Définir la conformité : vers où se dirigent la confidentialité et la sécurité des données dans le monde en 2019

Publié: 2019-01-31

Le printemps dernier a été plus qu'un peu mouvementé pour les spécialistes du marketing, les professionnels de l'informatique et les avocats, grâce au règlement général sur la protection des données (RGPD) de l'Union européenne, qui est entré en vigueur en mai 2018. Cette législation transformationnelle a bouleversé la confidentialité et la sécurité des données comme nous le savions - pas seulement dans l'UE, mais dans le monde entier - en tenant les entreprises responsables de la manière dont elles traitent les données des clients et en soulignant à nouveau le droit des individus à contrôler leurs propres informations.

Au cours des mois qui ont suivi, nous avons entendu des cas après cas où des géants de la technologie comme Facebook et Google risquent des amendes et d'autres actions en justice pour avoir omis de divulguer de manière adéquate comment ils utilisent les données personnelles et d'autres manquements à la conformité. De plus, le RGPD a lancé une vague de conversations et d'actions progressives autour de la confidentialité et de la sécurité des données qui montrent clairement que le terrain dans ce domaine clé est loin d'être réglé.

À l'aube de 2019, l'une des grandes questions auxquelles sont confrontées les grandes et petites marques du monde entier est : que réserve la nouvelle année pour la confidentialité et la sécurité des données à l'échelle mondiale ? Et bien que nous n'ayons pas de boule de cristal fonctionnelle ici chez Braze, nous avons la meilleure chose suivante : notre vice-présidente principale du service juridique, avocate générale et secrétaire générale Susan Wiseman et l'avocate générale associée et directrice principale (EMEA) Marjorie Armitage, qui ont été en première ligne de cet espace en évolution ces dernières années. Poursuivez votre lecture pour les voir tracer leurs prévisions pour l'année à venir :

1) L'accent mis sur les droits à la vie privée des consommateurs se répandra en dehors de l'UE

De nombreux juristes vous diront que le RGPD n'est pas particulièrement nouveau en ce qui concerne ses concepts juridiques fondamentaux. Le règlement est souvent vague et intentionnellement - dans le cadre d'un effort de ses rédacteurs pour permettre à la législation de rester flexible et pertinente à mesure que les technologies évoluent. (Après tout, la législation européenne que le RGPD remplace, la directive sur la protection des données, était en place depuis 23 ans, remontant à l'époque où les smartphones n'étaient qu'un scintillement dans les yeux de Steve Jobs.) Ce qui distingue le RGPD de la foule, c'est la façon dont qu'il s'emploie à protéger les citoyens des pays de l'UE. En décrivant la confidentialité et la sécurité des données comme une sorte de droit humain fondamental, la législation fait beaucoup pour garantir que les organisations d'autres pays qui traitent les données personnelles des citoyens de l'UE prennent ces questions - et la conformité - au sérieux.

En fait, l'UE et un certain nombre d'autres pays dans le monde ont des lois strictes pour protéger les données personnelles. L'UE permet aux entreprises de transférer des données personnelles de l'UE vers d'autres pays qui ont des lois tout aussi strictes. L'UE qualifie ces pays de juridictions « adéquates ». Mais si, par exemple, vous êtes une entreprise de médias basée aux États-Unis, pays qui n'est actuellement pas reconnu comme adéquat par les normes de l'UE, vous pouvez toujours traiter les données personnelles de vos clients dans l'UE, tant que vous avez convenu avec votre client que vous allez protéger les données personnelles d'une manière qui dépasse les exigences de la loi américaine. Vous pouvez le faire en vous autocertifiant auprès du Privacy Shield ou en signant des clauses types avec votre client. Le bouclier de protection des données et les clauses types servent à valider les transferts de données personnelles vers les États-Unis ; le faire sans une méthode reconnue par l'UE constituerait une violation du droit de l'UE.

Ces types d'accords sont cruciaux car il peut être difficile pour un pays d'atteindre l'adéquation. Par exemple, étant donné que les États-Unis n'ont pas encore de lois nationales radicales alignées sur le RGPD, les entreprises basées aux États-Unis ne peuvent traiter les données personnelles de l'UE que si elles ont signé avec leurs clients les clauses types ou si elles ont auto-certifié au cadre du bouclier de protection des données UE-États-Unis, qui permet aux entreprises de l'UE de transférer des données personnelles de citoyens de l'UE à des entreprises américaines (comme Braze, par exemple !)

2) Les États-Unis ne rédigeront probablement pas de loi fédérale sur la confidentialité des données en 2019, mais la législation des États reprendra

S'il est vrai que les États-Unis n'ont pas de lois nationales qui répondent aux normes requises par les autorités de protection des données de l'UE, en ce qui concerne la confidentialité et la sécurité des données des consommateurs, nous commençons lentement mais sûrement à voir état par état la législation entre en jeu.

L'année dernière, la Californie est devenue le premier État du pays à adopter une nouvelle législation sur la confidentialité des données avec la création du California Consumer Privacy Act. Cette loi est révolutionnaire en ce qui concerne les exigences américaines en matière de confidentialité des données, garantissant aux consommateurs le droit d'accès et d'effacement des données, ainsi qu'obligeant les entreprises à mettre à jour les contrats de traitement de données de tiers pour assurer la conformité d'une manière qui rappelle les règles du contrôleur/processeur établies. dans le RGPD, parmi d'autres exigences inédites aux États-Unis

Lorsque l'application du RGPD est entrée en vigueur en mai 2018, plus de quelques entreprises américaines ont choisi de faire face à cette nouvelle réglementation majeure en, eh bien… sans s'en occuper. C'est-à-dire que certaines organisations qui n'avaient pas de clients dans l'UE ont choisi de ne pas se conformer au RGPD parce qu'elles n'avaient pas de clients dans l'UE ; pendant ce temps, d'autres entreprises qui avaient des clients dans l'UE ont choisi de les exclure au lieu d'essayer de suivre la nouvelle loi. Certaines marques en Californie, un pôle technologique et médiatique majeur aux États-Unis, sont également tombées dans ce bateau. Vous vous souvenez quand le Los Angeles Times a complètement supprimé son site Web dans l'UE, pour ne pas avoir à se conformer au RGPD ? Eh bien, ces mêmes entreprises ont maintenant moins d'un an pour se conformer à la California Consumer Privacy Act avant que l'application ne commence le 1er janvier 2020.

Dans l'ensemble, il incomberait aux entreprises basées aux États-Unis, grandes et petites, nouvelles et établies, de commencer à évoluer vers une réalité où la confidentialité des données des clients et les droits de sécurité sont une évidence. Alors que la Californie a été le premier État à adopter une législation entièrement nouvelle sur la confidentialité des données à la suite du RGPD, nous voyons d'autres États comme la Louisiane, l'Alabama, le Colorado et la Virginie prendre des mesures pour renforcer les lois existantes sur la confidentialité des données. (En outre, le Vermont a précédemment adopté une nouvelle loi renforçant la réglementation des courtiers en données et établissant des normes de sécurité minimales.)

Bien qu'il n'y ait jusqu'à présent aucun signe indiquant que le gouvernement fédéral américain prendra des mesures pour rédiger une loi fédérale de type RGPD cette année, le patchwork en expansion et la nouvelle législation renforcée concernant la confidentialité des données, État par État, est un signe clé pour les entreprises. qu'ils doivent réfléchir sérieusement à la façon dont ils traitent actuellement les données. S'ils ne le font pas, ils risquent d'être pris au dépourvu lorsqu'une nouvelle loi nationale entre en vigueur ou que le rythme des lois état par état rend impossible de faire des affaires aux États-Unis sans revoir la façon dont ils traitent et gèrent les données des consommateurs.

Il est peu probable que ce Congrès américain adopte une loi [nationale sur la confidentialité] de sitôt. Néanmoins, la vie privée est clairement dans l'esprit des gens. Même aux États-Unis, il y a un élan et un accent accrus sur les droits à la vie privée et la nécessité d'une législation meilleure et plus importante. Je pense qu'au lieu de voir une nouvelle loi fédérale sur la protection de la vie privée, nous allons voir un groupe d'États promulguer des lois similaires à ce que la Californie a fait l'année dernière avec le CCPA.

Susan Wiseman, vice-présidente principale du service juridique, avocate générale et secrétaire générale chez Braze

3) La confidentialité dès la conception deviendra la nouvelle norme

« Confidentialité dès la conception » signifie s'assurer que les systèmes sont construits dès le départ avec l'intention de stocker, protéger, transférer et traiter les données personnelles en utilisant les pratiques de sécurité standard de l'industrie et en suivant les souhaits des consommateurs en ce qui concerne leurs données personnelles. Mais alors que le concept existe depuis un certain temps, le RGPD est le premier règlement à l'inclure dans ses exigences de conformité. Même si les paramètres de ce qui est qualifié de confidentialité dès la conception dans le RGPD sont quelque peu vagues, cela garantit que les entreprises conformes prennent des mesures pour concevoir leurs systèmes en gardant à l'esprit la sécurité des données.

S'assurer que votre entreprise respecte les normes de « vie privée dès la conception » exige de la réflexion et de la vigilance lorsqu'il s'agit de gérer l'information. Vous devez savoir d'où proviennent les données, quelles personnes et quels systèmes y ont accès, et quand elles peuvent et ne peuvent pas être consultées ou utilisées. Tout cela est beaucoup plus facile si vous créez des systèmes et des processus de gestion des données qui intègrent dès le départ des concepts solides de confidentialité et de sécurité des données.

GDPR met l'accent sur le fait de donner aux consommateurs une compréhension claire de la façon dont leurs données sont utilisées par les organisations (sans avoir à lire un document juridique volumineux), leur donnant la possibilité de modifier simplement leurs préférences de données à tout moment, et le droit d'accéder et demander l'effacement de leurs informations chaque fois qu'ils le souhaitent. La confidentialité par défaut s'inscrit également dans ce concept, ce qui signifie que si un client n'a pas mis à jour ses préférences, le paramètre par défaut doit être les niveaux les plus élevés de protection et de contrôle des données. Comme les spécialistes du marketing le savent bien, ce type de restrictions peut parfois avoir un impact négatif sur l'expérience client. Par exemple, les utilisateurs d'une application de covoiturage vont vivre une expérience assez frustrante s'ils ne donnent pas accès à leur emplacement. Cela signifie qu'il appartient aux entreprises d'utiliser des messages créatifs (et conformes !) pour faire en sorte que les consommateurs décident qu'il y a une réelle valeur à permettre à ces entreprises d'utiliser leurs données personnelles pour soutenir des expériences plus pertinentes et plus percutantes.

Le RGPD a été élargi à dessein en termes de ce à quoi ressemble la conformité dans le but de permettre à la technologie d'évoluer. Certains aspects de la directive sur la protection des données étaient obsolètes environ cinq ans après l'explosion d'Internet. Les législateurs ont donc veillé à ce que le RGPD soit indépendant de la technologie.

Marjorie Armitage, avocate générale associée et directrice principale (EMEA) chez Braze

4) Les entreprises rechercheront de plus en plus la validation par un tiers

L'imprécision inhérente et intentionnelle du RGPD est au cœur de la législation, et cette imprécision a été un obstacle majeur pour de nombreuses entreprises cherchant à se conformer à la loi. Mais heureusement, ce même flou a également permis aux entreprises de se réunir pour déterminer à quoi ressemble une gestion conforme des données, tout en permettant à la technologie de se développer et d'évoluer. Et parce que prouver que votre entreprise fait réellement ce que vous prétendez en matière de confidentialité des données est un élément clé de la conformité au RGPD, les systèmes de validation tiers deviendront de plus en plus importants pour les marques.

A quoi cela ressemble-t-il? Eh bien, chez Braze, notre souci de nous assurer que nous accordons la priorité à la confidentialité et à la sécurité des données nous a conduits à poursuivre la validation de nos systèmes et processus par des tiers. Plus récemment, nous avons obtenu avec succès les certifications SOC 2, Type 2 et ISO 27001 au cours de la Année civile 2018. La certification ISO affirme qu'une organisation a effectué une évaluation complète des risques de sécurité et a créé un système de gestion de la sécurité de l'information (ISMS) qui est conforme aux exigences énoncées dans la norme mondiale de gestion de la sécurité de l'information de l'ISO, garantissant que l'entreprise bénéficiaire a atteint la norme de l'industrie. protocoles de sécurité.

Ces normes sont déterminées par des parties prenantes du monde entier dans le cadre du processus de normalisation mondiale de l'ISO. En fait, notre propre Marjorie Armitage est actuellement coprésidente par intérim du sous-groupe de travail britannique de l'organisme de normalisation européen qui travaille à déterminer les normes de confidentialité de l'industrie liées à la conformité au RGPD. Et à mesure que le nombre de normes associées aux nouvelles réglementations sur la confidentialité des données augmente, recherchez des certifications pour des normes comme celles-ci pour devenir des enjeux de table pour les entreprises qui cherchent à prouver leur conformité aux consommateurs et aux régulateurs.

La responsabilité a toujours été un principe clé de la protection des données, mais le RGPD l'a finalement codifié dans la loi. Vous devez être en mesure de démontrer que vous êtes conforme et que vous faites tout ce que vous dites.

Marjorie Armitage, avocate générale associée et directrice principale (EMEA) chez Braze

Dernières pensées

La technologie a permis aux entreprises d'obtenir une vision riche et plus nuancée de leurs clients et de leurs comportements que jamais auparavant, mais l'utilisation des données clients détaillées qui alimentent cette compréhension peut également comporter des risques pour les marques et leurs utilisateurs. Une partie de l'exploitation efficace des données consiste à s'assurer que vous disposez des processus, des outils et des connaissances dont vous avez besoin pour protéger les informations que vos clients vous ont confiées.

C'est le monde dans lequel nous nous trouvons, et les risques et les récompenses ne feront qu'augmenter à mesure que la technologie progresse et que le comportement des consommateurs change. Pour approfondir les considérations clés concernant le RGPD, l'HIPAA et les dernières informations sur l'impact de la sécurité des données sur l'engagement des clients, consultez le Braze Security Roundup .