Confidentialité des données : le coût d'une erreur

Publié: 2022-10-12

Lorsque le règlement général européen sur la protection des données (RGPD) est entré en vigueur en mai 2018, il a jeté les bases d'une nouvelle génération de lois sur la confidentialité des données qui offrent une plus grande protection aux consommateurs. Les principes fondamentaux tels que le consentement sans ambiguïté, la minimisation des données, la limitation de l'objectif et le droit de s'opposer avaient effectivement inscrit dans la loi les meilleures pratiques établies en matière de données.

Depuis lors, une législation sur la protection de la vie privée de type RGPD a été adoptée dans le monde entier. Le CCPA de Californie a lancé le bal aux États-Unis, suivi de nombreux autres États (Colorado, Connecticut, Utah et Virginie) ou en passe de suivre (Michigan, New Jersey, Ohio et Pennsylvanie). Partout dans le monde, nous avons également vu l'introduction de LGPD au Brésil et de PIPL en Chine, pour n'en nommer que deux.

L'ambiguïté est aujourd'hui un défi auquel sont confrontés les contrôleurs de données et les sous-traitants. Autrement dit, que signifient réellement les clauses clés de ces nouveaux textes législatifs ? Souvent, ils doivent être testés devant les tribunaux pour clarifier leur véritable intention et établir un précédent juridique. C'est ce qui se passe actuellement en Europe, et les praticiens d'ailleurs peuvent apprendre de ces cas et appliquer les conclusions avant qu'ils ne tombent à l'encontre d'eux dans leur propre pays.

L'Europe sévit contre la confidentialité des données

Les régulateurs européens ont définitivement montré les dents en 2022.

Clearview AI, une société de reconnaissance faciale, a été condamnée à une amende de 20 millions d'euros par l'agence italienne de protection des données et de 9 millions d' euros supplémentaires par l'Information Commissioner's Office (ICO) du Royaume-Uni pour traitement illégal de données personnelles biométriques et de géolocalisation.

Le régulateur irlandais a imposé 17 millions d' euros à Meta (Facebook) pour défaut de mise en place de mesures techniques et organisationnelles appropriées.

En Espagne, Google a été condamné à une amende de 10 millions d'euros pour avoir forcé les utilisateurs à accepter le transfert des demandes de suppression de contenu à un tiers.

Plus récemment, en raison de l'échec de la protection de la vie privée des enfants lors de l'utilisation de la plate-forme, TikTok pourrait être passible d'une amende de 27 millions de livres sterling suite à une violation potentielle des lois britanniques sur la protection des données.

Un thème commun à ces affaires est les principes fondamentaux de « licéité, équité et transparence », ce qui signifie que les entreprises doivent être claires avec les individus sur la manière dont leurs données personnelles seront traitées et qu'une base juridique appropriée a été établie pour le faire.

Au Royaume-Uni, les mesures d'application en 2022 se sont largement concentrées sur l'envoi non autorisé de messages marketing. Les nouvelles lois sur la confidentialité des données telles que le RGPD exigent une base juridique (généralement un consentement ou un intérêt légitime) pour le traitement des données personnelles, ce qui inclut les activités de marketing.

Des cas récents* montrent que cette exigence n'est toujours pas clairement comprise (ou est délibérément ignorée !) :

  • Finance Giant Ltd ( 60 000 £ ) : incitation à l'envoi d'un total confirmé de 505 759 messages de marketing direct non sollicités.
  • Bizfella Limited ( 30 000 £ ) : incitation à l'envoi de 224 550 SMS de marketing direct non sollicités.
  • H&L Business Consulting Limited ( 80 000 £ ) : incitation à l'envoi de 451 705 SMS non sollicités à des fins de marketing direct.

*Les lecteurs peuvent obtenir les textes intégraux de tous les jugements sur le site Web de l'ICO et peuvent également s'inscrire pour recevoir la newsletter « Enforcement Actions » de l'ICO.

Les consommateurs veulent savoir comment leurs données sont utilisées

Un thème important qui traverse tous ces cas (et d'autres) est qu'ils ont été initialement mis en lumière par des plaintes de consommateurs. Les consommateurs ont désormais une meilleure compréhension de leurs droits en matière de confidentialité des données et sont prêts à exercer ces droits s'ils pensent que leurs données personnelles sont utilisées à mauvais escient.

Lors du traitement des données des consommateurs, il est important de se rappeler :

  • Un consentement valide exige que les individus aient un choix et un contrôle réels.
  • Les personnes doivent être explicitement informées qu'elles recevront des messages marketing.
  • Le consentement doit être dissocié des autres politiques de confidentialité et/ou conditions générales des expéditeurs.
  • Le consentement indirect ne peut être valable que s'il est suffisamment clair et précis.
  • Les particuliers doivent disposer d'un moyen simple pour refuser l'utilisation de leurs coordonnées.

Certaines entreprises sont tombées dans d'autres pièges en matière de confidentialité

Suite à une migration vers un nouveau système CRM, Reed Online a programmé par inadvertance des e-mails marketing destinés à des clients qui avaient été précédemment désabonnés/supprimés.

Tuckers Solicitors a subi une attaque de ransomware, entraînant une violation de données personnelles. L'ICO a jugé que l'incapacité de l'entreprise à mettre en œuvre les mesures techniques et organisationnelles appropriées les avait rendues vulnérables aux attaques.

Le Cabinet Office du gouvernement britannique a divulgué en ligne les adresses postales des récipiendaires des distinctions honorifiques du Nouvel An 2020, un échec à empêcher la divulgation non autorisée des informations des personnes.

De nombreux incidents liés à la confidentialité des données ne font pas la une des journaux

Alors que les violations très médiatisées font la une des journaux, de nombreux incidents sont beaucoup plus banals.

L'ICO publie un rapport trimestriel sur la sécurité des données, avec les problèmes "non cyber" (c'est-à-dire auto-infligés) les plus récents, notamment :

  • Données envoyées par e-mail à un destinataire incorrect ( 22 % )
  • Accès non autorisé ( 14 % )
  • Données envoyées ou faxées au mauvais destinataire ( 13 % )
  • Perte/vol de documents ou de données laissés dans un lieu non sécurisé ( 8 % )
  • Défaut de caviardage ( 6 pour cent )

Ces tendances indiquent en grande partie une erreur humaine et/ou une formation inadéquate, et présentent un argument convaincant en faveur de la mise en œuvre de pratiques de « vie privée dès la conception » où des processus robustes minimisent les possibilités de non-conformité.

Nous ne voyons toujours pas vraiment les amendes de « quatre pour cent des revenus mondiaux » qui peuvent théoriquement être imposées, même si cela ne veut pas dire que cela n'arrivera pas. L'amende de British Airways (BA) - telle que proposée - s'est rapprochée avant d'être réduite pour une série de facteurs atténuants, notamment l'impact de la crise de Covid-19 sur les finances de BA. Bien qu'aucune entreprise ne veuille faire face à une atteinte à la vie privée, il existe des facteurs atténuants qui seront pris en compte si cela se produit, notamment :

  • Qu'il s'agisse d'une première infraction
  • Gravité de l'infraction
  • Que ce soit délibéré ou accidentel
  • Notification proactive à l'autorité de contrôle
  • Mesures prises pour réduire l'impact sur les personnes concernées

Les régulateurs seront généralement plus indulgents avec les entreprises qui sont transparentes sur ce qui s'est passé, qui coopèrent pour aider à l'enquête et agissent rapidement pour mettre en place des mesures qui empêcheront une réapparition.

Ce n'est que le commencement…

Il y a tellement plus à dire sur ce sujet. Vous souhaitez en savoir plus sur la législation sur la confidentialité des données dans le monde ? Consultez notre Guide sur les lois et la conformité mondiales en matière de confidentialité .

Télécharger le guide