliards de dollars dans le cadre de la plus importante mesure de responsabilité GDPR à ce jour et de la plus grande amende jamais infligée à une entreprise américaine.

220 000 €: Entreprise condamnée par l'UODO de Pologne

Cette amende rendue anonyme a été imposée à une société de technologie qui a récupéré Internet à la recherche de données utilisateur, bien qu'elle n'ait tenté d'obtenir le consentement que d'une petite partie des utilisateurs concernés. Il s'agissait de la première amende imposée par l'Office polonais de la protection des données personnelles.

183 000 000 £: British Airways

Cette amende était le résultat de la violation de données chez British Airways qui a exposé les données d'un demi-million d'utilisateurs à des tiers. L'amende est l'une des plus importantes imposées via l'applicabilité du RGPD.

460 000 €: Faire hôpital

Cette amende infligée par l'Autorité de surveillance néerlandaise pour la protection des données (AP) est une réponse au traitement inapproprié des données des patients par l'hôpital, qui a été découvert lorsqu'il a été révélé que le personnel de l'hôpital accédait au dossier médical d'un patient célèbre sans un accès approprié.

99 000 000 £: Hôtel Marriott

Starwood, une société hôtelière rachetée par l'hôtel Marriott, a ensuite été découverte pour avoir subi une violation de données de 2014 à 2018. La faille a révélé les mots de passe et les informations de carte de crédit de 30 millions de clients protégés par le RGPD.

27 000 €: Vodafone

Le géant des télécommunications a été condamné à une amende pour avoir reçu une demande de suppression de données d'un utilisateur; même si la demande a été acceptée, la personne concernée a continué à recevoir des textes, ce qui signifie que toutes les données du sujet n'avaient pas été supprimées des bases de données de l'entreprise

50 millions d'euros: Google

Cette amende a été imposée par la CNIL en réponse à des plaintes déposées par des groupes de protection de la vie privée qui accusaient Google de violer les directives du RGPD en matière de transparence, de non-ambiguïté et de manque d'information dans la manière dont les comptes Google ont été créés pour la configuration de Téléphones intelligents Android.

1,2 M DKK: axa 4X35

Taxa 4X35 est une société de taxi au Danemark qui conservait des données sur 9 millions de ses utilisateurs, y compris des numéros de téléphone et des informations de trajet, en violation des directives du RGPD sur le traitement des données personnelles.

GDPR: une panne

Portée territoriale

Le RGPD s'applique aux données de tout résident de l'UE qui sont utilisées par toute organisation, à but lucratif ou non, qui traite ces données, peu importe où cette organisation est située. Ce champ d'application étend effectivement le RGPD pour qu'il s'applique aux entreprises situées n'importe où dans le monde, à condition qu'elles traitent les données des citoyens et résidents des États de l'UE.

Définition des données personnelles

Le RGPD définit généralement les données personnelles comme toutes les données qui sont liées à, identifient, décrivent ou pourraient être associées à une personne (ou «personne concernée» comme les personnes sont désignées dans la législation).

Cette identification personnelle peut s'étendre au nom d'une personne, à ses numéros d'identification gouvernementaux, à un code client créé par l'entreprise traitant les données, aux informations en ligne telles que les adresses IP ou les cookies, le GPS ou d'autres données cartographiques, et toute référence aux informations biographiques d'une personne, telles que sa race, sa sexualité, ses croyances philosophiques ou sa religion, ses antécédents économiques ou ses identifiants physiques. Beaucoup de ces caractéristiques spécifiques relèvent de ce que le RGPD appelle des données personnelles sensibles, c'est-à-dire des informations qui doivent bénéficier des niveaux les plus élevés de confidentialité et de protection des données à tout moment.

Base juridique du traitement

Le «traitement» est plus ou moins la manière dont le RGPD fait référence à la vente de données personnelles. Les organisations doivent obtenir le consentement pour collecter des données personnelles, le niveau de consentement variant selon le type de données personnelles collectées. Il est maintenant fréquent, lors de la visite de sites Web, de voir apparaître ces types d'écrans d'autorisation avant de pouvoir accéder au contenu du site Web.

Le RGPD cherche également à limiter la quantité de données stockées par les organisations sans objectif clair. La loi stipule que les organisations ne peuvent collecter que des données personnelles clairement liées à un objectif commercial bien défini. Si une organisation recueille des données personnelles dans un seul but mais décide ensuite de les utiliser à d'autres fins (comme le profilage des consommateurs), cela pourrait être considéré comme une non-conformité.

Sécurité des données

Le RGPD s'attend à ce que les organisations mettent en place certaines précautions de sécurité des données, mais ne précise pas quelles doivent être ces précautions. L'idée sous-jacente est que la confidentialité des données sera atteinte en s'assurant que les contrôles de confidentialité sont correctement mis en place, plus que de pouvoir empêcher par des moyens spécifiques que des violations ne se produisent. En effet, aucune mesure de sécurité n'a jamais réussie à être totalement infaillible contre les fissures.

Transfert de données

Le RGPD limite le transfert de données personnelles de l'intérieur de l'Espace économique européen (EEE) vers des pays en dehors de celui-ci. Cela garantit effectivement que la confidentialité des données peut être assurée à l'intérieur des frontières de l'UE afin de mieux protéger les personnes concernées.

Il existe quelques cas où il est possible de transférer des données en dehors de cette zone définie. Certaines de ces exceptions incluent l'utilisation de ce que le RGPD appelle des «garanties appropriées» qui sont en fait un certain nombre de restrictions d'entreprise et législatives, aux fins de la défense juridique de l'organisation, et si le transfert de données est effectué selon les termes d'un contrat spécifique avec la personne concernée elle-même.

Droits des citoyens

Le RGPD a accordé aux résidents et aux citoyens de l'UE un nombre important de nouveaux droits à la confidentialité des données. Ces droits comprennent:

• Droit de retrait partiel
• Les particuliers peuvent refuser des services spécifiques.

Droit de s'opposer au traitement

Les particuliers peuvent refuser le traitement de leurs données, y compris le profilage automatisé.

EMAIL Marketing

Le RGPD a des réglementations spécifiques concernant la manière dont les campagnes de marketing par e-mail peuvent être menées et les données qu'elles utilisent. Le facteur principal dans ce cas est qu'une telle campagne ne peut inclure les informations personnelles d'une personne concernée que si cette personne a donné son consentement à l'organisation pour utiliser ses données à de telles fins.

Cela signifie que les données collectées et traitées automatiquement par tout moyen technologique ne peuvent pas être utilisées pour compiler des listes de diffusion et des prospects sans obtenir au préalable le consentement explicite de la personne concernée.

Avis de consentement et politiques de confidentialité

Comme indiqué ci-dessus, le consentement est une exigence majeure pour la plupart des autorisations dont les organisations disposent pour utiliser les données collectées auprès des personnes concernées de l'UE. Les politiques de confidentialité doivent désormais être clairement et facilement accessibles selon le RGPD

Délégué à la protection des données

Les exigences de conformité au RGPD incluent la dotation de nouveaux postes tels qu'un délégué à la protection des données (DPO) et un Chief Privacy Officer (CPO).

Signaler une violation de données

Les violations de données peuvent potentiellement exposer des données personnelles et des informations sensibles appartenant aux personnes concernées de l'UE protégées par le RGPD.

Le règlement donne aux entreprises qui ont pris connaissance d'une violation de données 72 heures pour informer toutes les personnes concernées et potentiellement concernées de l'événement.

Pénalités financières

L'un des aspects les plus uniques du RGPD est ses «dents» - des sanctions très sévères en cas de non-conformité (jusqu'à 10 millions d'euros ou 2% du chiffre d'affaires annuel mondial, selon le montant le plus élevé) et les infractions (jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, selon le montant le plus élevé). Tout aussi douloureux est le droit des autorités chargées de la protection des données d'empêcher une entreprise de collecter ou de traiter des données à caractère personnel alors qu'une non-conformité ou une violation présumée fait l'objet d'une enquête.

Affectant les entreprises situées dans ou avec des personnes concernées dans:

• The California Consumer Privacy Act (CCPA) California (États-Unis)
• La loi sur la protection des informations personnelles (POPI) en Afrique du Sud
• La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) au Canada
• LGPD, la loi générale sur la protection des données au Brésil
• La loi sur la protection des données de 2018 au Royaume-Uni.
• Diverses lois sur la confidentialité en vigueur en Australie.

Dans les sections suivantes, nous examinerons un certain nombre de ces nouvelles lois sur la confidentialité des données et verrons comment elles se comparent au RGPD.

CCPA: un modèle de confidentialité des données pour les États-Unis

Le 1er janvier 2020, une nouvelle loi sur la confidentialité des données est entrée en vigueur en Californie, le plus grand État des États-Unis. Ses nombreuses réglementations en matière de confidentialité des données sont largement calquées sur celles du RGPD de l'UE, mais avec quelques différences majeures. Sa portée affecte certaines organisations qui collectent et utilisent des données personnelles sur les citoyens de Californie. La California Consumer Privacy Act (CCPA) est conçue pour donner aux résidents de l'État plus de contrôle sur leurs données personnelles et oblige les entreprises à devenir plus transparentes sur les données qu'elles collectent et stockent sur les consommateurs.

Ce qui est le plus important à propos de ce règlement, outre son impératif très clair pour les entreprises de respecter la confidentialité des données, c'est qu'il est probablement le précurseur d'autres lois à adopter aux États-Unis, à la fois au niveau des États et au niveau fédéral.

CCPA Introduction

Le California Consumer Privacy Act (CCPA) est une loi sur la protection des données que l'État de Californie a promulguée en réponse à l'inquiétude croissante du public concernant l'abus de données personnelles. CCPA donne aux résidents de Californie plus de visibilité et de contrôle sur les informations que les sites Web et les applications collectent à leur sujet.

Quand on considère le nombre de consommateurs qui pourraient être touchés, cela pourrait signifier des amendes énormes pour les entreprises, grandes et petites.

La CCPA complète les réglementations existantes en matière de confidentialité, telles que la California Online Privacy Protection Act (CalOPPA), mais elle introduit également de nouvelles exigences dans les domaines clés suivants:

Lorsque le California Consumer Privacy Act (CCPA) est entré en vigueur le 1er janvier, les entreprises ont été obligées de repenser à la manière dont elles protègent les données personnelles à la suite d'une nouvelle législation sur la confidentialité des données.

Ils ont été confrontés à de nouveaux défis informatiques où, alors que la réglementation se durcissait, ils stockaient des informations sur une gamme de plus en plus diversifiée de systèmes de stockage et de formats de données.

Toutes les solutions ne sont pas à la hauteur ou adaptées au paysage cloud moderne, où les entreprises stockent les données dans une grande variété de formes structurées et non structurées. En conséquence, la conformité CCPA nécessite une nouvelle génération d'outils de protection des données, avec des fonctionnalités capables d'exécuter les fonctions suivantes.

CCPA contre GDPR

Quelles sont les principales différences entre ces deux lois et comment vont-elles affecter votre entreprise? Pour la plupart, le RGPD a une portée beaucoup plus large.

Par exemple, contrairement au RGPD, vous n'avez pas besoin d'obtenir le consentement préalable pour simplement collecter et traiter des données personnelles conformément au CCPA. Mais ce n'est pas parce que vous êtes conforme au RGPD que vous vous conformez au CCPA. Bien que le GDPR et le CCPA partagent de nombreuses fonctionnalités communes, vous devrez toujours répondre à des exigences spécifiques en matière de vente de données personnelles.

Cette section vise à vous donner une ressource facile pour analyser les différences entre ces deux règles de confidentialité des données qui changent la donne.

Portée territoriale

La CCPA s'applique à toute entreprise à but lucratif qui fait des affaires en Californie, collecte des données personnelles sur les résidents de la Californie et satisfait à un ou plusieurs des seuils suivants:

• Il génère des revenus bruts annuels d'au moins 25 millions de dollars américains.
• Il recueille des informations personnelles de 50 000 résidents, ménages ou appareils californiens ou plus par an.
• Il génère plus de 50% de ses revenus annuels en vendant des informations personnelles sur les résidents de Californie.

Bien que la CCPA ne définisse pas ce que signifie faire des affaires en Californie, vous êtes susceptible de relever de la définition si votre entreprise:

• Est basé en Californie.
• A des employés en Californie.
• A des relations avec la Californie par le biais de la propriété de biens immobiliers ou de ventes répétées à des clients de l'État.

Définition des données personnelles

CCPA s'applique aux données personnelles:

• Fourni directement par les utilisateurs dans des formulaires en ligne
• Collectées par des outils de suivi et des technologies associées. Ces informations comprennent tout ce qui peut être utilisé pour identifier, décrire ou être associé de quelque manière que ce soit à un résident ou à un «foyer» californien particulier. L'accent mis sur le ménage est dû au fait qu'il s'agit d'un terme curieux que l'ACCP doit utiliser car il n'est pas défini dans le document.

Le CCPA diffère du RGPD en ce qu'il n'a pas de restrictions spécifiques imposées aux informations personnelles sensibles sur les individus, bien qu'il comporte des dispositions qui empêchent l'utilisation des données personnelles pour discriminer une personne (voir ci-dessous).

Base juridique du traitement

CCPA donne aux entreprises la possibilité de traiter ou de vendre les données personnelles des résidents de Californie, étant donné que ces résidents se sont vus offrir une option clairement indiquée pour se retirer de ces transactions. Ce que l'ACCP considère que la vente de données est cependant assez vaste, car elle n'est pas spécifiquement limitée à un échange financier. Les données peuvent être considérées comme vendues d'une entreprise à une autre si cela a été fait pour une autre «considération précieuse».

Alors que le RGPD donne aux personnes concernées le droit d'empêcher les entreprises d'utiliser leurs données personnelles à des fins de marketing, les droits de désinscription du CCPA concernent davantage la vente de données personnelles.

Sécurité des données

Semblable au RGPD, le CCPA n'a pas d'exigence spécifique en matière de sécurité des données, bien qu'il laisse la porte ouverte à une action privée en cas de violation de données et allègue que l'entreprise n'a pas pris de mesures raisonnables en matière de sécurité. niveau pour empêcher un tel événement de se produire.

Transfert de données

CCPA ne limite pas le transfert de données en dehors des États-Unis. Le RGPD a des règles strictes sur la façon dont les données peuvent être transférées, et il n'est généralement pas possible de le faire en dehors de l'EEE. En tant que pays disposant de lois sur la confidentialité des données état par état, les États-Unis n'offrent actuellement pas une telle protection. Ainsi, actuellement, la Commission européenne n'autorisera que les transferts couverts par le cadre du bouclier de protection des données UE-États-Unis.

Droits des citoyens

La CCPA a accordé de nouveaux droits de confidentialité aux citoyens californiens, qui peuvent désormais demander les données personnelles que vous stockez à leur sujet. Vous devez fournir ces informations rapidement et, dans des circonstances normales, dans les 45 jours. En outre, les résidents de Californie peuvent également vous demander de supprimer leurs données.

Dans le cas de l'un ou l'autre des deux droits, vous ne pouvez refuser une demande que sous certaines conditions et devez gérer les demandes gratuitement. Il est donc essentiel que vous puissiez supprimer ou récupérer des informations sur un client aussi rapidement et efficacement que possible. Mais, sans le bon outillage, cela peut être un processus complexe et prolongé impliquant une multitude de départements commerciaux et un travail manuel important.

Les autres droits incluent

Email Marketing

Lorsqu'il y a un accent particulier sur le marketing par e-mail dans le RGPD, le CCPA ne contient aucune disposition concernant spécifiquement le marketing par e-mail.

Avec la CCPA en vigueur, les entreprises ne pourront désormais vendre des données personnelles sur les résidents californiens de moins de 17 ans que si elles vous ont donné leur consentement préalable.

Les personnes âgées de 13 à 16 ans pourront autoriser elles-mêmes la vente de leurs données. Cependant, dans le cas des enfants de moins de 13 ans, il est nécessaire d'obtenir le consentement d'un parent ou d'un tuteur.

= Délégué à la protection des données

Contrairement au RGPD, le CCPA n'exige pas la nomination d'un délégué à la protection des données dédié, ni aucun rôle similaire (y compris un responsable de la confidentialité ou un CPO).

Signaler une violation de données

La CCPA n'a pas d'exigences spécifiques en matière de délai de violation de données. Il existe également une autre loi, la California Data Breach Notification Law, conformément à laquelle l'ACCP agit. Notez qu'il existe certaines circonstances dans lesquelles des données violées pourraient donner lieu à une action conformément à la loi sur la notification, mais PAS en vertu de la CCPA.

Pénalités financières

L'État californien peut imposer une sanction civile allant jusqu'à 7 500 $ par violation à toute entreprise qui enfreint la CCPA et ne satisfait pas aux exigences de la loi dans les 30 jours. En outre, tout citoyen californien aura également le droit de réclamer des dommages-intérêts pouvant aller jusqu'à 750 $ par incident en cas d'exposition. Donc, ne pas atteindre les objectifs de conformité du CCPA peut être coûteux.

CCPA Fines

• 7500 $ par violation si non conforme dans les 30 jours.
• 750 $ par incident peuvent être poursuivis par des particuliers lorsque les données sont exposées.

LGPD: la version brésilienne du RGPD

Les équipes de stockage, de conformité et de sécurité du monde entier examinent leurs pratiques de protection des données en réponse au prochain Lei Geral de Proteção de Dados Pessoais (LGPD), une loi brésilienne sur la confidentialité des données similaire au règlement général sur la protection des données (RGPD).

Le LGPD sera la dernière d'une série de lois plus strictes sur la protection des données visant à répondre aux préoccupations du public concernant l'utilisation généralisée de leurs données. La nouvelle loi a été élaborée depuis longtemps.

Après un long retard, il devait finalement entrer en vigueur en août de cette année. Mais, en raison de l'impact de la pandémie de coronavirus, le gouvernement brésilien a repoussé à nouveau la date d'entrée en vigueur pour donner aux organisations plus de temps pour se préparer à la législation.

Mais avec de nombreuses entreprises qui ont encore du mal à se conformer à d'autres nouvelles réglementations sur la confidentialité des données, le retard du LGPD donne aux entreprises l'occasion de commencer à élaborer des plans pour répondre aux exigences du LGPD dès que possible. Dans certains cas, les dispositions seront identiques à celles mises en place pour répondre aux normes du RGPD. Mais dans d'autres cas, il y aura des différences subtiles.

Dans cet article, nous passons en revue les principales caractéristiques de la LGPD tant attendue, l'approche du Brésil à l'égard de cette législation et la comparaison avec son homologue européen.

Le LGPD en bref

Avec LGPD, le Brésil se propose d'harmoniser une multitude de lois disparates en un ensemble unifié de normes. Il renforce les droits de confidentialité des données des ressortissants brésiliens grâce à des contrôles plus stricts sur la manière dont les entreprises sont autorisées à stocker et à traiter les données personnelles.

Il est également conçu pour promouvoir les meilleures pratiques en matière de confidentialité et aider les entreprises à tirer parti de la conformité comme une opportunité de générer plus de revenus. De plus, il libère la concurrence en permettant aux entreprises privées de traiter des données personnelles à l'usage du secteur public.

Bien que moins étendue que la réglementation européenne, la LGPD vise à atteindre à peu près les mêmes objectifs de confidentialité.

En conséquence, les deux lois sont remarquablement similaires, partageant un objectif commun sur la responsabilité, la sécurité, la minimisation des données, la limitation des finalités et la confidentialité dès la conception.

LGPD vs GDPR: une comparaison

Portée territoriale

En ce qui concerne le champ d'application territorial de chaque loi, la LGPD et le RGPD suivent le même principe de base. À savoir, elles s'appliquent à toute organisation qui stocke ou traite des données personnelles sur les citoyens de la juridiction territoriale qu'elles couvrent, quel que soit leur emplacement dans le monde.

En d'autres termes, où que vous soyez, si votre entreprise propose des biens et des services sur le marché brésilien, vous devrez prendre des mesures pour vous conformer à la LGPD.

Définition des données personnelles

Alors que le RGPD est très spécifique sur ce qui constitue des données personnelles, dans le cadre du LGPD, il est beaucoup moins clairement défini. Cependant, cela peut changer à l'avenir à mesure que la loi entre en vigueur au quotidien.

D'autre part, la LGPD reflète le RGPD en désignant certains types d'informations, telles que celles concernant l'origine raciale ou ethnique, la santé ou l'appartenance à un syndicat, comme des données personnelles sensibles, où des règles particulières s'appliquent.

Base juridique du traitement

Comme pour le RGPD, le LGPD établit une liste de motifs légaux pour le traitement des données personnelles. Celles-ci sont globalement similaires, par exemple pour répondre à une obligation légale ou contractuelle ou lorsque la personne vous a donné son consentement pour traiter ses données personnelles dans un but spécifique.

Cependant, avec LGPD, le Brésil autorise explicitement une base légale pour l'utilisation des données personnelles qui n'est pas directement couverte par le RGPD: le traitement des données personnelles d'une personne dans le but de protéger son pointage de crédit.

Néanmoins, dans la plupart des cas, le RGPD interpréterait toujours cela comme une base appropriée pour le traitement - au motif que cela est dans l'intérêt légitime du consommateur.

Sécurité des données

Pour l'Europe et le Brésil, la loi sur la confidentialité des données implique la sécurité des données. En vertu de la LGPD et du RGPD, vous êtes tenu de mettre en œuvre des mesures techniques et organisationnelles appropriées pour protéger les données personnelles contre tout accès, divulgation, altération ou destruction non autorisés.

L'organisme brésilien chargé de faire respecter la protection des données, l'Autorité nationale de protection des données (ANPD), est chargé de fournir des orientations plus détaillées sur les normes techniques minimales que vous devrez adopter.

Le RGPD ne spécifie pas directement les mesures de sécurité que vous devriez mettre en place. Cependant, les agences d'application nationales, telles que l'Information Commissioner's Office (ICO) au Royaume-Uni, offrent chacune un guide général pour respecter vos obligations en matière de sécurité.

Transfert de données

Le LGPD prend la même ligne que le GDPR en interdisant le transfert de données personnelles hors du territoire brésilien, sauf dans certaines circonstances ou vers des pays qui offrent un niveau réglementaire élevé de protection des données.

Cela pourrait avoir des implications en matière de résidence des données pour les entreprises basées aux États-Unis, qui suivent actuellement une approche disparate de réglementations de protection des données état par état plutôt qu'un cadre juridique unifié à l'échelle nationale.

Droits des citoyens

Les deux lois accordent essentiellement aux personnes concernées les mêmes droits fondamentaux. Par exemple:

• Consentement: vous ne pouvez traiter et stocker des données sur un individu brésilien qu'avec son consentement, qu'il peut révoquer à tout moment.
• Demandes d'accès des personnes concernées (DSAR): la LGPD accorde aux Brésiliens les mêmes droits d'accès fondamentaux, y compris le droit de rectification et le droit d'effacement, que le RGPD pour les citoyens de l'UE.

Cependant, en vertu de la LGPD, vous devez répondre à un DSAR dans les 15 jours. Cela peut signifier que vous devrez améliorer vos procédures de réponse DSAR, car

il s'agit d'une période nettement plus courte que le mois autorisé par le RGPD. Le respect de ce type de délai serré dépendra en grande partie de votre capacité à automatiser vos rapports DSAR.

Email Marketing =

Alors que le RGPD applique des règles strictes au marketing par e-mail et à la messagerie texte, il s'agit d'un domaine qui n'est pas directement couvert par le LGPD.

Cependant, comme avec le RGPD, il est toujours logique de demander l'approbation d'un individu pour recevoir des e-mails marketing et des SMS, car cette activité est susceptible de constituer une forme de traitement de données nécessitant un consentement.

Avis de consentement et politiques de confidentialité

L'approche du LGPD pour obtenir le consentement est très similaire à celle du RGPD. Selon LGPD, le consentement d'un client doit être spécifique, éclairé, sans ambiguïté et donné librement. En d'autres termes, vous devez être franc sur ce à quoi une personne consent exactement et lui donner un contrôle proactif sur la façon dont vous utilisez ses données.

Vous devez tenir compte de ces exigences dans la conception de vos formulaires d'inscription, de vos paiements en ligne et de vos avis de consentement aux cookies. Bien que le LGPD ne fasse aucune référence directe aux politiques de confidentialité, vous devez tout de même revoir le libellé de votre politique pour vous assurer qu'elle respecte les obligations de transparence.

En outre, le consentement doit être granulaire, avec un consentement distinct pour différentes activités de traitement. De plus, vous devez conserver des enregistrements de consentement valide. Les personnes concernées devraient également pouvoir révoquer facilement leur consentement à tout moment.

Délégué à la protection des données

Pour vous conformer au RGPD, vous devrez peut-être désigner un délégué à la protection des données (DPO). Cependant, cela ne s'applique qu'aux organisations du secteur public et aux entreprises privées qui stockent et traitent des données personnelles à grande échelle.

En revanche, en l'état actuel de la LGPD, vous devez désigner un DPD, comme cela s'applique à toute organisation qui traite les données personnelles de citoyens brésiliens. Cependant, dans la pratique, cela risque de se révéler problématique et nécessitera inévitablement des éclaircissements de la part des autorités brésiliennes chargées de l'application de la loi.

Les fonctions de DPD ne doivent pas nécessairement être remplies par un individu. Ils peuvent être réalisés par une équipe interne ou sous-traités à un tiers, tel qu'un service DPO spécialisé. Notez également que le rôle du DPD est distinct et unique de celui du responsable de la protection de la vie privée, ou CPO.

Signaler une violation de données

En cas de violation qui pourrait potentiellement enfreindre les droits à la vie privée des personnes concernées, en vertu de la LGPD et du RGPD, vous devez informer à la fois l'autorité de protection des données (DPA) compétente et les personnes concernées.

Le LGPD indique uniquement que vous devez le faire dans un délai raisonnable, tel que défini par l'ANPD. Le RGPD est plus spécifique et ne vous donne que 72 heures pour notifier la DPA une fois que vous avez connaissance d'une violation.

Pénalités financières

Les sanctions pécuniaires pour violation des règles LGPD sont relativement modestes par rapport au RGPD. L'amende maximale pour une infraction est de 2% du chiffre d'affaires annuel brésilien d'une entreprise et est plafonnée à 50 millions de reais (environ 7,84 millions d'euros ou 9,28 millions de dollars) par infraction.

Cela se compare aux amendes du RGPD pouvant atteindre 4% du chiffre d'affaires annuel mondial ou 20 millions d'euros, selon le montant le plus élevé.

POPIA: la version sud-africaine du RGPD

Le 1er juillet 2020, la loi sud-africaine sur la protection des informations personnelles (POPIA) est finalement entrée en vigueur, faisant suite à d'autres nouvelles réglementations en matière de confidentialité, telles que le règlement général sur la protection des données (GDPR) et le California Consumer Privacy Act (CCPA).

La plupart des articles de la loi sont maintenant officiellement une loi. Mais la conformité n'est pas obligatoire jusqu'à ce que la partie restante de la législation, qui accorde des pouvoirs d'exécution à la nouvelle autorité de régulation sud-africaine, le régulateur de l'information, entre en vigueur le 1er juillet 2021.

Cela signifie que, si votre organisation est soumise à la POPIA, vous ne disposez que de quelques mois pour vous y conformer.

Dans cet article, nous vous donnons une brève introduction à la nouvelle législation et vous aidons à décider si votre entreprise entre dans le champ d'application de la loi. Nous vous guiderons également à travers les principales différences et similitudes entre le POPIA et son homologue européen, le RGPD.

POPIA en bref

La POPIA est la dernière d'une succession de nouvelles lois sur la protection des données visant à renforcer les droits à la vie privée des individus dans le paysage actuel axé sur les données.

La loi a été ratifiée en novembre 2013, plusieurs mois avant que l'UE ne vote l'adoption du RGPD. Mais les progrès ont par la suite stagné pendant plusieurs années jusqu'à ce que le gouvernement sud-africain lui donne enfin le feu vert en 2020.

POPIA contre RGPD

Malgré son origine légèrement plus ancienne, le POPIA est toujours très similaire au RGPD, partageant à peu près les mêmes principes directeurs, notamment la responsabilité, la transparence, la sécurité, la minimisation des données, la limitation des finalités et les droits des personnes concernées.

Portée territoriale

En général, à moins que votre organisation ne soit basée en Afrique du Sud, il est peu probable que vous deviez vous conformer. Mais si vous êtes une entreprise à grande échelle, la réponse n'est pas si simple.

En effet, le champ d'application de la POPIA est différent des autres nouvelles lois sur la protection des données, où ce qui compte est le lieu du traitement plutôt que celui de la personne concernée.

Par exemple, le RGPD s'applique à toute organisation qui traite des informations personnelles sur les citoyens de l'Espace économique européen (EEE), quel que soit l'endroit où elles sont basées dans le monde.

Cependant, le POPIA ne s'applique qu'aux entreprises basées en Afrique du Sud ou à celles qui traitent des données personnelles à l'intérieur des frontières sud-africaines. Ainsi, pour vérifier si vous devez vous conformer, vous devez savoir exactement où vous traitez des données personnelles.

Cela devrait inclure la localisation non seulement de vos centres de données sur site, mais également de vos déploiements basés sur le cloud.

Votre infrastructure cloud sera probablement le facteur décisif, car AWS et Microsoft Azure ont désormais des régions cloud en Afrique du Sud. Votre entreprise pourrait donc bien les utiliser dans le but de rapprocher vos données des clients africains.

Définition des données personnelles

En termes de définition des données personnelles, le POPIA est plus étendu que le RGPD, car il couvre non seulement les informations que vous collectez sur les individus, mais également sur les entreprises et autres types d'organisation.

Il s'agit d'un écart important par rapport aux autres lois sur la confidentialité des données. On ne sait donc pas encore exactement comment cela fonctionnera dans la pratique. Cependant, comme première étape vers la conformité, vous devez refléter les nouvelles exigences légales dans vos contrats avec vos partenaires, fournisseurs et vendeurs.

Comme pour le RGPD, le POPIA classe une sous-catégorie distincte de données personnelles, appelées informations personnelles spéciales, qui sont plus sensibles et donc soumises à des exigences plus strictes. Cela concerne principalement un individu:

• croyances religieuses ou philosophiques,
• race ou origine ethnique
• appartenance syndicale
• persuasion politique
• santé
• vie sexuelle ou orientation sexuelle
• caractéristiques physiques, physiologiques ou comportementales (données biométriques)

De plus, le POPIA s'applique aux données personnelles de tout individu, quelle que soit sa nationalité. Ainsi, alors que le RGPD est uniquement conçu pour protéger les citoyens de l'UE, le POPIA protège toute personne dont les données personnelles sont traitées sur le territoire sud-africain ou par une entreprise sud-africaine.

Politiques de consentement et de confidentialité

Contrairement au RGPD, vous n'avez généralement pas besoin de demander le consentement pour collecter les informations personnelles d'une personne. Cependant, vous devez toujours le faire lorsque vous collectez des informations personnelles spéciales.

Des règles de consentement spécifiques s'appliquent également à la collecte de données sur les enfants âgés de 17 ans et moins, où vous avez normalement besoin du consentement d'une personne compétente, comme un parent ou un tuteur.

En outre, vous ne pouvez traiter des données personnelles à des fins de marketing direct (par e-mail, téléphone ou SMS) que lorsque la personne concernée est un client ou a donné son consentement au traitement.

Cependant, vous devez donner aux clients une possibilité raisonnable de s'opposer au traitement s'ils le souhaitent. Et, comme pour le RGPD, vos communications doivent inclure des détails sur la façon de se retirer de votre liste marketing.

Des règles similaires au RGPD s'appliquent également en matière de transparence. Cela signifie essentiellement que, partout où vous collectez des données personnelles sur des individus, vous devez être franc sur:

• qui tu es
• quelles informations vous collectez
• pourquoi vous le collectionnez
• les droits des personnes concernées

Comme pour le RGPD, le moyen le plus pratique de fournir ces informations est de les incorporer dans votre politique de confidentialité en ligne.

Base juridique du traitement

Même si vous n'avez pas nécessairement besoin d'un consentement pour collecter des données personnelles, vous devez toujours remplir toutes les autres conditions POPIA pour un traitement licite.

Celles-ci ont beaucoup en commun avec d'autres nouvelles lois sur la protection des données, telles que des exigences similaires en matière de sécurité des données, de transfert de données et de droits d'accès.

Cependant, vous devez être conscient d'une condition nettement différente dans laquelle, dans toutes les circonstances, sauf dans quelques cas, vous ne pouvez collecter des données que directement auprès de la personne concernée.

Sécurité des données

Le POPIA et le GDPR ne décrivent que des exigences très générales en matière de sécurité des données en indiquant simplement que vous devez mettre en œuvre des mesures techniques et organisationnelles appropriées pour protéger les données personnelles en votre possession.

Cela vous permet essentiellement d'adapter les mesures de sécurité à la nature des données personnelles que vous traitez, au niveau d'impact d'une violation potentielle et au coût de mise en œuvre.

Aucune des deux lois n'entre vraiment dans les détails, bien que la POPIA mentionne que vous devez tenir dûment compte des pratiques et procédures de sécurité généralement acceptées.

Transfert de données

En général, le POPIA et le RGPD interdisent les transferts de données personnelles en dehors de l'Afrique du Sud et de l'EEE respectivement.

Cependant, dans le cas du POPIA, les transferts transfrontaliers sont autorisés vers un tiers soumis à des règles juridiques ou d'entreprise en matière de protection des données essentiellement similaires aux siennes.

Le RGPD fonctionne de manière similaire, où les transferts internationaux ne sont autorisés que vers des pays spécifiques dotés de cadres juridiques assurant une protection adéquate des données personnelles.

En vertu des deux lois, certains types de transfert sont exemptés de ces conditions, par exemple lorsqu'une personne a consenti au transfert ou lorsque le transfert est nécessaire pour exécuter un contrat.

Droit d'accès

Le POPIA accorde aux personnes concernées des droits d'accès, de correction et d'effacement similaires à ceux du RGPD.

En vertu des deux lois, les citoyens peuvent demander, gratuitement, la confirmation du traitement ou non de leurs informations personnelles.

Mais, contrairement au RGPD, le POPIA vous permet de facturer des frais pour fournir aux individus une copie des informations que vous détenez à leur sujet. Si vous choisissez de le faire, vous devez donner une estimation écrite du coût avant de fournir le service.

La POPIA indique uniquement que vous devez répondre à une telle demande dans un délai raisonnable. Le RGPD, en revanche, est plus spécifique - où, dans des circonstances normales, vous devez répondre à une demande d'accès à une personne concernée (DSAR) sans délai et dans un délai d'un mois au plus tard.

Agent d'information

Le POPIA désigne le rôle de responsable de l'information avec des responsabilités similaires à celles d'un délégué à la protection des données (DPO) dans le cadre du RGPD.

Mais, alors qu'un DPO n'est obligatoire que pour les organismes du secteur public et les entreprises privées qui traitent des données à grande échelle, toutes les organisations qui entrent dans le champ d'application du POPIA doivent désigner un responsable de l'information.

En l'absence de nomination officielle, le rôle de responsable de l'information incombe au chef de votre organisation, généralement le chef de la direction (PDG).

Rapport de violation

La procédure POPIA pour signaler une violation de données est très similaire à celle du RGPD - où, en général, vous devez informer à la fois l'organisme de réglementation concerné et les personnes concernées par le compromis.

La POPIA déclare simplement que vous devez le faire dès que raisonnablement possible après avoir pris connaissance de la violation. Cependant, le RGPD vous oblige spécifiquement à informer votre autorité de contrôle dans les 72 heures.

Pénalités pour non-conformité

À 10 millions de rands, la sanction financière maximale pour une infraction POPIA est nettement inférieure à une amende potentielle au RGPD, qui peut atteindre 20 millions d'euros ou 4% du chiffre d'affaires annuel mondial.

Cependant, en vertu de la législation sud-africaine, des individus peuvent être tenus pénalement responsables et condamnés à une peine de prison pouvant aller jusqu'à 10 ans dans des cas plus graves.

De plus, les sanctions POPIA s'appliquent non seulement en cas de non-conformité, mais également à une série d'autres infractions, notamment:

• gêner, gêner ou influencer illégalement les agents de la force publique
• ne pas se présenter aux audiences du tribunal
• couché sous serment

En revanche, les sanctions GDPR se concentrent plus directement sur la non-conformité. Néanmoins, lors de la fixation d'une amende, les autorités européennes chargées de l'application peuvent toujours tenir compte du degré de coopération dont fait preuve une organisation au cours de leurs enquêtes.

Conclusion: vers une confidentialité des données sans frontières

Alors que les données se développent à un rythme plus rapide, la capacité des réglementations de confidentialité des données à contrôler ces données contribue à réduire un peu le monde. Les premières mesures prises par l'UE avec la promulgation du RGPD ont commencé à être vues dans le monde entier.

La Californie, en tant que plus grand État des États-Unis, a promulgué une loi qui, bien que de moindre portée que le RGPD, établit toujours des directives claires sur l'utilisation appropriée des données personnelles. C'est un modèle qui pourrait bientôt être reproduit dans tout le pays, éventuellement au niveau national. Dans un pays aussi vaste et économiquement dynamique que le Brésil, la législation sur la protection des données était inévitable. Pratiquement toutes les entreprises présentes dans le monde traiteront les données personnelles des consommateurs brésiliens. La nécessité de se conformer à la LGPD sera bientôt une exigence mondiale. L'Afrique du Sud, dans son approche de la protection des données, se concentre plus au niveau national; mais en tant que centre économique et culturel, les restrictions de POPIA affecteront de nombreuses entreprises internationales.

Étant donné que bon nombre de ces réglementations ont des stipulations similaires, une directive générale visant à avoir la confidentialité des données par défaut comme point de départ dans votre entreprise aidera à gérer celles-ci et les réglementations à venir en matière de confidentialité des données.