La protection des données dans le monde : Différence entre versions

Version du 20 février 2021 à 20:07 (voir la source) Sysop (discuter | contributions) ← Modification précédente		Version du 20 février 2021 à 20:12 (voir la source) Sysop (discuter | contributions) Modification suivante →
Ligne 1 :		Ligne 1 :
−	<pre>
	<br/>		<br/>
−	<center><big><big>DATA PRIVACY REGULATIONS</big></big><br/>''From a NetApp e-book''<br/><br/></center>	+	<center><big> <big> REGLEMENT SUR LA CONFIDENTIALITE DES DONNEES </big> </big> <br/> '' À partir d'un livre électronique NetApp '' <br/> <br/> </center>
		+	__NOTOC__
−	Data has become a fungible asset for nearly every organization, no matter if they are profit, non- profit, large, or small. The combination of increased technological resources for data collection and the rise of inexpensive and potentially limitless cloud storage, organizations store massive amounts of data on private individuals and in many cases use this data as a source of revenue.	+	Les données sont devenues un actif fongible pour presque toutes les organisations, qu'elles soient à but lucratif, à but non lucratif, grandes ou petites. La combinaison de ressources technologiques accrues pour la collecte de données et de la montée en puissance d'un stockage cloud peu coûteux et potentiellement illimité, les organisations stockent des quantités massives de données sur des particuliers et, dans de nombreux cas, utilisent ces données comme source de revenus.
−	From the standpoint of the individuals whose personal information is being bought and sold, that is a problem. The EU made a groundbreaking shift to address these concerns by introducing the General Data Protection Regulation, or GDPR. This data privacy regulation protects the data privacy of EU citizens and residents no matter where in the world the company using that data is located.	+	Du point de vue des personnes dont les renseignements personnels sont achetés et vendus, c'est un problème. L'UE a opéré un virage révolutionnaire pour répondre à ces préoccupations en introduisant le règlement général sur la protection des données, ou RGPD. Ce règlement sur la confidentialité des données protège la confidentialité des données des citoyens et résidents de l'UE, quel que soit l'endroit dans le monde où se trouve l'entreprise qui utilise ces données.
−	Since then, similar legislation has been enacted in nations around the world, including the California Consumer Privacy Act (CCPA) in the United States, the Lei Geral de Proteção de Dados Pessoais (LGPD) in Brazil, and Protection of Personal Information Act (POPIA) in South Africa.	+	Depuis lors, des lois similaires ont été adoptées dans des pays du monde entier, notamment la California Consumer Privacy Act (CCPA) aux États-Unis, le Lei Geral de Proteção de Dados Pessoais (LGPD) au Brésil et la Protection of Personal Information Act (POPIA). ) en Afrique du sud.
−	Which of these laws is your organization going to be affected by and what kind of differences are there between them? In this ebook we will give you an easy way to compare these data privacy regulations from around the world so that you can better plan for how you will meet your company’s unique data privacy requirements.	+	Laquelle de ces lois votre organisation va-t-elle être affectée et quelles sont les différences entre elles? Dans cet ebook, nous vous donnerons un moyen facile de comparer ces réglementations en matière de confidentialité des données du monde entier afin que vous puissiez mieux planifier la manière dont vous répondrez aux exigences uniques de confidentialité des données de votre entreprise.
−	==Comparison Table: Worldwide Data Privacy Regulations ==	+	== Tableau de comparaison: Réglementations mondiales sur la confidentialité des données ==
−	:Law : GDPR	+	; Loi - GDPR
−	:Territorial Scope : Global	+	: Portée territoriale: mondiale
−	:Mandatory DSAR response times : Generally within a month	+	: Délais de réponse DSAR obligatoires: généralement dans un délai d'un mois
−	:DPO : Mandatory for public-sector bodies and companies that process personal data at scale	+	: DPO: obligatoire pour les organismes du secteur public et les entreprises qui traitent des données personnelles à grande échelle
−	:Breach reporting deadlines : Within 72 hours	+	: Délais de signalement des violations: dans les 72 heures
−	:Penalty : 4% of global annual revenue or €20 million, depending on which is higher	+	: Pénalité: 4% du chiffre d'affaires annuel global ou 20 millions d'euros, selon la valeur la plus élevée
−	:Law : CCPA	+	; Loi - CCPA
−	:Territorial Scope : Statewide and global	+	: Portée territoriale: à l'échelle de l'État et mondiale
−	:Mandatory DSAR response times : 45-day window, with extensions of up to 90 days permitted.	+	: Délais de réponse DSAR obligatoires: fenêtre de 45 jours, avec des extensions jusqu'à 90 jours autorisées.
−	:DPO : None	+	: DPO: Aucun
−	:Breach reporting deadlines : None, but other state laws require 72-hour deadlines	+	: Délais de signalement des violations: aucun, mais d'autres lois étatiques exigent des délais de 72 heures
−	:Penalty : $7500 per individual violation and personal claims of $750 per incident	+	: Pénalité: 7500 $ par infraction individuelle et réclamations personnelles de 750 $ par incident
−	:Law : LGPD	+	; Loi - LGPD
−	:Territorial Scope : Global	+	: Portée territoriale: mondiale
−	:Mandatory DSAR response times : Within 15 days	+	: Délais de réponse DSAR obligatoires: dans les 15 jours
−	:DPO : Mandatory	+	: DPO: Obligatoire
−	:Breach reporting deadlines : Within a reasonable time period	+	: Délais de signalement des infractions: dans un délai raisonnable
−	:Penalty : 2% of a company’s Brazilian annual revenue, capped at R$50 million	+	: Pénalité: 2% du chiffre d'affaires annuel brésilien d'une entreprise, plafonnée à 50 millions de reais
−	:Law : POPI	+	; Loi - POPI
−	:Territorial Scope : Restricted to organizations that are either based or process personal data in South Africa	+	: Portée territoriale: réservée aux organisations basées ou traitant des données personnelles en Afrique du Sud
−	:Mandatory DSAR response times : Within a reasonable time period	+	: Délais de réponse DSAR obligatoires: dans un délai raisonnable
−	:DPO : Mandatory role known as Information officer	+	: DPO: Rôle obligatoire appelé agent d'information
−	:Breach reporting deadlines : As soon as reasonably possible	+	: Délais de signalement des violations: dès que raisonnablement possible
−	:Penalty : R10 million fine or 10 years’ imprisonment	+	: Peine: amende de 10 millions de rands ou 10 ans d'emprisonnement
−	==GDPR: The EU’s Groundbreaking Data Privacy Regulation ==	+	== GDPR: le règlement révolutionnaire de l'UE sur la confidentialité des données ==
−	GDPR stands for General Data Protection Regulation. It was enacted by the European Union to ensure that profit and non-profit organizations located in Europe and organizations anywhere that process the data of EU residents comply with a strict set of data privacy rules, or else face fines as high as 4% of the company’s yearly revenue, capped at €20 million.	+	GDPR signifie règlement général sur la protection des données. Il a été promulgué par l'Union européenne pour garantir que les organisations à but lucratif et à but non lucratif situées en Europe et les organisations de tout lieu qui traitent les données des résidents de l'UE se conforment à un ensemble strict de règles de confidentialité des données, sous peine de devoir payer des amendes allant jusqu'à 4% des chiffre d'affaires annuel de l'entreprise plafonné à 20 millions d'euros.
−	===Is Your Organization Prepared? ===	+	=== Votre organisation est-elle prête? ===
−	*According to recent studies, the number of completely GDPR-prepared companies is just a mere 20% and only 60% of tech companies of companies are currently GDPR compliant of tech companies have GDPR policies in place	+	* Selon des études récentes, le nombre d'entreprises entièrement préparées au RGPD n'est que de 20% et seulement 60% des entreprises technologiques des entreprises sont actuellement conformes au RGPD des entreprises technologiques ont des politiques GDPR en place
−	*Solution : Enact policies and employ technology that can align with GDPR best practices, such as NetApp’s new Cloud Compliance data mapping technology for the cloud.	+	* Solution: adoptez des politiques et utilisez une technologie qui peut s'aligner sur les meilleures pratiques du RGPD, telles que la nouvelle technologie de cartographie des données de conformité cloud de NetApp pour le cloud.
−	===Major GDPR Fines===	+	=== Amendes majeures du RGPD ===
−	An incomplete list of some of the major fines that have been levied thus far that demonstrate the huge GDPR impact.	+	Une liste incomplète de certaines des amendes majeures qui ont été imposées jusqu'à présent et qui démontrent l'énorme impact du RGPD.
−	===$5 Billion : Facebook’s Cambridge Analytica Fine===	+	=== 5 milliards de dollars: l'amende de Cambridge Analytica sur Facebook ===
−	The political research group was able to gain access to the data of 87 million+ Facebook users. The social media giant was then fined a whopping $5 billion in the most significant GDPR accountability action to date and the largest fine that has ever been levied against a US company.	+	Le groupe de recherche politique a pu accéder aux données de plus de 87 millions d'utilisateurs de Facebook. Le géant des médias sociaux a ensuite été condamné à une amende énorme de 5 milliards de dollars dans le cadre de la plus importante mesure de responsabilité GDPR à ce jour et de la plus grande amende jamais infligée à une entreprise américaine.
−	===€220,000: Company Fined by Poland’s UODO ===	+	=== 220 000 €: Entreprise condamnée par l'UODO de Pologne ===
−	This anonymously publicized fine was levied against a tech company that scraped the internet for user data, though only attempted to gain consent from a small portion of the users affected. This was the first fine that was levied by Poland’s Personal Data Protection Office.	+	Cette amende rendue anonyme a été imposée à une société de technologie qui a récupéré Internet à la recherche de données utilisateur, bien qu'elle n'ait tenté d'obtenir le consentement que d'une petite partie des utilisateurs concernés. Il s'agissait de la première amende imposée par l'Office polonais de la protection des données personnelles.
−	===£183,000,000 : British Airways ===	+	=== 183 000 000 £: British Airways ===
−	This fine was a result of the data breach at British Airways that exposed the data of half a million users to outside parties. The fine is among the largest levied via GDPR applicability.	+	Cette amende était le résultat de la violation de données chez British Airways qui a exposé les données d'un demi-million d'utilisateurs à des tiers. L'amende est l'une des plus importantes imposées via l'applicabilité du RGPD.
−	===€460,000: Haga Hospital ===	+	=== 460 000 €: Faire hôpital ===
−	This fine brought by the Dutch Supervisory Authority for Data Protection (AP) is a response to the hospital’s improper handling of patient data, which was discovered when it became known that hospital staff were accessing a celebrity patient’s medical file without proper access.	+	Cette amende infligée par l'Autorité de surveillance néerlandaise pour la protection des données (AP) est une réponse au traitement inapproprié des données des patients par l'hôpital, qui a été découvert lorsqu'il a été révélé que le personnel de l'hôpital accédait au dossier médical d'un patient célèbre sans un accès approprié.
−	===£99,000,000: Marriott Hotel ===	+	=== 99 000 000 £: Hôtel Marriott ===
−	Starwood, a hotel company that had been purchased by the Marriott Hotel, was later discovered to have been undergoing a data breach from 2014-2018. The breach exposed the passwords and credit card information of as many as 30 million GDPR-protected customers.	+	Starwood, une société hôtelière rachetée par l'hôtel Marriott, a ensuite été découverte pour avoir subi une violation de données de 2014 à 2018. La faille a révélé les mots de passe et les informations de carte de crédit de 30 millions de clients protégés par le RGPD.
−	===€27,000: Vodafone===	+	=== 27 000 €: Vodafone ===
−	The telecommunications giant was fined for receiving a data deletion request from a user; even though the request was acknowledged, the data subject continued to receive texts, meaning that all of the subject’s data had not been removed from the company’s databases	+	Le géant des télécommunications a été condamné à une amende pour avoir reçu une demande de suppression de données d'un utilisateur; même si la demande a été acceptée, la personne concernée a continué à recevoir des textes, ce qui signifie que toutes les données du sujet n'avaient pas été supprimées des bases de données de l'entreprise
−	===€50 Million: Google ===	+	=== 50 millions d'euros: Google ===
−	This fine was levied by the French Data Protection Authority (CNIL) in response to complaints filed by privacy groups who accused Google of violating GDPR guidelines on transparency, unambiguity, and a lack of information in the way that Google accounts were created for the configuration of Android smart phones.	+	Cette amende a été imposée par la CNIL en réponse à des plaintes déposées par des groupes de protection de la vie privée qui accusaient Google de violer les directives du RGPD en matière de transparence, de non-ambiguïté et de manque d'information dans la manière dont les comptes Google ont été créés pour la configuration de Téléphones intelligents Android.
−	===1.2M DKK : axa 4X35 ===	+	=== 1,2 M DKK: axa 4X35 ===
−	Taxa 4X35 is a taxi company in Denmark that was found to be retaining data on 9 million of its users, including phone numbers and ride information, in violation of GDPR guidelines on processing personal data.	+	Taxa 4X35 est une société de taxi au Danemark qui conservait des données sur 9 millions de ses utilisateurs, y compris des numéros de téléphone et des informations de trajet, en violation des directives du RGPD sur le traitement des données personnelles.
−	==GDPR: A Breakdown ==	+	== GDPR: une panne ==
−	===Territorial Scope ===	+	=== Portée territoriale ===
−	GDPR applies to the data of any resident of the EU that is used by any organization, whether profit or non- profit, that processes that data no matter where that organization is located. This scope effectively extends the GDPR to apply to companies located anywhere in the world, provided that they process the data of EU state citizens and residents.	+	Le RGPD s'applique aux données de tout résident de l'UE qui sont utilisées par toute organisation, à but lucratif ou non, qui traite ces données, peu importe où cette organisation est située. Ce champ d'application étend effectivement le RGPD pour qu'il s'applique aux entreprises situées n'importe où dans le monde, à condition qu'elles traitent les données des citoyens et résidents des États de l'UE.
−	===Definition of Personal Data ===	+	=== Définition des données personnelles ===
−	GDPR generally defines personal data as any data that is related to, identifies, describes, or could be associated with a person (or “data subject” as people are referred to in the legislation).	+	Le RGPD définit généralement les données personnelles comme toutes les données qui sont liées à, identifient, décrivent ou pourraient être associées à une personne (ou «personne concernée» comme les personnes sont désignées dans la législation).
−	This personal identification can extend to an individual’s name, their governmental ID numbers, a customer code created by the company processing the data, online information such as IP addresses or cookies, GPS	+	Cette identification personnelle peut s'étendre au nom d'une personne, à ses numéros d'identification gouvernementaux, à un code client créé par l'entreprise traitant les données, aux informations en ligne telles que les adresses IP ou les cookies, le GPS
−	or other map data, and any reference to a person’s biographical information, such as their race, sexuality, philosophical beliefs or religion, economic background, or physical identifiers. Many of these specific traits fall under what GDPR refers to as sensitive personal data, which is information to be afforded the highest levels of data privacy and protection at all times.	+	ou d'autres données cartographiques, et toute référence aux informations biographiques d'une personne, telles que sa race, sa sexualité, ses croyances philosophiques ou sa religion, ses antécédents économiques ou ses identifiants physiques. Beaucoup de ces caractéristiques spécifiques relèvent de ce que le RGPD appelle des données personnelles sensibles, c'est-à-dire des informations qui doivent bénéficier des niveaux les plus élevés de confidentialité et de protection des données à tout moment.
−	===Legal Basis for Processing ===	+	=== Base juridique du traitement ===
−	“Processing” is more or less how GDPR refers to the sale of personal data. Organizations must get consent to collect personal data, with the level of consent varying according to the type of personal data being collected. It is frequent now upon visiting websites to see these kinds of permission screens pop up before being able to access the contents of the website.	+	Le «traitement» est plus ou moins la manière dont le RGPD fait référence à la vente de données personnelles. Les organisations doivent obtenir le consentement pour collecter des données personnelles, le niveau de consentement variant selon le type de données personnelles collectées. Il est maintenant fréquent, lors de la visite de sites Web, de voir apparaître ces types d'écrans d'autorisation avant de pouvoir accéder au contenu du site Web.
−	The GDPR also looks to limit the amount of data organizations store without any clear purpose. The law stipulates that organizations can only collect personal data that is clearly related to a well-defined business objective. If an organization gathers personal data for one purpose but then decides it wants to use it for other purposes (such as consumer profiling), that could be considered non-compliance.	+	Le RGPD cherche également à limiter la quantité de données stockées par les organisations sans objectif clair. La loi stipule que les organisations ne peuvent collecter que des données personnelles clairement liées à un objectif commercial bien défini. Si une organisation recueille des données personnelles dans un seul but mais décide ensuite de les utiliser à d'autres fins (comme le profilage des consommateurs), cela pourrait être considéré comme une non-conformité.
−	===Data Security===	+	=== Sécurité des données ===
−	GDPR expects organizations to have some data security precautions in place, but is not specific about what those precautions need to be exactly. The thinking behind this is that data privacy will be achieved via ensuring privacy controls are properly put in place, more so than being able to prevent through specific means breaches from ever taking place. This is because no security measures have ever failed to be completely foolproof from cracked.	+	Le RGPD s'attend à ce que les organisations mettent en place certaines précautions de sécurité des données, mais ne précise pas quelles doivent être ces précautions. L'idée sous-jacente est que la confidentialité des données sera atteinte en s'assurant que les contrôles de confidentialité sont correctement mis en place, plus que de pouvoir empêcher par des moyens spécifiques que des violations ne se produisent. En effet, aucune mesure de sécurité n'a jamais échoué à être totalement infaillible contre les fissures.
−	===Data Transfer===	+	=== Transfert de données ===
−	GDPR limits the transfer of personal data from inside the European Economic Area (EEA) to countries outside of it. That effectively makes sure that data privacy can be ensured within the borders of the EU to better protect the data subjects.	+	Le RGPD limite le transfert de données personnelles de l'intérieur de l'Espace économique européen (EEE) vers des pays en dehors de celui-ci. Cela garantit effectivement que la confidentialité des données peut être assurée à l'intérieur des frontières de l'UE afin de mieux protéger les personnes concernées.
−	There are a few cases where it is possible to transfer data outside of this defined area. Some of these exceptions include making use of what the GDPR calls “appropriate safeguards” which are actually a number of corporate and legislative restrictions, for the purposes of the organization’s legal defense, and if the data transfer is being carried out under the terms of a specific contract with the data subject itself.	+	Il existe quelques cas où il est possible de transférer des données en dehors de cette zone définie. Certaines de ces exceptions incluent l'utilisation de ce que le RGPD appelle des «garanties appropriées» qui sont en fait un certain nombre de restrictions d'entreprise et législatives, aux fins de la défense juridique de l'organisation, et si le transfert de données est effectué selon les termes d'un contrat spécifique avec la personne concernée elle-même.
−	===Rights of Citizens===	+	=== Droits des citoyens ===
−	GDPR has granted EU residents and citizens with a potent number of new data privacy rights. These rights include:	+	Le RGPD a accordé aux résidents et aux citoyens de l'UE un nombre important de nouveaux droits à la confidentialité des données. Ces droits comprennent:
−	*Partial Opt-Out Right	+	* Droit de retrait partiel
		+	* Les particuliers peuvent refuser des services spécifiques.
−	*Individuals can opt-out of specific services.	+	=== Droit de s'opposer au traitement ===
−	===Right to Oppose Processing ===	+	Les particuliers peuvent refuser le traitement de leurs données, y compris le profilage automatisé.
−		+
−	Individuals can refuse to have their data processed, including automated profiling.	+
	===EMAIL Marketing ===		===EMAIL Marketing ===
−	GDPR has some specific regulations with regards to how email marketing campaigns can be carried out and the data they use. The major factor in this case is that any such campaign can only include a data subject’s personal information if that data subject has provided the organization with consent to use their data for such purposes.	+	Le RGPD a des réglementations spécifiques concernant la manière dont les campagnes de marketing par e-mail peuvent être menées et les données qu'elles utilisent. Le facteur principal dans ce cas est qu'une telle campagne ne peut inclure les informations personnelles d'une personne concernée que si cette personne a donné son consentement à l'organisation pour utiliser ses données à de telles fins.
−		+
−	That means that data collected and processed automatically through any technological means can’t be used to compile email lists and leads without attaining the explicit consent of the data subject first.	+
−		+
−	===Consent Notices and Privacy Policies ===	+
−	As noted above, consent is a major requirement for most of the permissions that organizations have to use the data collected from EU data subjects. Privacy policies must now be clearly and easily accessible according to the GDPR	+	Cela signifie que les données collectées et traitées automatiquement par tout moyen technologique ne peuvent pas être utilisées pour compiler des listes de diffusion et des prospects sans obtenir au préalable le consentement explicite de la personne concernée.
−	===Data Protection Officer ===	+	=== Avis de consentement et politiques de confidentialité ===
−	GDPR compliance requirements include staffing new positions such as a Data Protection Officer (DPO) and a Chief Privacy Officer (CPO).	+	Comme indiqué ci-dessus, le consentement est une exigence majeure pour la plupart des autorisations dont les organisations disposent pour utiliser les données collectées auprès des personnes concernées de l'UE. Les politiques de confidentialité doivent désormais être clairement et facilement accessibles selon le RGPD
−	===Reporting a Data Breach ===	+	=== Délégué à la protection des données ===
−	Data breaches can potentially expose personal data and sensitive information that belongs to EU data subjects protected by GDPR.	+	Les exigences de conformité au RGPD incluent la dotation de nouveaux postes tels qu'un délégué à la protection des données (DPO) et un Chief Privacy Officer (CPO).
−	The regulation gives companies that have become aware of a data breach 72 hours to notify all affected and potentially affected data subjects of the event.	+	=== Signaler une violation de données ===
−	===Financial Penalties ===	+	Les violations de données peuvent potentiellement exposer des données personnelles et des informations sensibles appartenant aux personnes concernées de l'UE protégées par le RGPD.
−	One of the most unique aspects of the GDPR is its “teeth”—very stiff penalties for non-compliance (up to €10 million or 2% of worldwide annual turnover, whichever is higher) and breaches (up to €20 million or 4% of worldwide annual turnover, whichever is higher). Just as painful is the right of Data Protection Authorities to prevent a company from collecting or processing personal data while a suspected non-compliance or breach is being investigated.	+	Le règlement donne aux entreprises qui ont pris connaissance d'une violation de données 72 heures pour informer toutes les personnes concernées et potentiellement concernées de l'événement.
		+	=== Pénalités financières ===
−	Affecting Companies Located In or with Data Subjects In:	+	L'un des aspects les plus uniques du RGPD est ses «dents» - des sanctions très sévères en cas de non-conformité (jusqu'à 10 millions d'euros ou 2% du chiffre d'affaires annuel mondial, selon le montant le plus élevé) et les infractions (jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, selon le montant le plus élevé). Tout aussi douloureux est le droit des autorités chargées de la protection des données d'empêcher une entreprise de collecter ou de traiter des données à caractère personnel alors qu'une non-conformité ou une violation présumée fait l'objet d'une enquête.
−	*The California Consumer Privacy Act (CCPA) California (US)	+	Affectant les entreprises situées dans ou avec des personnes concernées dans:
−	*The Protection of Personal Information Act (POPI) in South Africa	+
−	*The Personal Information Protection and Electronic Documents Act (PIPEDA) in Canada	+
−	*LGPD, the General Data Protection Act in Brazil	+
−	*The Data Protection Act of 2018 in the United Kingdom.	+
−	*Various privacy laws in effect in Australia.	+
−	In the following sections we’ll take a look at a number of these newer data privacy laws and see how they compare to GDPR.	+	* The California Consumer Privacy Act (CCPA) California (États-Unis)
		+	* La loi sur la protection des informations personnelles (POPI) en Afrique du Sud
		+	* La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) au Canada
		+	* LGPD, la loi générale sur la protection des données au Brésil
		+	* La loi sur la protection des données de 2018 au Royaume-Uni.
		+	* Diverses lois sur la confidentialité en vigueur en Australie.
		+	Dans les sections suivantes, nous examinerons un certain nombre de ces nouvelles lois sur la confidentialité des données et verrons comment elles se comparent au RGPD.
−	==CCPA: A Data Privacy Model for the US ==
−	On January 1, 2020, a new data privacy law came into effect in California, the largest state in the US. It’s wide-ranging data privacy regulations are largely modelled on those of the EU’s GDPR, though with some major differences. It’s reach affects certain organizations that collect and use personal data about citizens of California. The California Consumer Privacy Act (CCPA) is designed to give residents of the state more control over their personal data and requires companies to become more transparent about the data they collect and store about consumers.	+	== CCPA: un modèle de confidentialité des données pour les États-Unis ==
−	What is most significant about this regulation, aside from its very clear imperative for businesses to respect data privacy, is that it is likely the forerunner of other legislation to be enacted in the United States, both on at the state and federal level.	+	Le 1er janvier 2020, une nouvelle loi sur la confidentialité des données est entrée en vigueur en Californie, le plus grand État des États-Unis. Ses nombreuses réglementations en matière de confidentialité des données sont largement calquées sur celles du RGPD de l'UE, mais avec quelques différences majeures. Sa portée affecte certaines organisations qui collectent et utilisent des données personnelles sur les citoyens de Californie. La California Consumer Privacy Act (CCPA) est conçue pour donner aux résidents de l'État plus de contrôle sur leurs données personnelles et oblige les entreprises à devenir plus transparentes sur les données qu'elles collectent et stockent sur les consommateurs.
−	hat makes the differences between how CCPA works versus how GDPR works quite important to understand.	+	Ce qui est le plus important à propos de ce règlement, outre son impératif très clair pour les entreprises de respecter la confidentialité des données, c'est qu'il est probablement le précurseur d'autres lois à adopter aux États-Unis, à la fois au niveau des États et au niveau fédéral.
	===CCPA Introduction ===		===CCPA Introduction ===
−	The California Consumer Privacy Act (CCPA) is a data protection law that the State of California enacted in response to growing public concern over the abuse of personal data. CCPA gives California residents more visibility and control over the information that websites and applications collect about them.	+	Le California Consumer Privacy Act (CCPA) est une loi sur la protection des données que l'État de Californie a promulguée en réponse à l'inquiétude croissante du public concernant l'abus de données personnelles. CCPA donne aux résidents de Californie plus de visibilité et de contrôle sur les informations que les sites Web et les applications collectent à leur sujet.
−	When you consider how many consumers could be affected, that could potentially mean huge fines for companies large and small.	+	Quand on considère le nombre de consommateurs qui pourraient être touchés, cela pourrait signifier des amendes énormes pour les entreprises, grandes et petites.
−	The CCPA complements existing state privacy regulations, such as the California Online Privacy Protection Act (CalOPPA), but it also introduces new requirements in the following key areas:	+	La CCPA complète les réglementations existantes en matière de confidentialité, telles que la California Online Privacy Protection Act (CalOPPA), mais elle introduit également de nouvelles exigences dans les domaines clés suivants:
−	When the California Consumer Privacy Act (CCPA) came into effect on 1 January, enterprises were forced to think again about the way they protect personal data in the wake of more new data privacy legislation.	+	Lorsque le California Consumer Privacy Act (CCPA) est entré en vigueur le 1er janvier, les entreprises ont été obligées de repenser à la manière dont elles protègent les données personnelles à la suite d'une nouvelle législation sur la confidentialité des données.
−	They’ve been presented with new IT challenges where, just as regulations have been tightening up, they’ve been storing information on an increasingly diverse range of storage systems and data formats.	+	Ils ont été confrontés à de nouveaux défis informatiques où, alors que la réglementation se durcissait, ils stockaient des informations sur une gamme de plus en plus diversifiée de systèmes de stockage et de formats de données.
−	Not all solutions are up to the job or geared towards the modern cloud landscape, where companies store data in a huge variety of structured and unstructured forms. As a result, CCPA compliance calls for a new breed of data protection tooling—with features that can perform the following functions.	+	Toutes les solutions ne sont pas à la hauteur ou adaptées au paysage cloud moderne, où les entreprises stockent les données dans une grande variété de formes structurées et non structurées. En conséquence, la conformité CCPA nécessite une nouvelle génération d'outils de protection des données, avec des fonctionnalités capables d'exécuter les fonctions suivantes.
−	===CCPA vs. GDPR===	+	=== CCPA contre GDPR ===
−	What are the major differences between these two laws and how are they going to affect your company? For the most part, GDPR is far wider in scope.	+	Quelles sont les principales différences entre ces deux lois et comment vont-elles affecter votre entreprise? Pour la plupart, le RGPD a une portée beaucoup plus large.
−	For example, by contrast with GDPR, you don’t need to obtain prior consent for simply collecting and processing personal data according to CCPA. But just because you’re compliant with GDPR doesn’t necessarily mean you comply with CCPA. Although GDPR and CCPA share many common features, you’ll still need to meet specific requirements in relation to the sale of personal data.	+	Par exemple, contrairement au RGPD, vous n'avez pas besoin d'obtenir le consentement préalable pour simplement collecter et traiter des données personnelles conformément au CCPA. Mais ce n'est pas parce que vous êtes conforme au RGPD que vous vous conformez au CCPA. Bien que le GDPR et le CCPA partagent de nombreuses fonctionnalités communes, vous devrez toujours répondre à des exigences spécifiques en matière de vente de données personnelles.
−	This section aims to give you an easy resource to parse the differences between these two game-changing data privacy regulations	+	Cette section vise à vous donner une ressource facile pour analyser les différences entre ces deux règles de confidentialité des données qui changent la donne.
−	===Territorial Scope ===	+	=== Portée territoriale ===
−	The CCPA applies to any for-profit concern that does business in California, collects personal data about California residents, and meets one or more of the following thresholds:	+	La CCPA s'applique à toute entreprise à but lucratif qui fait des affaires en Californie, collecte des données personnelles sur les résidents de la Californie et satisfait à un ou plusieurs des seuils suivants:
−	*It brings in annual gross revenues of at least US$25 million.	+	* Il génère des revenus bruts annuels d'au moins 25 millions de dollars américains.
		+	* Il recueille des informations personnelles de 50 000 résidents, ménages ou appareils californiens ou plus par an.
		+	* Il génère plus de 50% de ses revenus annuels en vendant des informations personnelles sur les résidents de Californie.
−	*It collects personal information from 50,000 or more Californian residents, households or devices per year.	+	Bien que la CCPA ne définisse pas ce que signifie faire des affaires en Californie, vous êtes susceptible de relever de la définition si votre entreprise:
−	*It generates more than 50% of its annual revenue by selling personal information about California residents.	+	* Est basé en Californie.
		+	* A des employés en Californie.
		+	* A des relations avec la Californie par le biais de la propriété de biens immobiliers ou de ventes répétées à des clients de l'État.
−	Although the CCPA doesn’t define what doing business in California means, you’re likely to come under the definition if your business:	+	=== Définition des données personnelles ===
−	*Is based in California.	+	CCPA s'applique aux données personnelles:
−	*Has employees in California.	+	* Fourni directement par les utilisateurs dans des formulaires en ligne
		+	* Collectées par des outils de suivi et des technologies associées. Ces informations comprennent tout ce qui peut être utilisé pour identifier, décrire ou être associé de quelque manière que ce soit à un résident ou à un «foyer» californien particulier. L'accent mis sur le ménage est dû au fait qu'il s'agit d'un terme curieux que l'ACCP doit utiliser car il n'est pas défini dans le document.
−	*Has connections with California through ownership of real estate or repeated sales to customers in the state.	+	Le CCPA diffère du RGPD en ce qu'il n'a pas de restrictions spécifiques imposées aux informations personnelles sensibles sur les individus, bien qu'il comporte des dispositions qui empêchent l'utilisation des données personnelles pour discriminer une personne (voir ci-dessous).
−	===Definition of Personal Data ===	+	=== Base juridique du traitement ===
−	CCPA applies to personal data:	+	CCPA donne aux entreprises la possibilité de traiter ou de vendre les données personnelles des résidents de Californie, étant donné que ces résidents se sont vus offrir une option clairement indiquée pour se retirer de ces transactions. Ce que l'ACCP considère que la vente de données est cependant assez vaste, car elle n'est pas spécifiquement limitée à un échange financier. Les données peuvent être considérées comme vendues d'une entreprise à une autre si cela a été fait pour une autre «considération précieuse».
−	*Provided directly by users in online forms	+	Alors que le RGPD donne aux personnes concernées le droit d'empêcher les entreprises d'utiliser leurs données personnelles à des fins de marketing, les droits de désinscription du CCPA concernent davantage la vente de données personnelles.
−	*Collected by tracking tools and related technologies This information includes anything that can be used to identify, describe, or be associated in any way with a particular California resident or “household.” The emphasis on household is because this is a curious term for CCPA to use as it is undefined in the document.	+
−	CCPA differs from GDPR in that it has no specific restrictions placed on sensitive personal information about individuals, though it does include provisions that prevent personal data from being used to discriminate against an individual (see below).	+	=== Sécurité des données ===
−	===Legal Basis for Processing ===	+	Semblable au RGPD, le CCPA n'a pas d'exigence spécifique en matière de sécurité des données, bien qu'il laisse la porte ouverte à une action privée en cas de violation de données et allègue que l'entreprise n'a pas pris de mesures raisonnables en matière de sécurité. niveau pour empêcher un tel événement de se produire.
−	CCPA gives businesses the opportunity to process or sell personal data of California residents, given that those residents were offered a clearly stated the option to opt out of such transactions. What CCPA considers the sale of data is quite expansive however, as it is not specifically restricted to a financial exchange. Data can be considered sold from one company to another if it was done for some other “valuable consideration.”	+	=== Transfert de données ===
−	Whereas GDPR gives data subjects the right to prevent companies from using their personal data for marketing purposes, CCPA opt-out rights are more concerned with the sale of personal data.	+	CCPA ne limite pas le transfert de données en dehors des États-Unis. Le RGPD a des règles strictes sur la façon dont les données peuvent être transférées, et il n'est généralement pas possible de le faire en dehors de l'EEE. En tant que pays disposant de lois sur la confidentialité des données état par état, les États-Unis n'offrent actuellement pas une telle protection. Ainsi, actuellement, la Commission européenne n'autorisera que les transferts couverts par le cadre du bouclier de protection des données UE-États-Unis.
−	===Data Security ===	+	=== Droits des citoyens ===
−	Similar to GDPR, CCPA doesn’t have a specific requirement when it comes to data security, though it does leave the door open for private action taking place should a data breach take place and allege that the business did not take reasonable steps at the security level to prevent such an event from occurring.	+	La CCPA a accordé de nouveaux droits de confidentialité aux citoyens californiens, qui peuvent désormais demander les données personnelles que vous stockez à leur sujet. Vous devez fournir ces informations rapidement et, dans des circonstances normales, dans les 45 jours. En outre, les résidents de Californie peuvent également vous demander de supprimer leurs données.
−	===Data Transfer===	+	Dans le cas de l'un ou l'autre des deux droits, vous ne pouvez refuser une demande que sous certaines conditions et devez gérer les demandes gratuitement. Il est donc essentiel que vous puissiez supprimer ou récupérer des informations sur un client aussi rapidement et efficacement que possible. Mais, sans le bon outillage, cela peut être un processus complexe et prolongé impliquant une multitude de départements commerciaux et un travail manuel important.
−	CCPA does not limit the transfer of data outside of the US. GDPR has strict rules about how data can be transferred, and generally it is not possible to do so outside of the EEA. As a country with state-by-state data privacy laws, the US doesn’t currently provide such protection. So, currently, the European Commission will only allow transfers that are covered by the EU-US Privacy Shield framework.	+	=== Les autres droits incluent ===
−		+
−	===Rights of Citizens ===	+
−		+
−	The CCPA has granted new privacy rights to California citizens, who can now request the personal data you store about them. You must provide this information promptly and, under normal circumstances, within 45 days. In addition, California residents can also request you delete their data.	+
−		+
−	In the case of either of the two rights, you can only decline a request under certain conditions and must administer requests free of charge. It’s therefore essential you’re able to remove or retrieve information about a customer as quickly and efficiently as possible. But, without the right tooling, this can be a complex and protracted process involving a multitude of business departments and extensive manual labor.	+
−		+
−	===Other rights include ===	+
	====Email Marketing===		====Email Marketing===
−	Where there is a specific focus on email marketing in the GDPR, CCPA does not have any provisions that specifically pertain to email marketing.	+	Lorsqu'il y a un accent particulier sur le marketing par e-mail dans le RGPD, le CCPA ne contient aucune disposition concernant spécifiquement le marketing par e-mail.
−	With CCPA in effect, companies will now only be able to sell personal data about California residents under the age of 17 if they’ve given you prior consent to do so.	+	Avec la CCPA en vigueur, les entreprises ne pourront désormais vendre des données personnelles sur les résidents californiens de moins de 17 ans que si elles vous ont donné leur consentement préalable.
−	Those aged 13–16 will be able to authorize the sale of their data themselves. However, in the case of children under the age of 13, it is required to obtain consent from a parent or guardian.	+	Les personnes âgées de 13 à 16 ans pourront autoriser elles-mêmes la vente de leurs données. Cependant, dans le cas des enfants de moins de 13 ans, il est nécessaire d'obtenir le consentement d'un parent ou d'un tuteur.
−	====Data Protection Officer ===	+	==== Délégué à la protection des données ===
−	Unlike the GDPR, CCPA does not require the appointment of a dedicated data protection officer, or any similar role (including a chief privacy officer, or CPO).	+	Contrairement au RGPD, le CCPA n'exige pas la nomination d'un délégué à la protection des données dédié, ni aucun rôle similaire (y compris un responsable de la confidentialité ou un CPO).
−	====Reporting a Data Breach ====	+	==== Signaler une violation de données ====
−	The CCPA doesn’t have specific data breach deadline requirements. There is also another law, the California Data Breach Notification Law, that CCPA acts in accordance with. Note that there are certain circumstances where data that is breached would be actionable according to the notification law but NOT under CCPA.	+	La CCPA n'a pas d'exigences spécifiques en matière de délai de violation de données. Il existe également une autre loi, la California Data Breach Notification Law, conformément à laquelle l'ACCP agit. Notez qu'il existe certaines circonstances dans lesquelles des données violées pourraient donner lieu à une action conformément à la loi sur la notification, mais PAS en vertu de la CCPA.
−	==Financial Penalties ===	+	== Pénalités financières ===
−	The Californian state can impose a civil penalty of up to $7,500 per violation on any company that is in breach of the CCPA and fails to address the requirements of the law within 30 days. In addition, any California citizen will also have the right to pursue damages of up to $750 per incident in the event of exposure. So not meeting CCPA compliance goals can be costly.	+	L'État californien peut imposer une sanction civile allant jusqu'à 7 500 $ par violation à toute entreprise qui enfreint la CCPA et ne satisfait pas aux exigences de la loi dans les 30 jours. En outre, tout citoyen californien aura également le droit de réclamer des dommages-intérêts pouvant aller jusqu'à 750 $ par incident en cas d'exposition. Donc, ne pas atteindre les objectifs de conformité du CCPA peut être coûteux.
	====CCPA Fines ====		====CCPA Fines ====
−	$7,500 per violation if non-compliant within 30 days.	+	*7500 $ par violation si non conforme dans les 30 jours.
		+	*750 $ par incident peuvent être poursuivis par des particuliers lorsque les données sont exposées.
−	$750 per incident can be sued by private individuals when data is exposed.	+	== LGPD: la version brésilienne du RGPD ==
−	==LGPD: Brazil’s Version of the GDPR==	+	Les équipes de stockage, de conformité et de sécurité du monde entier examinent leurs pratiques de protection des données en réponse au prochain Lei Geral de Proteção de Dados Pessoais (LGPD), une loi brésilienne sur la confidentialité des données similaire au règlement général sur la protection des données (RGPD).
−	Storage, compliance, and security teams across the world are reviewing their data protection practices in response to the forthcoming Lei Geral de Proteção de Dados Pessoais (LGPD), a Brazilian data privacy law similar to the General Data Protection Regulation (GDPR).	+	Le LGPD sera la dernière d'une série de lois plus strictes sur la protection des données visant à répondre aux préoccupations du public concernant l'utilisation généralisée de leurs données. La nouvelle loi a été élaborée depuis longtemps.
−	The LGPD will be the latest in a string of tighter data protection laws aimed at addressing public concern about the widespread use of their data. The new law has been long in the making.	+	Après un long retard, il devait finalement entrer en vigueur en août de cette année. Mais, en raison de l'impact de la pandémie de coronavirus, le gouvernement brésilien a repoussé à nouveau la date d'entrée en vigueur pour donner aux organisations plus de temps pour se préparer à la législation.
−	After a lengthy delay, it was finally due to come into force in August this year. But, owing to the impact of the coronavirus pandemic, the Brazilian government has pushed back the effective date yet again to give organizations more time to prepare for the legislation.	+	Mais avec de nombreuses entreprises qui ont encore du mal à se conformer à d'autres nouvelles réglementations sur la confidentialité des données, le retard du LGPD donne aux entreprises l'occasion de commencer à élaborer des plans pour répondre aux exigences du LGPD dès que possible. Dans certains cas, les dispositions seront identiques à celles mises en place pour répondre aux normes du RGPD. Mais dans d'autres cas, il y aura des différences subtiles.
−	But with many enterprises still struggling to comply with other new data privacy regulations, the delay of LGPD is giving companies an opportunity to start making plans to meet LGPD requirements as soon as possible. In some cases, provisions will be identical to those put in place to meet GDPR’s standards. But in other cases there will be subtle differences.	+	Dans cet article, nous passons en revue les principales caractéristiques de la LGPD tant attendue, l'approche du Brésil à l'égard de cette législation et la comparaison avec son homologue européen.
−	In this post, we run through the key features of the long-awaited LGPD, Brazil’s approach to such legislation, and how it compares with its European counterpart.	+	=== Le LGPD en bref ===
−	===The LGPD in a Nutshell ===	+	Avec LGPD, le Brésil se propose d'harmoniser une multitude de lois disparates en un ensemble unifié de normes. Il renforce les droits de confidentialité des données des ressortissants brésiliens grâce à des contrôles plus stricts sur la manière dont les entreprises sont autorisées à stocker et à traiter les données personnelles.
−	With LGPD, Brazil sets out to harmonize a multitude of disparate statutes into a unified set of standards. It strengthens the data privacy rights of Brazilian nationals through tighter controls over how companies are allowed to store and process personal data.	+	Il est également conçu pour promouvoir les meilleures pratiques en matière de confidentialité et aider les entreprises à tirer parti de la conformité comme une opportunité de générer plus de revenus. De plus, il libère la concurrence en permettant aux entreprises privées de traiter des données personnelles à l'usage du secteur public.
−	It is also designed to promote privacy best practices and help enterprises leverage compliance as an opportunity to drive more revenue. Moreover, it frees up competition by allowing private companies to process personal data for use by the public sector.	+	Bien que moins étendue que la réglementation européenne, la LGPD vise à atteindre à peu près les mêmes objectifs de confidentialité.
−	Though less extensive than the European regulations, the LGPD aims to achieve much the same privacy objectives.	+	En conséquence, les deux lois sont remarquablement similaires, partageant un objectif commun sur la responsabilité, la sécurité, la minimisation des données, la limitation des finalités et la confidentialité dès la conception.
−	As a result, the two laws are remarkably similar, sharing a common focus on accountability, security, data minimization, purpose limitation, and privacy by design.	+	=== LGPD vs GDPR: une comparaison ===
−	===LGPD vs. GDPR: A Comparison ===	+	==== Portée territoriale ====
−	====Territorial Scope====	+	En ce qui concerne le champ d'application territorial de chaque loi, la LGPD et le RGPD suivent le même principe de base. À savoir, elles s'appliquent à toute organisation qui stocke ou traite des données personnelles sur les citoyens de la juridiction territoriale qu'elles couvrent, quel que soit leur emplacement dans le monde.
−	In relation to the territorial scope of each law, the LGPD and GDPR follow the same basic principle. Namely, they apply to any organization that stores or processes personal data about the citizens in the territorial jurisdiction they cover—regardless of where they’re located in the world.	+	En d'autres termes, où que vous soyez, si votre entreprise propose des biens et des services sur le marché brésilien, vous devrez prendre des mesures pour vous conformer à la LGPD.
−	In other words, wherever you’re based, if your business offers goods and services to the Brazilian market, you’ll need to take steps to comply with the LGPD.	+	==== Définition des données personnelles ====
−	====Definition of Personal Data ====	+	Alors que le RGPD est très spécifique sur ce qui constitue des données personnelles, dans le cadre du LGPD, il est beaucoup moins clairement défini. Cependant, cela peut changer à l'avenir à mesure que la loi entre en vigueur au quotidien.
−	Whereas the GDPR is very specific about what constitutes personal data, under the LGPD it is far less clearly defined. However, this may change in the future as the law comes into everyday use.	+	D'autre part, la LGPD reflète le RGPD en désignant certains types d'informations, telles que celles concernant l'origine raciale ou ethnique, la santé ou l'appartenance à un syndicat, comme des données personnelles sensibles, où des règles particulières s'appliquent.
−	On the other hand, the LGPD mirrors the GDPR by designating certain types of information, such as that concerning an individual’s racial or ethnic origin, health or trade union membership, as sensitive personal data, where special rules apply.	+	==== Base juridique du traitement ====
−	====Legal Basis for Processing ====	+	Comme pour le RGPD, le LGPD établit une liste de motifs légaux pour le traitement des données personnelles. Celles-ci sont globalement similaires, par exemple pour répondre à une obligation légale ou contractuelle ou lorsque la personne vous a donné son consentement pour traiter ses données personnelles dans un but spécifique.
−	As with the GDPR, the LGPD sets out a list of lawful grounds for processing personal data. These are broadly similar, such as to meet a legal or contractual obligation or where the individual has given consent for you to process their personal data for a specific purpose.	+	Cependant, avec LGPD, le Brésil autorise explicitement une base légale pour l'utilisation des données personnelles qui n'est pas directement couverte par le RGPD: le traitement des données personnelles d'une personne dans le but de protéger son pointage de crédit.
−	However, with LGPD, Brazil does explicitly allow a legal basis for personal data use which isn’t directly covered by the GDPR: processing someone’s personal data for the purpose of protecting their credit score.	+	Néanmoins, dans la plupart des cas, le RGPD interpréterait toujours cela comme une base appropriée pour le traitement - au motif que cela est dans l'intérêt légitime du consommateur.
−	Nevertheless, in most cases, the GDPR would still interpret this as an appropriate basis for processing—on the grounds that it is in the legitimate interests of the consumer.	+	==== Sécurité des données ====
−	====Data Security ====	+	Pour l'Europe et le Brésil, la loi sur la confidentialité des données implique la sécurité des données. En vertu de la LGPD et du RGPD, vous êtes tenu de mettre en œuvre des mesures techniques et organisationnelles appropriées pour protéger les données personnelles contre tout accès, divulgation, altération ou destruction non autorisés.
−	For both Europe and Brazil, data privacy law entails data security. Under both the LGPD and GDPR, you are required to implement appropriate technical and organizational measures to protect personal data from unauthorized access, disclosure, alteration, or destruction.	+	L'organisme brésilien chargé de faire respecter la protection des données, l'Autorité nationale de protection des données (ANPD), est chargé de fournir des orientations plus détaillées sur les normes techniques minimales que vous devrez adopter.
−	The Brazilian body responsible for enforcing data protection, the National Data Protection Authority (ANPD), is tasked with providing more detailed guidance to the minimum technical standards you’ll be required to adopt.	+	Le RGPD ne spécifie pas directement les mesures de sécurité que vous devriez mettre en place. Cependant, les agences d'application nationales, telles que l'Information Commissioner's Office (ICO) au Royaume-Uni, offrent chacune un guide général pour respecter vos obligations en matière de sécurité.
−	The GDPR doesn’t directly specify the security measures you should have in place. However, national enforcement agencies, such as the Information Commissioner’s Office (ICO) in the UK, each offer a broad guide to meeting your security obligations.	+	==== Transfert de données ====
−	====Data Transfer====	+	Le LGPD prend la même ligne que le GDPR en interdisant le transfert de données personnelles hors du territoire brésilien, sauf dans certaines circonstances ou vers des pays qui offrent un niveau réglementaire élevé de protection des données.
−	The LGPD takes the same line as the GDPR by prohibiting the transfer of personal data out of Brazilian territory, except in certain circumstances or to countries that provide a strong regulatory level of data protection.	+	Cela pourrait avoir des implications en matière de résidence des données pour les entreprises basées aux États-Unis, qui suivent actuellement une approche disparate de réglementations de protection des données état par état plutôt qu'un cadre juridique unifié à l'échelle nationale.
−	This could have data residency implications for companies based in the US, which currently follows a patchwork approach of state-by-state data protection regulations rather than a unified nationwide legal framework.	+	==== Droits des citoyens ====
−	====Rights of Citizens ====	+	Les deux lois accordent essentiellement aux personnes concernées les mêmes droits fondamentaux. Par exemple:
−	Both laws essentially grant data subjects the same basic rights. For example:	+	* Consentement: vous ne pouvez traiter et stocker des données sur un individu brésilien qu'avec son consentement, qu'il peut révoquer à tout moment.
		+	* Demandes d'accès des personnes concernées (DSAR): la LGPD accorde aux Brésiliens les mêmes droits d'accès fondamentaux, y compris le droit de rectification et le droit d'effacement, que le RGPD pour les citoyens de l'UE.
−	*Consent: You’re only able to process and store data about a Brazilian individual with their consent, which they can revoke at any time.	+	Cependant, en vertu de la LGPD, vous devez répondre à un DSAR dans les 15 jours. Cela peut signifier que vous devrez améliorer vos procédures de réponse DSAR, car
−	*Data Subject Access Requests (DSARs): The LGPD grants Brazilians the same fundamental rights of access, including right to correction and right to erasure, as the GDPR does for EU citizens.	+	il s'agit d'une période nettement plus courte que le mois autorisé par le RGPD. Le respect de ce type de délai serré dépendra en grande partie de votre capacité à automatiser vos rapports DSAR.
−	However, under the LGPD, you must respond to a DSAR within 15 days. This may mean you’ll need to improve your DSAR response procedures, as	+	====Email Marketing =====
−	it is a significantly shorter period than the one month allowed by the GDPR. Meeting that kind of tight deadline will largely depend on your ability to automate your DSAR reporting.	+	Alors que le RGPD applique des règles strictes au marketing par e-mail et à la messagerie texte, il s'agit d'un domaine qui n'est pas directement couvert par le LGPD.
−	====Email Marketing =====	+	Cependant, comme avec le RGPD, il est toujours logique de demander l'approbation d'un individu pour recevoir des e-mails marketing et des SMS, car cette activité est susceptible de constituer une forme de traitement de données nécessitant un consentement.
−	Whereas the GDPR applies strict rules to email marketing and text messaging, it is an area not directly covered by the LGPD.	+	=== Avis de consentement et politiques de confidentialité ===
−	However, as with the GDPR, it still makes sense to seek an individual’s approval to receive marketing emails and text messages, as this activity is likely to constitute a form of data processing that requires consent.	+	L'approche du LGPD pour obtenir le consentement est très similaire à celle du RGPD. Selon LGPD, le consentement d'un client doit être spécifique, éclairé, sans ambiguïté et donné librement. En d'autres termes, vous devez être franc sur ce à quoi une personne consent exactement et lui donner un contrôle proactif sur la façon dont vous utilisez ses données.
−	===Consent Notices and Privacy Policies===	+	Vous devez tenir compte de ces exigences dans la conception de vos formulaires d'inscription, de vos paiements en ligne et de vos avis de consentement aux cookies. Bien que le LGPD ne fasse aucune référence directe aux politiques de confidentialité, vous devez tout de même revoir le libellé de votre politique pour vous assurer qu'elle respecte les obligations de transparence.
−	The LGPD approach to obtaining consent is very much the same as that for the GDPR. According to LGPD, a customer’s consent must be specific, informed, unambiguous, and freely given. In other words, you should be upfront about what exactly an individual is consenting to and give them proactive control over how you use their data.	+	En outre, le consentement doit être granulaire, avec un consentement distinct pour différentes activités de traitement. De plus, vous devez conserver des enregistrements de consentement valide. Les personnes concernées devraient également pouvoir révoquer facilement leur consentement à tout moment.
−	You should reflect these requirements in the design of your signup forms, online checkouts and cookie consent notices. Although the LGPD makes no direct reference to privacy policies, you should still revisit your policy wording to ensure it meets transparency obligations.	+	=== Délégué à la protection des données ===
−	In addition, consent should be granular, with separate consent for different processing activities. What’s more, you should maintain records of valid consent. And data subjects should also be able to easily revoke consent at any time.	+	Pour vous conformer au RGPD, vous devrez peut-être désigner un délégué à la protection des données (DPO). Cependant, cela ne s'applique qu'aux organisations du secteur public et aux entreprises privées qui stockent et traitent des données personnelles à grande échelle.
−	===Data Protection Officer===	+	En revanche, en l'état actuel de la LGPD, vous devez désigner un DPD, comme cela s'applique à toute organisation qui traite les données personnelles de citoyens brésiliens. Cependant, dans la pratique, cela risque de se révéler problématique et nécessitera inévitablement des éclaircissements de la part des autorités brésiliennes chargées de l'application de la loi.
−	To comply with the GDPR, you may need to appoint a data protection officer (DPO). However, this only applies to public-sector organizations and private companies that store and process personal data at scale.	+	Les fonctions de DPD ne doivent pas nécessairement être remplies par un individu. Ils peuvent être réalisés par une équipe interne ou sous-traités à un tiers, tel qu'un service DPO spécialisé. Notez également que le rôle du DPD est distinct et unique de celui du responsable de la protection de la vie privée, ou CPO.
−	By contrast, as things stand under the LGPD, you must appoint a DPO, as it applies to any organization that processes the personal data of Brazilian citizens. However, in practice, this is likely to prove problematic and will inevitably require clarification by the Brazilian enforcement authorities.	+	=== Signaler une violation de données ===
−	The duties of DPO don’t necessarily have to be performed by an individual. They may be carried out by an internal team or outsourced to a third-party, such as a specialist DPO service. Note also that the DPO role is separate and unique from that of the chief privacy officer, or CPO.	+	En cas de violation qui pourrait potentiellement enfreindre les droits à la vie privée des personnes concernées, en vertu de la LGPD et du RGPD, vous devez informer à la fois l'autorité de protection des données (DPA) compétente et les personnes concernées.
−	===Reporting a Data Breach ===	+	Le LGPD indique uniquement que vous devez le faire dans un délai raisonnable, tel que défini par l'ANPD. Le RGPD est plus spécifique et ne vous donne que 72 heures pour notifier la DPA une fois que vous avez connaissance d'une violation.
−	In the event of a breach that could potentially infringe the privacy rights of data subjects, under both the LGPD and GDPR, you must notify both the relevant data protection authority (DPA) and the individuals affected.	+	=== Pénalités financières ===
−	The LGPD only states you must do this within a reasonable time period, as defined by the ANPD. The GDPR is more specific, giving you just 72 hours to notify the DPA after you are aware of a breach.	+	Les sanctions pécuniaires pour violation des règles LGPD sont relativement modestes par rapport au RGPD. L'amende maximale pour une infraction est de 2% du chiffre d'affaires annuel brésilien d'une entreprise et est plafonnée à 50 millions de reais (environ 7,84 millions d'euros ou 9,28 millions de dollars) par infraction.
−	===Financial Penalties ===	+	Cela se compare aux amendes du RGPD pouvant atteindre 4% du chiffre d'affaires annuel mondial ou 20 millions d'euros, selon le montant le plus élevé.
−	Monetary penalties for breaking LGPD rules are relatively modest compared with the GDPR. The maximum fine for a violation is 2% of a company’s Brazilian annual revenue and is capped at R$50 million (about €7.84 million or $9.28 million) per offense.	+	== POPIA: la version sud-africaine du RGPD ==
−	This compares with GDPR fines of up to 4% of global annual revenue or €20 million, whichever is the higher.	+	Le 1er juillet 2020, la loi sud-africaine sur la protection des informations personnelles (POPIA) est finalement entrée en vigueur, faisant suite à d'autres nouvelles réglementations en matière de confidentialité, telles que le règlement général sur la protection des données (GDPR) et le California Consumer Privacy Act (CCPA).
−	==POPIA: South Africa’s Version of the GDPR ==	+	La plupart des articles de la loi sont maintenant officiellement une loi. Mais la conformité n'est pas obligatoire jusqu'à ce que la partie restante de la législation, qui accorde des pouvoirs d'exécution à la nouvelle autorité de régulation sud-africaine, le régulateur de l'information, entre en vigueur le 1er juillet 2021.
−	On 1 July 2020, South Africa’s Protection of Personal Information Act (POPIA) finally came into force, coming hot on the heels of other new privacy regulations, such as the General Data Protection Regulation (GDPR) and California Consumer Privacy Act (CCPA).	+	Cela signifie que, si votre organisation est soumise à la POPIA, vous ne disposez que de quelques mois pour vous y conformer.
−	Most sections of the act are now officially law. But compliance isn’t mandatory until the remaining part of the legislation, which grants enforcement powers to South Africa’s new regulatory authority the Information Regulator, comes into effect on 1 July 2021.	+	Dans cet article, nous vous donnons une brève introduction à la nouvelle législation et vous aidons à décider si votre entreprise entre dans le champ d'application de la loi. Nous vous guiderons également à travers les principales différences et similitudes entre le POPIA et son homologue européen, le RGPD.
−	This means that, if your organization is subject to the POPIA, you only have a few months to comply.	+	=== POPIA en bref ===
−	In this post, we give you a brief introduction to the new legislation and help you decide whether your company comes within the scope of the law. We’ll also guide you through the main differences and similarities between the POPIA and its European counterpart, the GDPR.	+	La POPIA est la dernière d'une succession de nouvelles lois sur la protection des données visant à renforcer les droits à la vie privée des individus dans le paysage actuel axé sur les données.
−	===POPIA in a Nutshell ===	+	La loi a été ratifiée en novembre 2013, plusieurs mois avant que l'UE ne vote l'adoption du RGPD. Mais les progrès ont par la suite stagné pendant plusieurs années jusqu'à ce que le gouvernement sud-africain lui donne enfin le feu vert en 2020.
−	The POPIA is the latest in a succession of new data protection laws aimed at strengthening the privacy rights of individuals in today’s data-driven landscape.	+	=== POPIA contre RGPD ===
−	The law was ratified in November 2013—several months before the EU voted to adopt the GDPR. But progress subsequently stalled for several years until the South African government finally gave it the green light in 2020.	+	Malgré son origine légèrement plus ancienne, le POPIA est toujours très similaire au RGPD, partageant à peu près les mêmes principes directeurs, notamment la responsabilité, la transparence, la sécurité, la minimisation des données, la limitation des finalités et les droits des personnes concernées.
−	===POPIA vs. GDPR ===	+	=== Portée territoriale ===
−	Despite its slightly earlier origin, the POPIA is still very similar to the GDPR, sharing much the same guiding principles, including accountability, transparency, security, data minimization, purpose limitation and the rights of data subjects.	+	En général, à moins que votre organisation ne soit basée en Afrique du Sud, il est peu probable que vous deviez vous conformer. Mais si vous êtes une entreprise à grande échelle, la réponse n'est pas si simple.
−	===Territorial Scope ===	+	En effet, le champ d'application de la POPIA est différent des autres nouvelles lois sur la protection des données, où ce qui compte est le lieu du traitement plutôt que celui de la personne concernée.
−	In general, unless your organization is based in South Africa, it’s unlikely you’ll need to comply. But if you’re a large-scale enterprise the answer isn’t quite so simple.	+	Par exemple, le RGPD s'applique à toute organisation qui traite des informations personnelles sur les citoyens de l'Espace économique européen (EEE), quel que soit l'endroit où elles sont basées dans le monde.
−	This is because the scope of the POPIA is different from other new data protection laws, where what matters is the location of processing rather than the location of the data subject.	+	Cependant, le POPIA ne s'applique qu'aux entreprises basées en Afrique du Sud ou à celles qui traitent des données personnelles à l'intérieur des frontières sud-africaines. Ainsi, pour vérifier si vous devez vous conformer, vous devez savoir exactement où vous traitez des données personnelles.
−	For example, the GDPR applies to any organization that processes personal information about European Economic Area (EEA) citizens regardless of where it’s based in the world.	+	Cela devrait inclure la localisation non seulement de vos centres de données sur site, mais également de vos déploiements basés sur le cloud.
−	However, the POPIA only applies to companies based in South Africa or those that process personal data within South African borders. So, to check whether you need to comply, you’ll need to find out exactly where you’re processing personal data.	+	Votre infrastructure cloud sera probablement le facteur décisif, car AWS et Microsoft Azure ont désormais des régions cloud en Afrique du Sud. Votre entreprise pourrait donc bien les utiliser dans le but de rapprocher vos données des clients africains.
−	This should include the whereabouts of not only your on-premises data centers but also your cloud-based deployments.	+	=== Définition des données personnelles ===
−	Your cloud infrastructure will likely be the deciding factor, as both AWS and Microsoft Azure now have cloud regions in South Africa. So your company could well be using them in a bid to bring your data closer to African customers.	+	En termes de définition des données personnelles, le POPIA est plus étendu que le RGPD, car il couvre non seulement les informations que vous collectez sur les individus, mais également sur les entreprises et autres types d'organisation.
−	===Definition of Personal Data ===	+	Il s'agit d'un écart important par rapport aux autres lois sur la confidentialité des données. On ne sait donc pas encore exactement comment cela fonctionnera dans la pratique. Cependant, comme première étape vers la conformité, vous devez refléter les nouvelles exigences légales dans vos contrats avec vos partenaires, fournisseurs et vendeurs.
−	In terms of how it defines personal data, the POPIA is more extensive than the GDPR, as it covers not only the information you collect about individuals but also about companies and other types of organization.	+	Comme pour le RGPD, le POPIA classe une sous-catégorie distincte de données personnelles, appelées informations personnelles spéciales, qui sont plus sensibles et donc soumises à des exigences plus strictes. Cela concerne principalement un individu:
−	This is a significant departure from other data privacy laws. So it’s not yet clear how exactly it’ll work in practice. However, as your first step to compliance, you should reflect the new legal requirements in your contracts with partners, suppliers and vendors.	+	* croyances religieuses ou philosophiques,
		+	* race ou origine ethnique
		+	* appartenance syndicale
		+	* persuasion politique
		+	* santé
		+	* vie sexuelle ou orientation sexuelle
		+	* caractéristiques physiques, physiologiques ou comportementales (données biométriques)
−	As with the GDPR, the POPIA classifies a separate subcategory of personal data, known as special personal information, which is more sensitive and therefore subject to stricter requirements. This mainly relates to an individual’s:	+	De plus, le POPIA s'applique aux données personnelles de tout individu, quelle que soit sa nationalité. Ainsi, alors que le RGPD est uniquement conçu pour protéger les citoyens de l'UE, le POPIA protège toute personne dont les données personnelles sont traitées sur le territoire sud-africain ou par une entreprise sud-africaine.
−	*religious or philosophical beliefs,	+	=== Politiques de consentement et de confidentialité ===
−	*race or ethnic origin	+
−	*trade union membership	+
−	*political persuasion	+
−	*health	+
−	*sex life or sexual orientation	+
−	*physical, physiological or behavioral characteristics (biometric data)	+
−	In addition, the POPIA applies to the personal data of any individual—regardless of their nationality. So while the GDPR is only designed to protect EU citizens, the POPIA protects anyone whose personal data is processed within South African territory or by a South African undertaking.	+	Contrairement au RGPD, vous n'avez généralement pas besoin de demander le consentement pour collecter les informations personnelles d'une personne. Cependant, vous devez toujours le faire lorsque vous collectez des informations personnelles spéciales.
−	===Consent and Privacy Policies ===	+	Des règles de consentement spécifiques s'appliquent également à la collecte de données sur les enfants âgés de 17 ans et moins, où vous avez normalement besoin du consentement d'une personne compétente, comme un parent ou un tuteur.
−	Unlike the GDPR, you don’t generally need to seek consent to collect an individual’s personal information. However, you must still do so where you collect any type of special personal information.	+	En outre, vous ne pouvez traiter des données personnelles à des fins de marketing direct (par e-mail, téléphone ou SMS) que lorsque la personne concernée est un client ou a donné son consentement au traitement.
−	Specific consent rules also apply to collection of data about children, aged 17 and under, where you normally need the consent of a competent person, such as a parent or guardian.	+	Cependant, vous devez donner aux clients une possibilité raisonnable de s'opposer au traitement s'ils le souhaitent. Et, comme pour le RGPD, vos communications doivent inclure des détails sur la façon de se retirer de votre liste marketing.
−	In addition, you may only process personal data for direct marketing (by email, telephone or SMS) where the data subject is a customer or has given their consent to processing.	+	Des règles similaires au RGPD s'appliquent également en matière de transparence. Cela signifie essentiellement que, partout où vous collectez des données personnelles sur des individus, vous devez être franc sur:
−	However, you must give customers a reasonable opportunity to object to processing if they wish. And, as with the GDPR, your communications should include details on how to opt out of your marketing list.	+	*qui tu es
		+	* quelles informations vous collectez
		+	* pourquoi vous le collectionnez
		+	* les droits des personnes concernées
−	Similar rules to the GDPR also apply regarding transparency. This basically means that, wherever you collect personal data about individuals, you must be upfront about:	+	Comme pour le RGPD, le moyen le plus pratique de fournir ces informations est de les incorporer dans votre politique de confidentialité en ligne.
−	*who you are	+	=== Base juridique du traitement ===
−	*what information you collect	+
−	*why you collect it	+
−	*the rights of data subjects	+
−	As with the GDPR, the most practical way of providing this information is to incorporate it into your online privacy policy.	+	Même si vous n'avez pas nécessairement besoin d'un consentement pour collecter des données personnelles, vous devez toujours remplir toutes les autres conditions POPIA pour un traitement licite.
−	===Legal Basis for Processing ===	+	Celles-ci ont beaucoup en commun avec d'autres nouvelles lois sur la protection des données, telles que des exigences similaires en matière de sécurité des données, de transfert de données et de droits d'accès.
−	Even though you don’t necessarily need consent to collect personal data, you must still meet all other POPIA conditions for lawful processing.	+	Cependant, vous devez être conscient d'une condition nettement différente dans laquelle, dans toutes les circonstances, sauf dans quelques cas, vous ne pouvez collecter des données que directement auprès de la personne concernée.
−	These share much in common with other new data protection laws, such as similar requirements for data security, data transfer and rights of access.	+	=== Sécurité des données ===
−	However, you’ll need to be aware of one distinctly different condition where, in all but a few certain circumstances, you may only collect data directly from the data subject.	+	Le POPIA et le GDPR ne décrivent que des exigences très générales en matière de sécurité des données en indiquant simplement que vous devez mettre en œuvre des mesures techniques et organisationnelles appropriées pour protéger les données personnelles en votre possession.
−	===Data Security ===	+	Cela vous permet essentiellement d'adapter les mesures de sécurité à la nature des données personnelles que vous traitez, au niveau d'impact d'une violation potentielle et au coût de mise en œuvre.
−	Both the POPIA and GDPR outline only very general data security requirements by merely stating you must implement appropriate technical and organizational measures to protect personal data in your possession.	+	Aucune des deux lois n'entre vraiment dans les détails, bien que la POPIA mentionne que vous devez tenir dûment compte des pratiques et procédures de sécurité généralement acceptées.
−	This basically allows you to tailor security measures to the nature of the personal data you process, impact level of a potential breach and cost of implementation.	+	=== Transfert de données ===
−	Neither law really goes into any further detail—although the POPIA does mention you should give due regard to generally accepted security practices and procedures.	+	En général, le POPIA et le RGPD interdisent les transferts de données personnelles en dehors de l'Afrique du Sud et de l'EEE respectivement.
−	===Data Transfer ===	+	Cependant, dans le cas du POPIA, les transferts transfrontaliers sont autorisés vers un tiers soumis à des règles juridiques ou d'entreprise en matière de protection des données essentiellement similaires aux siennes.
−	In general, the POPIA and GDPR prohibit transfers of personal data outside of South Africa and the EEA respectively.	+	Le RGPD fonctionne de manière similaire, où les transferts internationaux ne sont autorisés que vers des pays spécifiques dotés de cadres juridiques assurant une protection adéquate des données personnelles.
−	However, in the case of the POPIA, cross-border transfers are permitted to a third party that is subject to legal or corporate data protection rules substantially similar to its own.	+	En vertu des deux lois, certains types de transfert sont exemptés de ces conditions, par exemple lorsqu'une personne a consenti au transfert ou lorsque le transfert est nécessaire pour exécuter un contrat.
−	The GDPR works on similar lines, where international transfers are only permitted to specific countries with legal frameworks that provide adequate protection of personal data.	+	=== Droit d'accès ===
−	Under both laws, certain types of transfer are exempt from the conditions, such as when an individual has consented to the transfer or where the transfer is necessary to fulfill a contract.	+	Le POPIA accorde aux personnes concernées des droits d'accès, de correction et d'effacement similaires à ceux du RGPD.
−	===Right of Access ===	+	En vertu des deux lois, les citoyens peuvent demander, gratuitement, la confirmation du traitement ou non de leurs informations personnelles.
−	The POPIA grants data subjects similar rights of access, correction and erasure as the GDPR.	+	Mais, contrairement au RGPD, le POPIA vous permet de facturer des frais pour fournir aux individus une copie des informations que vous détenez à leur sujet. Si vous choisissez de le faire, vous devez donner une estimation écrite du coût avant de fournir le service.
−	Under both laws, citizens may request, free of charge, confirmation of whether or not you process their personal information.	+	La POPIA indique uniquement que vous devez répondre à une telle demande dans un délai raisonnable. Le RGPD, en revanche, est plus spécifique - où, dans des circonstances normales, vous devez répondre à une demande d'accès à une personne concernée (DSAR) sans délai et dans un délai d'un mois au plus tard.
−	But, unlike the GDPR, the POPIA allows you to charge a fee for providing individuals with a copy of the information you hold about them. If you choose to do so, you must give a written estimate of the cost before you provide the service.	+	=== Agent d'information ===
−	The POPIA only states that you must respond to any such request within a reasonable time. The GDPR, on the other hand, is more specific—where, under normal circumstances, you must respond to a data subject access request (DSAR) without delay and within a month at the latest.	+	Le POPIA désigne le rôle de responsable de l'information avec des responsabilités similaires à celles d'un délégué à la protection des données (DPO) dans le cadre du RGPD.
−	===Information Officer ===	+	Mais, alors qu'un DPO n'est obligatoire que pour les organismes du secteur public et les entreprises privées qui traitent des données à grande échelle, toutes les organisations qui entrent dans le champ d'application du POPIA doivent désigner un responsable de l'information.
−	The POPIA designates the role of information officer with similar responsibilities to those of a data protection officer (DPO) under the GDPR.	+	En l'absence de nomination officielle, le rôle de responsable de l'information incombe au chef de votre organisation, généralement le chef de la direction (PDG).
−	But, whereas a DPO is only mandatory for public sector bodies and private companies that process data at scale, all organizations that come within the scope of the POPIA must appoint an information officer.	+	=== Rapport de violation ===
−	In the absence of a formal appointment, the role of information officer falls to the head of your organization— usually the chief executive officer (CEO).	+	La procédure POPIA pour signaler une violation de données est très similaire à celle du RGPD - où, en général, vous devez informer à la fois l'organisme de réglementation concerné et les personnes concernées par le compromis.
−	===Breach Reporting ===	+	La POPIA déclare simplement que vous devez le faire dès que raisonnablement possible après avoir pris connaissance de la violation. Cependant, le RGPD vous oblige spécifiquement à informer votre autorité de contrôle dans les 72 heures.
−	The POPIA procedure for reporting a data breach is very much like that of the GDPR—where, in general, you must notify both the relevant regulatory body and the individuals affected by the compromise.	+	=== Pénalités pour non-conformité ===
−	The POPIA simply states you must do this as soon as reasonably possible after becoming aware of the breach. However, the GDPR specifically requires you to notify your supervisory authority within 72 hours.	+	À 10 millions de rands, la sanction financière maximale pour une infraction POPIA est nettement inférieure à une amende potentielle au RGPD, qui peut atteindre 20 millions d'euros ou 4% du chiffre d'affaires annuel mondial.
−	===Penalties for Non-Compliance ===	+	Cependant, en vertu de la législation sud-africaine, des individus peuvent être tenus pénalement responsables et condamnés à une peine de prison pouvant aller jusqu'à 10 ans dans des cas plus graves.
−	At R10 million, the maximum financial penalty for a POPIA infringement is significantly lower than a potential GDPR fine, which can reach up to €20 million or 4% of annual global turnover.	+	De plus, les sanctions POPIA s'appliquent non seulement en cas de non-conformité, mais également à une série d'autres infractions, notamment:
−	However, under South African legislation, individuals can be held criminally responsible and sentenced to prison for up to 10 years in more serious cases.	+	* gêner, gêner ou influencer illégalement les agents de la force publique
		+	* ne pas se présenter aux audiences du tribunal
		+	* couché sous serment
−	What’s more, POPIA sanctions not only apply to non- compliance but also a range of other offenses, which include:	+	En revanche, les sanctions GDPR se concentrent plus directement sur la non-conformité. Néanmoins, lors de la fixation d'une amende, les autorités européennes chargées de l'application peuvent toujours tenir compte du degré de coopération dont fait preuve une organisation au cours de leurs enquêtes.
−	*hindering, obstructing or unlawfully influencing enforcement officials
−	*failing to attend court hearings
−	*lying under oath
−	By contrast, GDPR sanctions focus more directly on non-compliance. Nevertheless, when setting a fine, European enforcement authorities may still consider the degree of cooperation an organization shows during their investigations.	+	== Conclusion: vers une confidentialité des données sans frontières ==
−	==Conclusion: Towards a Data Privacy Without Borders ==	+	Alors que les données se développent à un rythme plus rapide, la capacité des réglementations de confidentialité des données à contrôler ces données contribue à réduire un peu le monde. Les premières mesures prises par l'UE avec la promulgation du RGPD ont commencé à être vues dans le monde entier.
−	While data is growing at a faster rate, the ability for data privacy regulations to control that data is helping to shrink the world a little bit. The first steps taken by the EU with the enactment of GDPR have started to be seen around the world.	+	La Californie, en tant que plus grand État des États-Unis, a promulgué une loi qui, bien que de moindre portée que le RGPD, établit toujours des directives claires sur l'utilisation appropriée des données personnelles. C'est un modèle qui pourrait bientôt être reproduit dans tout le pays, éventuellement au niveau national. Dans un pays aussi vaste et économiquement dynamique que le Brésil, la législation sur la protection des données était inévitable. Pratiquement toutes les entreprises présentes dans le monde traiteront les données personnelles des consommateurs brésiliens. La nécessité de se conformer à la LGPD sera bientôt une exigence mondiale. L'Afrique du Sud, dans son approche de la protection des données, se concentre plus au niveau national; mais en tant que centre économique et culturel, les restrictions de POPIA affecteront de nombreuses entreprises internationales.
−	California, as the largest state in the US has enacted a law that, while lesser in scope than GDPR, still establishes clear guidelines on the appropriate use of personal data. It’s a model that may soon be replicated throughout the country, possibly on a national level. In a country as large and economically vibrant as Brazil, data protection law was an inevitability. Virtually any company with a global presence will process personal data about Brazilian consumers. The need to comply with the LGPD will soon be a worldwide requirement. South Africa in its approach to data protection is focused more nationally; though as an economic and cultural hub POPIA’s restrictions will affect many international businesses.	+	Étant donné que bon nombre de ces réglementations ont des stipulations similaires, une directive générale visant à avoir la confidentialité des données par défaut comme point de départ dans votre entreprise aidera à gérer celles-ci et les réglementations à venir en matière de confidentialité des données.
−		+
−	Because so many of these regulations have similar stipulations, a general guideline to have data privacy by default as the starting point in your business will help handle these and the data privacy regulations to come.	+
	<br/>		<br/>
−
−	</pre>

---

Version du 20 février 2021 à 20:12

REGLEMENT SUR LA CONFIDENTIALITE DES DONNEES
À partir d'un livre électronique NetApp

Les données sont devenues un actif fongible pour presque toutes les organisations, qu'elles soient à but lucratif, à but non lucratif, grandes ou petites. La combinaison de ressources technologiques accrues pour la collecte de données et de la montée en puissance d'un stockage cloud peu coûteux et potentiellement illimité, les organisations stockent des quantités massives de données sur des particuliers et, dans de nombreux cas, utilisent ces données comme source de revenus.

Du point de vue des personnes dont les renseignements personnels sont achetés et vendus, c'est un problème. L'UE a opéré un virage révolutionnaire pour répondre à ces préoccupations en introduisant le règlement général sur la protection des données, ou RGPD. Ce règlement sur la confidentialité des données protège la confidentialité des données des citoyens et résidents de l'UE, quel que soit l'endroit dans le monde où se trouve l'entreprise qui utilise ces données.

Depuis lors, des lois similaires ont été adoptées dans des pays du monde entier, notamment la California Consumer Privacy Act (CCPA) aux États-Unis, le Lei Geral de Proteção de Dados Pessoais (LGPD) au Brésil et la Protection of Personal Information Act (POPIA). ) en Afrique du sud.

Laquelle de ces lois votre organisation va-t-elle être affectée et quelles sont les différences entre elles? Dans cet ebook, nous vous donnerons un moyen facile de comparer ces réglementations en matière de confidentialité des données du monde entier afin que vous puissiez mieux planifier la manière dont vous répondrez aux exigences uniques de confidentialité des données de votre entreprise.

Tableau de comparaison: Réglementations mondiales sur la confidentialité des données

Loi - GDPR

Portée territoriale: mondiale

Délais de réponse DSAR obligatoires: généralement dans un délai d'un mois

DPO: obligatoire pour les organismes du secteur public et les entreprises qui traitent des données personnelles à grande échelle

Délais de signalement des violations: dans les 72 heures

Pénalité: 4% du chiffre d'affaires annuel global ou 20 millions d'euros, selon la valeur la plus élevée

Loi - CCPA

Portée territoriale: à l'échelle de l'État et mondiale

Délais de réponse DSAR obligatoires: fenêtre de 45 jours, avec des extensions jusqu'à 90 jours autorisées.

DPO: Aucun

Délais de signalement des violations: aucun, mais d'autres lois étatiques exigent des délais de 72 heures

Pénalité: 7500 $ par infraction individuelle et réclamations personnelles de 750 $ par incident

Loi - LGPD

Portée territoriale: mondiale

Délais de réponse DSAR obligatoires: dans les 15 jours

DPO: Obligatoire

Délais de signalement des infractions: dans un délai raisonnable

Pénalité: 2% du chiffre d'affaires annuel brésilien d'une entreprise, plafonnée à 50 millions de reais

Loi - POPI

Portée territoriale: réservée aux organisations basées ou traitant des données personnelles en Afrique du Sud

Délais de réponse DSAR obligatoires: dans un délai raisonnable

DPO: Rôle obligatoire appelé agent d'information

Délais de signalement des violations: dès que raisonnablement possible

Peine: amende de 10 millions de rands ou 10 ans d'emprisonnement

GDPR: le règlement révolutionnaire de l'UE sur la confidentialité des données

GDPR signifie règlement général sur la protection des données. Il a été promulgué par l'Union européenne pour garantir que les organisations à but lucratif et à but non lucratif situées en Europe et les organisations de tout lieu qui traitent les données des résidents de l'UE se conforment à un ensemble strict de règles de confidentialité des données, sous peine de devoir payer des amendes allant jusqu'à 4% des chiffre d'affaires annuel de l'entreprise plafonné à 20 millions d'euros.

Votre organisation est-elle prête?

• Selon des études récentes, le nombre d'entreprises entièrement préparées au RGPD n'est que de 20% et seulement 60% des entreprises technologiques des entreprises sont actuellement conformes au RGPD des entreprises technologiques ont des politiques GDPR en place

• Solution: adoptez des politiques et utilisez une technologie qui peut s'aligner sur les meilleures pratiques du RGPD, telles que la nouvelle technologie de cartographie des données de conformité cloud de NetApp pour le cloud.

Amendes majeures du RGPD

Une liste incomplète de certaines des amendes majeures qui ont été imposées jusqu'à présent et qui démontrent l'énorme impact du RGPD.

5 milliards de dollars: l'amende de Cambridge Analytica sur Facebook

Le groupe de recherche politique a pu accéder aux données de plus de 87 millions d'utilisateurs de Facebook. Le géant des médias sociaux a ensuite été condamné à une amende énorme de 5 milliards de dollars dans le cadre de la plus importante mesure de responsabilité GDPR à ce jour et de la plus grande amende jamais infligée à une entreprise américaine.

220 000 €: Entreprise condamnée par l'UODO de Pologne

Cette amende rendue anonyme a été imposée à une société de technologie qui a récupéré Internet à la recherche de données utilisateur, bien qu'elle n'ait tenté d'obtenir le consentement que d'une petite partie des utilisateurs concernés. Il s'agissait de la première amende imposée par l'Office polonais de la protection des données personnelles.

183 000 000 £: British Airways

Cette amende était le résultat de la violation de données chez British Airways qui a exposé les données d'un demi-million d'utilisateurs à des tiers. L'amende est l'une des plus importantes imposées via l'applicabilité du RGPD.

460 000 €: Faire hôpital

Cette amende infligée par l'Autorité de surveillance néerlandaise pour la protection des données (AP) est une réponse au traitement inapproprié des données des patients par l'hôpital, qui a été découvert lorsqu'il a été révélé que le personnel de l'hôpital accédait au dossier médical d'un patient célèbre sans un accès approprié.

99 000 000 £: Hôtel Marriott

Starwood, une société hôtelière rachetée par l'hôtel Marriott, a ensuite été découverte pour avoir subi une violation de données de 2014 à 2018. La faille a révélé les mots de passe et les informations de carte de crédit de 30 millions de clients protégés par le RGPD.

27 000 €: Vodafone

Le géant des télécommunications a été condamné à une amende pour avoir reçu une demande de suppression de données d'un utilisateur; même si la demande a été acceptée, la personne concernée a continué à recevoir des textes, ce qui signifie que toutes les données du sujet n'avaient pas été supprimées des bases de données de l'entreprise

50 millions d'euros: Google

Cette amende a été imposée par la CNIL en réponse à des plaintes déposées par des groupes de protection de la vie privée qui accusaient Google de violer les directives du RGPD en matière de transparence, de non-ambiguïté et de manque d'information dans la manière dont les comptes Google ont été créés pour la configuration de Téléphones intelligents Android.

1,2 M DKK: axa 4X35

Taxa 4X35 est une société de taxi au Danemark qui conservait des données sur 9 millions de ses utilisateurs, y compris des numéros de téléphone et des informations de trajet, en violation des directives du RGPD sur le traitement des données personnelles.

GDPR: une panne

Portée territoriale

Le RGPD s'applique aux données de tout résident de l'UE qui sont utilisées par toute organisation, à but lucratif ou non, qui traite ces données, peu importe où cette organisation est située. Ce champ d'application étend effectivement le RGPD pour qu'il s'applique aux entreprises situées n'importe où dans le monde, à condition qu'elles traitent les données des citoyens et résidents des États de l'UE.

Définition des données personnelles

Le RGPD définit généralement les données personnelles comme toutes les données qui sont liées à, identifient, décrivent ou pourraient être associées à une personne (ou «personne concernée» comme les personnes sont désignées dans la législation).

Cette identification personnelle peut s'étendre au nom d'une personne, à ses numéros d'identification gouvernementaux, à un code client créé par l'entreprise traitant les données, aux informations en ligne telles que les adresses IP ou les cookies, le GPS

ou d'autres données cartographiques, et toute référence aux informations biographiques d'une personne, telles que sa race, sa sexualité, ses croyances philosophiques ou sa religion, ses antécédents économiques ou ses identifiants physiques. Beaucoup de ces caractéristiques spécifiques relèvent de ce que le RGPD appelle des données personnelles sensibles, c'est-à-dire des informations qui doivent bénéficier des niveaux les plus élevés de confidentialité et de protection des données à tout moment.

Base juridique du traitement

Le «traitement» est plus ou moins la manière dont le RGPD fait référence à la vente de données personnelles. Les organisations doivent obtenir le consentement pour collecter des données personnelles, le niveau de consentement variant selon le type de données personnelles collectées. Il est maintenant fréquent, lors de la visite de sites Web, de voir apparaître ces types d'écrans d'autorisation avant de pouvoir accéder au contenu du site Web.

Le RGPD cherche également à limiter la quantité de données stockées par les organisations sans objectif clair. La loi stipule que les organisations ne peuvent collecter que des données personnelles clairement liées à un objectif commercial bien défini. Si une organisation recueille des données personnelles dans un seul but mais décide ensuite de les utiliser à d'autres fins (comme le profilage des consommateurs), cela pourrait être considéré comme une non-conformité.

Sécurité des données

Le RGPD s'attend à ce que les organisations mettent en place certaines précautions de sécurité des données, mais ne précise pas quelles doivent être ces précautions. L'idée sous-jacente est que la confidentialité des données sera atteinte en s'assurant que les contrôles de confidentialité sont correctement mis en place, plus que de pouvoir empêcher par des moyens spécifiques que des violations ne se produisent. En effet, aucune mesure de sécurité n'a jamais échoué à être totalement infaillible contre les fissures.

Transfert de données

Le RGPD limite le transfert de données personnelles de l'intérieur de l'Espace économique européen (EEE) vers des pays en dehors de celui-ci. Cela garantit effectivement que la confidentialité des données peut être assurée à l'intérieur des frontières de l'UE afin de mieux protéger les personnes concernées.

Il existe quelques cas où il est possible de transférer des données en dehors de cette zone définie. Certaines de ces exceptions incluent l'utilisation de ce que le RGPD appelle des «garanties appropriées» qui sont en fait un certain nombre de restrictions d'entreprise et législatives, aux fins de la défense juridique de l'organisation, et si le transfert de données est effectué selon les termes d'un contrat spécifique avec la personne concernée elle-même.

Droits des citoyens

Le RGPD a accordé aux résidents et aux citoyens de l'UE un nombre important de nouveaux droits à la confidentialité des données. Ces droits comprennent:

• Droit de retrait partiel
• Les particuliers peuvent refuser des services spécifiques.

Droit de s'opposer au traitement

Les particuliers peuvent refuser le traitement de leurs données, y compris le profilage automatisé.

EMAIL Marketing

Le RGPD a des réglementations spécifiques concernant la manière dont les campagnes de marketing par e-mail peuvent être menées et les données qu'elles utilisent. Le facteur principal dans ce cas est qu'une telle campagne ne peut inclure les informations personnelles d'une personne concernée que si cette personne a donné son consentement à l'organisation pour utiliser ses données à de telles fins.

Cela signifie que les données collectées et traitées automatiquement par tout moyen technologique ne peuvent pas être utilisées pour compiler des listes de diffusion et des prospects sans obtenir au préalable le consentement explicite de la personne concernée.

Avis de consentement et politiques de confidentialité

Comme indiqué ci-dessus, le consentement est une exigence majeure pour la plupart des autorisations dont les organisations disposent pour utiliser les données collectées auprès des personnes concernées de l'UE. Les politiques de confidentialité doivent désormais être clairement et facilement accessibles selon le RGPD

Délégué à la protection des données

Les exigences de conformité au RGPD incluent la dotation de nouveaux postes tels qu'un délégué à la protection des données (DPO) et un Chief Privacy Officer (CPO).

Signaler une violation de données

Les violations de données peuvent potentiellement exposer des données personnelles et des informations sensibles appartenant aux personnes concernées de l'UE protégées par le RGPD.

Le règlement donne aux entreprises qui ont pris connaissance d'une violation de données 72 heures pour informer toutes les personnes concernées et potentiellement concernées de l'événement.

Pénalités financières

L'un des aspects les plus uniques du RGPD est ses «dents» - des sanctions très sévères en cas de non-conformité (jusqu'à 10 millions d'euros ou 2% du chiffre d'affaires annuel mondial, selon le montant le plus élevé) et les infractions (jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, selon le montant le plus élevé). Tout aussi douloureux est le droit des autorités chargées de la protection des données d'empêcher une entreprise de collecter ou de traiter des données à caractère personnel alors qu'une non-conformité ou une violation présumée fait l'objet d'une enquête.

Affectant les entreprises situées dans ou avec des personnes concernées dans:

• The California Consumer Privacy Act (CCPA) California (États-Unis)
• La loi sur la protection des informations personnelles (POPI) en Afrique du Sud
• La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) au Canada
• LGPD, la loi générale sur la protection des données au Brésil
• La loi sur la protection des données de 2018 au Royaume-Uni.
• Diverses lois sur la confidentialité en vigueur en Australie.

Dans les sections suivantes, nous examinerons un certain nombre de ces nouvelles lois sur la confidentialité des données et verrons comment elles se comparent au RGPD.

CCPA: un modèle de confidentialité des données pour les États-Unis

Le 1er janvier 2020, une nouvelle loi sur la confidentialité des données est entrée en vigueur en Californie, le plus grand État des États-Unis. Ses nombreuses réglementations en matière de confidentialité des données sont largement calquées sur celles du RGPD de l'UE, mais avec quelques différences majeures. Sa portée affecte certaines organisations qui collectent et utilisent des données personnelles sur les citoyens de Californie. La California Consumer Privacy Act (CCPA) est conçue pour donner aux résidents de l'État plus de contrôle sur leurs données personnelles et oblige les entreprises à devenir plus transparentes sur les données qu'elles collectent et stockent sur les consommateurs.

Ce qui est le plus important à propos de ce règlement, outre son impératif très clair pour les entreprises de respecter la confidentialité des données, c'est qu'il est probablement le précurseur d'autres lois à adopter aux États-Unis, à la fois au niveau des États et au niveau fédéral.

CCPA Introduction

Le California Consumer Privacy Act (CCPA) est une loi sur la protection des données que l'État de Californie a promulguée en réponse à l'inquiétude croissante du public concernant l'abus de données personnelles. CCPA donne aux résidents de Californie plus de visibilité et de contrôle sur les informations que les sites Web et les applications collectent à leur sujet.

Quand on considère le nombre de consommateurs qui pourraient être touchés, cela pourrait signifier des amendes énormes pour les entreprises, grandes et petites.

La CCPA complète les réglementations existantes en matière de confidentialité, telles que la California Online Privacy Protection Act (CalOPPA), mais elle introduit également de nouvelles exigences dans les domaines clés suivants:

Lorsque le California Consumer Privacy Act (CCPA) est entré en vigueur le 1er janvier, les entreprises ont été obligées de repenser à la manière dont elles protègent les données personnelles à la suite d'une nouvelle législation sur la confidentialité des données.

Ils ont été confrontés à de nouveaux défis informatiques où, alors que la réglementation se durcissait, ils stockaient des informations sur une gamme de plus en plus diversifiée de systèmes de stockage et de formats de données.

Toutes les solutions ne sont pas à la hauteur ou adaptées au paysage cloud moderne, où les entreprises stockent les données dans une grande variété de formes structurées et non structurées. En conséquence, la conformité CCPA nécessite une nouvelle génération d'outils de protection des données, avec des fonctionnalités capables d'exécuter les fonctions suivantes.

CCPA contre GDPR

Quelles sont les principales différences entre ces deux lois et comment vont-elles affecter votre entreprise? Pour la plupart, le RGPD a une portée beaucoup plus large.

Par exemple, contrairement au RGPD, vous n'avez pas besoin d'obtenir le consentement préalable pour simplement collecter et traiter des données personnelles conformément au CCPA. Mais ce n'est pas parce que vous êtes conforme au RGPD que vous vous conformez au CCPA. Bien que le GDPR et le CCPA partagent de nombreuses fonctionnalités communes, vous devrez toujours répondre à des exigences spécifiques en matière de vente de données personnelles.

Cette section vise à vous donner une ressource facile pour analyser les différences entre ces deux règles de confidentialité des données qui changent la donne.

Portée territoriale

La CCPA s'applique à toute entreprise à but lucratif qui fait des affaires en Californie, collecte des données personnelles sur les résidents de la Californie et satisfait à un ou plusieurs des seuils suivants:

• Il génère des revenus bruts annuels d'au moins 25 millions de dollars américains.
• Il recueille des informations personnelles de 50 000 résidents, ménages ou appareils californiens ou plus par an.
• Il génère plus de 50% de ses revenus annuels en vendant des informations personnelles sur les résidents de Californie.

Bien que la CCPA ne définisse pas ce que signifie faire des affaires en Californie, vous êtes susceptible de relever de la définition si votre entreprise:

• Est basé en Californie.
• A des employés en Californie.
• A des relations avec la Californie par le biais de la propriété de biens immobiliers ou de ventes répétées à des clients de l'État.

Définition des données personnelles

CCPA s'applique aux données personnelles:

• Fourni directement par les utilisateurs dans des formulaires en ligne
• Collectées par des outils de suivi et des technologies associées. Ces informations comprennent tout ce qui peut être utilisé pour identifier, décrire ou être associé de quelque manière que ce soit à un résident ou à un «foyer» californien particulier. L'accent mis sur le ménage est dû au fait qu'il s'agit d'un terme curieux que l'ACCP doit utiliser car il n'est pas défini dans le document.

Le CCPA diffère du RGPD en ce qu'il n'a pas de restrictions spécifiques imposées aux informations personnelles sensibles sur les individus, bien qu'il comporte des dispositions qui empêchent l'utilisation des données personnelles pour discriminer une personne (voir ci-dessous).

Base juridique du traitement

CCPA donne aux entreprises la possibilité de traiter ou de vendre les données personnelles des résidents de Californie, étant donné que ces résidents se sont vus offrir une option clairement indiquée pour se retirer de ces transactions. Ce que l'ACCP considère que la vente de données est cependant assez vaste, car elle n'est pas spécifiquement limitée à un échange financier. Les données peuvent être considérées comme vendues d'une entreprise à une autre si cela a été fait pour une autre «considération précieuse».

Alors que le RGPD donne aux personnes concernées le droit d'empêcher les entreprises d'utiliser leurs données personnelles à des fins de marketing, les droits de désinscription du CCPA concernent davantage la vente de données personnelles.

Sécurité des données

Semblable au RGPD, le CCPA n'a pas d'exigence spécifique en matière de sécurité des données, bien qu'il laisse la porte ouverte à une action privée en cas de violation de données et allègue que l'entreprise n'a pas pris de mesures raisonnables en matière de sécurité. niveau pour empêcher un tel événement de se produire.

Transfert de données

CCPA ne limite pas le transfert de données en dehors des États-Unis. Le RGPD a des règles strictes sur la façon dont les données peuvent être transférées, et il n'est généralement pas possible de le faire en dehors de l'EEE. En tant que pays disposant de lois sur la confidentialité des données état par état, les États-Unis n'offrent actuellement pas une telle protection. Ainsi, actuellement, la Commission européenne n'autorisera que les transferts couverts par le cadre du bouclier de protection des données UE-États-Unis.

Droits des citoyens

La CCPA a accordé de nouveaux droits de confidentialité aux citoyens californiens, qui peuvent désormais demander les données personnelles que vous stockez à leur sujet. Vous devez fournir ces informations rapidement et, dans des circonstances normales, dans les 45 jours. En outre, les résidents de Californie peuvent également vous demander de supprimer leurs données.

Dans le cas de l'un ou l'autre des deux droits, vous ne pouvez refuser une demande que sous certaines conditions et devez gérer les demandes gratuitement. Il est donc essentiel que vous puissiez supprimer ou récupérer des informations sur un client aussi rapidement et efficacement que possible. Mais, sans le bon outillage, cela peut être un processus complexe et prolongé impliquant une multitude de départements commerciaux et un travail manuel important.

Les autres droits incluent

=Email Marketing

Lorsqu'il y a un accent particulier sur le marketing par e-mail dans le RGPD, le CCPA ne contient aucune disposition concernant spécifiquement le marketing par e-mail.

Avec la CCPA en vigueur, les entreprises ne pourront désormais vendre des données personnelles sur les résidents californiens de moins de 17 ans que si elles vous ont donné leur consentement préalable.

Les personnes âgées de 13 à 16 ans pourront autoriser elles-mêmes la vente de leurs données. Cependant, dans le cas des enfants de moins de 13 ans, il est nécessaire d'obtenir le consentement d'un parent ou d'un tuteur.

= Délégué à la protection des données

Contrairement au RGPD, le CCPA n'exige pas la nomination d'un délégué à la protection des données dédié, ni aucun rôle similaire (y compris un responsable de la confidentialité ou un CPO).

Signaler une violation de données

La CCPA n'a pas d'exigences spécifiques en matière de délai de violation de données. Il existe également une autre loi, la California Data Breach Notification Law, conformément à laquelle l'ACCP agit. Notez qu'il existe certaines circonstances dans lesquelles des données violées pourraient donner lieu à une action conformément à la loi sur la notification, mais PAS en vertu de la CCPA.

Pénalités financières =

L'État californien peut imposer une sanction civile allant jusqu'à 7 500 $ par violation à toute entreprise qui enfreint la CCPA et ne satisfait pas aux exigences de la loi dans les 30 jours. En outre, tout citoyen californien aura également le droit de réclamer des dommages-intérêts pouvant aller jusqu'à 750 $ par incident en cas d'exposition. Donc, ne pas atteindre les objectifs de conformité du CCPA peut être coûteux.

CCPA Fines

• 7500 $ par violation si non conforme dans les 30 jours.
• 750 $ par incident peuvent être poursuivis par des particuliers lorsque les données sont exposées.

LGPD: la version brésilienne du RGPD

Les équipes de stockage, de conformité et de sécurité du monde entier examinent leurs pratiques de protection des données en réponse au prochain Lei Geral de Proteção de Dados Pessoais (LGPD), une loi brésilienne sur la confidentialité des données similaire au règlement général sur la protection des données (RGPD).

Le LGPD sera la dernière d'une série de lois plus strictes sur la protection des données visant à répondre aux préoccupations du public concernant l'utilisation généralisée de leurs données. La nouvelle loi a été élaborée depuis longtemps.

Après un long retard, il devait finalement entrer en vigueur en août de cette année. Mais, en raison de l'impact de la pandémie de coronavirus, le gouvernement brésilien a repoussé à nouveau la date d'entrée en vigueur pour donner aux organisations plus de temps pour se préparer à la législation.

Mais avec de nombreuses entreprises qui ont encore du mal à se conformer à d'autres nouvelles réglementations sur la confidentialité des données, le retard du LGPD donne aux entreprises l'occasion de commencer à élaborer des plans pour répondre aux exigences du LGPD dès que possible. Dans certains cas, les dispositions seront identiques à celles mises en place pour répondre aux normes du RGPD. Mais dans d'autres cas, il y aura des différences subtiles.

Dans cet article, nous passons en revue les principales caractéristiques de la LGPD tant attendue, l'approche du Brésil à l'égard de cette législation et la comparaison avec son homologue européen.

Le LGPD en bref

Avec LGPD, le Brésil se propose d'harmoniser une multitude de lois disparates en un ensemble unifié de normes. Il renforce les droits de confidentialité des données des ressortissants brésiliens grâce à des contrôles plus stricts sur la manière dont les entreprises sont autorisées à stocker et à traiter les données personnelles.

Il est également conçu pour promouvoir les meilleures pratiques en matière de confidentialité et aider les entreprises à tirer parti de la conformité comme une opportunité de générer plus de revenus. De plus, il libère la concurrence en permettant aux entreprises privées de traiter des données personnelles à l'usage du secteur public.

Bien que moins étendue que la réglementation européenne, la LGPD vise à atteindre à peu près les mêmes objectifs de confidentialité.

En conséquence, les deux lois sont remarquablement similaires, partageant un objectif commun sur la responsabilité, la sécurité, la minimisation des données, la limitation des finalités et la confidentialité dès la conception.

LGPD vs GDPR: une comparaison

Portée territoriale

En ce qui concerne le champ d'application territorial de chaque loi, la LGPD et le RGPD suivent le même principe de base. À savoir, elles s'appliquent à toute organisation qui stocke ou traite des données personnelles sur les citoyens de la juridiction territoriale qu'elles couvrent, quel que soit leur emplacement dans le monde.

En d'autres termes, où que vous soyez, si votre entreprise propose des biens et des services sur le marché brésilien, vous devrez prendre des mesures pour vous conformer à la LGPD.

Définition des données personnelles

Alors que le RGPD est très spécifique sur ce qui constitue des données personnelles, dans le cadre du LGPD, il est beaucoup moins clairement défini. Cependant, cela peut changer à l'avenir à mesure que la loi entre en vigueur au quotidien.

D'autre part, la LGPD reflète le RGPD en désignant certains types d'informations, telles que celles concernant l'origine raciale ou ethnique, la santé ou l'appartenance à un syndicat, comme des données personnelles sensibles, où des règles particulières s'appliquent.

Base juridique du traitement

Comme pour le RGPD, le LGPD établit une liste de motifs légaux pour le traitement des données personnelles. Celles-ci sont globalement similaires, par exemple pour répondre à une obligation légale ou contractuelle ou lorsque la personne vous a donné son consentement pour traiter ses données personnelles dans un but spécifique.

Cependant, avec LGPD, le Brésil autorise explicitement une base légale pour l'utilisation des données personnelles qui n'est pas directement couverte par le RGPD: le traitement des données personnelles d'une personne dans le but de protéger son pointage de crédit.

Néanmoins, dans la plupart des cas, le RGPD interpréterait toujours cela comme une base appropriée pour le traitement - au motif que cela est dans l'intérêt légitime du consommateur.

Sécurité des données

Pour l'Europe et le Brésil, la loi sur la confidentialité des données implique la sécurité des données. En vertu de la LGPD et du RGPD, vous êtes tenu de mettre en œuvre des mesures techniques et organisationnelles appropriées pour protéger les données personnelles contre tout accès, divulgation, altération ou destruction non autorisés.

L'organisme brésilien chargé de faire respecter la protection des données, l'Autorité nationale de protection des données (ANPD), est chargé de fournir des orientations plus détaillées sur les normes techniques minimales que vous devrez adopter.

Le RGPD ne spécifie pas directement les mesures de sécurité que vous devriez mettre en place. Cependant, les agences d'application nationales, telles que l'Information Commissioner's Office (ICO) au Royaume-Uni, offrent chacune un guide général pour respecter vos obligations en matière de sécurité.

Transfert de données

Le LGPD prend la même ligne que le GDPR en interdisant le transfert de données personnelles hors du territoire brésilien, sauf dans certaines circonstances ou vers des pays qui offrent un niveau réglementaire élevé de protection des données.

Cela pourrait avoir des implications en matière de résidence des données pour les entreprises basées aux États-Unis, qui suivent actuellement une approche disparate de réglementations de protection des données état par état plutôt qu'un cadre juridique unifié à l'échelle nationale.

Droits des citoyens

Les deux lois accordent essentiellement aux personnes concernées les mêmes droits fondamentaux. Par exemple:

• Consentement: vous ne pouvez traiter et stocker des données sur un individu brésilien qu'avec son consentement, qu'il peut révoquer à tout moment.
• Demandes d'accès des personnes concernées (DSAR): la LGPD accorde aux Brésiliens les mêmes droits d'accès fondamentaux, y compris le droit de rectification et le droit d'effacement, que le RGPD pour les citoyens de l'UE.

Cependant, en vertu de la LGPD, vous devez répondre à un DSAR dans les 15 jours. Cela peut signifier que vous devrez améliorer vos procédures de réponse DSAR, car

il s'agit d'une période nettement plus courte que le mois autorisé par le RGPD. Le respect de ce type de délai serré dépendra en grande partie de votre capacité à automatiser vos rapports DSAR.

Email Marketing =

Alors que le RGPD applique des règles strictes au marketing par e-mail et à la messagerie texte, il s'agit d'un domaine qui n'est pas directement couvert par le LGPD.

Cependant, comme avec le RGPD, il est toujours logique de demander l'approbation d'un individu pour recevoir des e-mails marketing et des SMS, car cette activité est susceptible de constituer une forme de traitement de données nécessitant un consentement.

Avis de consentement et politiques de confidentialité

L'approche du LGPD pour obtenir le consentement est très similaire à celle du RGPD. Selon LGPD, le consentement d'un client doit être spécifique, éclairé, sans ambiguïté et donné librement. En d'autres termes, vous devez être franc sur ce à quoi une personne consent exactement et lui donner un contrôle proactif sur la façon dont vous utilisez ses données.

Vous devez tenir compte de ces exigences dans la conception de vos formulaires d'inscription, de vos paiements en ligne et de vos avis de consentement aux cookies. Bien que le LGPD ne fasse aucune référence directe aux politiques de confidentialité, vous devez tout de même revoir le libellé de votre politique pour vous assurer qu'elle respecte les obligations de transparence.

En outre, le consentement doit être granulaire, avec un consentement distinct pour différentes activités de traitement. De plus, vous devez conserver des enregistrements de consentement valide. Les personnes concernées devraient également pouvoir révoquer facilement leur consentement à tout moment.

Délégué à la protection des données

Pour vous conformer au RGPD, vous devrez peut-être désigner un délégué à la protection des données (DPO). Cependant, cela ne s'applique qu'aux organisations du secteur public et aux entreprises privées qui stockent et traitent des données personnelles à grande échelle.

En revanche, en l'état actuel de la LGPD, vous devez désigner un DPD, comme cela s'applique à toute organisation qui traite les données personnelles de citoyens brésiliens. Cependant, dans la pratique, cela risque de se révéler problématique et nécessitera inévitablement des éclaircissements de la part des autorités brésiliennes chargées de l'application de la loi.

Les fonctions de DPD ne doivent pas nécessairement être remplies par un individu. Ils peuvent être réalisés par une équipe interne ou sous-traités à un tiers, tel qu'un service DPO spécialisé. Notez également que le rôle du DPD est distinct et unique de celui du responsable de la protection de la vie privée, ou CPO.

Signaler une violation de données

En cas de violation qui pourrait potentiellement enfreindre les droits à la vie privée des personnes concernées, en vertu de la LGPD et du RGPD, vous devez informer à la fois l'autorité de protection des données (DPA) compétente et les personnes concernées.

Le LGPD indique uniquement que vous devez le faire dans un délai raisonnable, tel que défini par l'ANPD. Le RGPD est plus spécifique et ne vous donne que 72 heures pour notifier la DPA une fois que vous avez connaissance d'une violation.

Pénalités financières

Les sanctions pécuniaires pour violation des règles LGPD sont relativement modestes par rapport au RGPD. L'amende maximale pour une infraction est de 2% du chiffre d'affaires annuel brésilien d'une entreprise et est plafonnée à 50 millions de reais (environ 7,84 millions d'euros ou 9,28 millions de dollars) par infraction.

Cela se compare aux amendes du RGPD pouvant atteindre 4% du chiffre d'affaires annuel mondial ou 20 millions d'euros, selon le montant le plus élevé.

POPIA: la version sud-africaine du RGPD

Le 1er juillet 2020, la loi sud-africaine sur la protection des informations personnelles (POPIA) est finalement entrée en vigueur, faisant suite à d'autres nouvelles réglementations en matière de confidentialité, telles que le règlement général sur la protection des données (GDPR) et le California Consumer Privacy Act (CCPA).

La plupart des articles de la loi sont maintenant officiellement une loi. Mais la conformité n'est pas obligatoire jusqu'à ce que la partie restante de la législation, qui accorde des pouvoirs d'exécution à la nouvelle autorité de régulation sud-africaine, le régulateur de l'information, entre en vigueur le 1er juillet 2021.

Cela signifie que, si votre organisation est soumise à la POPIA, vous ne disposez que de quelques mois pour vous y conformer.

Dans cet article, nous vous donnons une brève introduction à la nouvelle législation et vous aidons à décider si votre entreprise entre dans le champ d'application de la loi. Nous vous guiderons également à travers les principales différences et similitudes entre le POPIA et son homologue européen, le RGPD.

POPIA en bref

La POPIA est la dernière d'une succession de nouvelles lois sur la protection des données visant à renforcer les droits à la vie privée des individus dans le paysage actuel axé sur les données.

La loi a été ratifiée en novembre 2013, plusieurs mois avant que l'UE ne vote l'adoption du RGPD. Mais les progrès ont par la suite stagné pendant plusieurs années jusqu'à ce que le gouvernement sud-africain lui donne enfin le feu vert en 2020.

POPIA contre RGPD

Malgré son origine légèrement plus ancienne, le POPIA est toujours très similaire au RGPD, partageant à peu près les mêmes principes directeurs, notamment la responsabilité, la transparence, la sécurité, la minimisation des données, la limitation des finalités et les droits des personnes concernées.

Portée territoriale

En général, à moins que votre organisation ne soit basée en Afrique du Sud, il est peu probable que vous deviez vous conformer. Mais si vous êtes une entreprise à grande échelle, la réponse n'est pas si simple.

En effet, le champ d'application de la POPIA est différent des autres nouvelles lois sur la protection des données, où ce qui compte est le lieu du traitement plutôt que celui de la personne concernée.

Par exemple, le RGPD s'applique à toute organisation qui traite des informations personnelles sur les citoyens de l'Espace économique européen (EEE), quel que soit l'endroit où elles sont basées dans le monde.

Cependant, le POPIA ne s'applique qu'aux entreprises basées en Afrique du Sud ou à celles qui traitent des données personnelles à l'intérieur des frontières sud-africaines. Ainsi, pour vérifier si vous devez vous conformer, vous devez savoir exactement où vous traitez des données personnelles.

Cela devrait inclure la localisation non seulement de vos centres de données sur site, mais également de vos déploiements basés sur le cloud.

Votre infrastructure cloud sera probablement le facteur décisif, car AWS et Microsoft Azure ont désormais des régions cloud en Afrique du Sud. Votre entreprise pourrait donc bien les utiliser dans le but de rapprocher vos données des clients africains.

Définition des données personnelles

En termes de définition des données personnelles, le POPIA est plus étendu que le RGPD, car il couvre non seulement les informations que vous collectez sur les individus, mais également sur les entreprises et autres types d'organisation.

Il s'agit d'un écart important par rapport aux autres lois sur la confidentialité des données. On ne sait donc pas encore exactement comment cela fonctionnera dans la pratique. Cependant, comme première étape vers la conformité, vous devez refléter les nouvelles exigences légales dans vos contrats avec vos partenaires, fournisseurs et vendeurs.

Comme pour le RGPD, le POPIA classe une sous-catégorie distincte de données personnelles, appelées informations personnelles spéciales, qui sont plus sensibles et donc soumises à des exigences plus strictes. Cela concerne principalement un individu:

• croyances religieuses ou philosophiques,
• race ou origine ethnique
• appartenance syndicale
• persuasion politique
• santé
• vie sexuelle ou orientation sexuelle
• caractéristiques physiques, physiologiques ou comportementales (données biométriques)

De plus, le POPIA s'applique aux données personnelles de tout individu, quelle que soit sa nationalité. Ainsi, alors que le RGPD est uniquement conçu pour protéger les citoyens de l'UE, le POPIA protège toute personne dont les données personnelles sont traitées sur le territoire sud-africain ou par une entreprise sud-africaine.

Politiques de consentement et de confidentialité

Contrairement au RGPD, vous n'avez généralement pas besoin de demander le consentement pour collecter les informations personnelles d'une personne. Cependant, vous devez toujours le faire lorsque vous collectez des informations personnelles spéciales.

Des règles de consentement spécifiques s'appliquent également à la collecte de données sur les enfants âgés de 17 ans et moins, où vous avez normalement besoin du consentement d'une personne compétente, comme un parent ou un tuteur.

En outre, vous ne pouvez traiter des données personnelles à des fins de marketing direct (par e-mail, téléphone ou SMS) que lorsque la personne concernée est un client ou a donné son consentement au traitement.

Cependant, vous devez donner aux clients une possibilité raisonnable de s'opposer au traitement s'ils le souhaitent. Et, comme pour le RGPD, vos communications doivent inclure des détails sur la façon de se retirer de votre liste marketing.

Des règles similaires au RGPD s'appliquent également en matière de transparence. Cela signifie essentiellement que, partout où vous collectez des données personnelles sur des individus, vous devez être franc sur:

• qui tu es
• quelles informations vous collectez
• pourquoi vous le collectionnez
• les droits des personnes concernées

Comme pour le RGPD, le moyen le plus pratique de fournir ces informations est de les incorporer dans votre politique de confidentialité en ligne.

Base juridique du traitement

Même si vous n'avez pas nécessairement besoin d'un consentement pour collecter des données personnelles, vous devez toujours remplir toutes les autres conditions POPIA pour un traitement licite.

Celles-ci ont beaucoup en commun avec d'autres nouvelles lois sur la protection des données, telles que des exigences similaires en matière de sécurité des données, de transfert de données et de droits d'accès.

Cependant, vous devez être conscient d'une condition nettement différente dans laquelle, dans toutes les circonstances, sauf dans quelques cas, vous ne pouvez collecter des données que directement auprès de la personne concernée.

Sécurité des données

Le POPIA et le GDPR ne décrivent que des exigences très générales en matière de sécurité des données en indiquant simplement que vous devez mettre en œuvre des mesures techniques et organisationnelles appropriées pour protéger les données personnelles en votre possession.

Cela vous permet essentiellement d'adapter les mesures de sécurité à la nature des données personnelles que vous traitez, au niveau d'impact d'une violation potentielle et au coût de mise en œuvre.

Aucune des deux lois n'entre vraiment dans les détails, bien que la POPIA mentionne que vous devez tenir dûment compte des pratiques et procédures de sécurité généralement acceptées.

Transfert de données

En général, le POPIA et le RGPD interdisent les transferts de données personnelles en dehors de l'Afrique du Sud et de l'EEE respectivement.

Cependant, dans le cas du POPIA, les transferts transfrontaliers sont autorisés vers un tiers soumis à des règles juridiques ou d'entreprise en matière de protection des données essentiellement similaires aux siennes.

Le RGPD fonctionne de manière similaire, où les transferts internationaux ne sont autorisés que vers des pays spécifiques dotés de cadres juridiques assurant une protection adéquate des données personnelles.

En vertu des deux lois, certains types de transfert sont exemptés de ces conditions, par exemple lorsqu'une personne a consenti au transfert ou lorsque le transfert est nécessaire pour exécuter un contrat.

Droit d'accès

Le POPIA accorde aux personnes concernées des droits d'accès, de correction et d'effacement similaires à ceux du RGPD.

En vertu des deux lois, les citoyens peuvent demander, gratuitement, la confirmation du traitement ou non de leurs informations personnelles.

Mais, contrairement au RGPD, le POPIA vous permet de facturer des frais pour fournir aux individus une copie des informations que vous détenez à leur sujet. Si vous choisissez de le faire, vous devez donner une estimation écrite du coût avant de fournir le service.

La POPIA indique uniquement que vous devez répondre à une telle demande dans un délai raisonnable. Le RGPD, en revanche, est plus spécifique - où, dans des circonstances normales, vous devez répondre à une demande d'accès à une personne concernée (DSAR) sans délai et dans un délai d'un mois au plus tard.

Agent d'information

Le POPIA désigne le rôle de responsable de l'information avec des responsabilités similaires à celles d'un délégué à la protection des données (DPO) dans le cadre du RGPD.

Mais, alors qu'un DPO n'est obligatoire que pour les organismes du secteur public et les entreprises privées qui traitent des données à grande échelle, toutes les organisations qui entrent dans le champ d'application du POPIA doivent désigner un responsable de l'information.

En l'absence de nomination officielle, le rôle de responsable de l'information incombe au chef de votre organisation, généralement le chef de la direction (PDG).

Rapport de violation

La procédure POPIA pour signaler une violation de données est très similaire à celle du RGPD - où, en général, vous devez informer à la fois l'organisme de réglementation concerné et les personnes concernées par le compromis.

La POPIA déclare simplement que vous devez le faire dès que raisonnablement possible après avoir pris connaissance de la violation. Cependant, le RGPD vous oblige spécifiquement à informer votre autorité de contrôle dans les 72 heures.

Pénalités pour non-conformité

À 10 millions de rands, la sanction financière maximale pour une infraction POPIA est nettement inférieure à une amende potentielle au RGPD, qui peut atteindre 20 millions d'euros ou 4% du chiffre d'affaires annuel mondial.

Cependant, en vertu de la législation sud-africaine, des individus peuvent être tenus pénalement responsables et condamnés à une peine de prison pouvant aller jusqu'à 10 ans dans des cas plus graves.

De plus, les sanctions POPIA s'appliquent non seulement en cas de non-conformité, mais également à une série d'autres infractions, notamment:

• gêner, gêner ou influencer illégalement les agents de la force publique
• ne pas se présenter aux audiences du tribunal
• couché sous serment

En revanche, les sanctions GDPR se concentrent plus directement sur la non-conformité. Néanmoins, lors de la fixation d'une amende, les autorités européennes chargées de l'application peuvent toujours tenir compte du degré de coopération dont fait preuve une organisation au cours de leurs enquêtes.

Conclusion: vers une confidentialité des données sans frontières

Alors que les données se développent à un rythme plus rapide, la capacité des réglementations de confidentialité des données à contrôler ces données contribue à réduire un peu le monde. Les premières mesures prises par l'UE avec la promulgation du RGPD ont commencé à être vues dans le monde entier.

La Californie, en tant que plus grand État des États-Unis, a promulgué une loi qui, bien que de moindre portée que le RGPD, établit toujours des directives claires sur l'utilisation appropriée des données personnelles. C'est un modèle qui pourrait bientôt être reproduit dans tout le pays, éventuellement au niveau national. Dans un pays aussi vaste et économiquement dynamique que le Brésil, la législation sur la protection des données était inévitable. Pratiquement toutes les entreprises présentes dans le monde traiteront les données personnelles des consommateurs brésiliens. La nécessité de se conformer à la LGPD sera bientôt une exigence mondiale. L'Afrique du Sud, dans son approche de la protection des données, se concentre plus au niveau national; mais en tant que centre économique et culturel, les restrictions de POPIA affecteront de nombreuses entreprises internationales.

Étant donné que bon nombre de ces réglementations ont des stipulations similaires, une directive générale visant à avoir la confidentialité des données par défaut comme point de départ dans votre entreprise aidera à gérer celles-ci et les réglementations à venir en matière de confidentialité des données.