La plupart des sites web collectent des informations sur leurs utilisateurs, soit soumises par ces derniers, soit collectées automatiquement par le biais de cookies et d’autres technologies. Les propriétaires d’entreprises ont besoin d’informations pour livrer leurs produits, faire la publicité de leurs services, communiquer avec leurs clients et prospects et améliorer les fonctionnalités de leur site web. Les clients et les visiteurs de votre site sont naturellement préoccupés par ce qu’il advient de leurs informations personnelles – comment elles sont stockées, qui y a accès et quelles sont les garanties en place pour protéger leur vie privée.
La quasi-totalité des pays ont adopté une sorte de loi sur la confidentialité des données pour réglementer la manière dont les informations sont collectées, comment les personnes concernées sont informées et quel contrôle une personne concernée a sur ses informations une fois qu’elles sont transférées. Le non-respect de la confidentialité des données peut entraîner des amendes, des poursuites judiciaires, voire l’interdiction d’utiliser un site dans certaines juridictions. Naviguer dans ces lois et règlements peut être décourageant, mais tous les opérateurs de sites Web devraient connaître les lois sur la confidentialité des données qui concernent leurs utilisateurs. En voici quelques-unes :
Les lois américaines sur la confidentialité des données
Il n’existe pas de loi fédérale globale qui régit la confidentialité des données aux États-Unis. Il existe un patchwork complexe de lois spécifiques à un secteur ou à un moyen, y compris les lois et règlements qui concernent les télécommunications, les informations sur la santé, les informations sur le crédit, les institutions financières et le marketing.
La loi sur la Commission fédérale du commerce (15 USC § 41 et suivants) a une large compétence sur les entités commerciales en vertu de son autorité pour empêcher les pratiques commerciales déloyales ou « trompeuses ». Bien que la FTC ne réglemente pas explicitement les informations qui doivent être incluses dans les politiques de confidentialité des sites Web, elle utilise son autorité pour publier des règlements, appliquer les lois sur la confidentialité et prendre des mesures d’exécution pour protéger les consommateurs. Par exemple, la FTC pourrait prendre des mesures contre les organisations qui…
- Ne mettent pas en œuvre et ne maintiennent pas de mesures raisonnables de sécurité des données.
- Ne respectent pas les principes d’autorégulation applicables au secteur de l’organisation.
- Ne suivent pas une politique de confidentialité publiée.
- Transférer des informations personnelles d’une manière qui n’est pas divulguée dans la politique de confidentialité.
- Faire des déclarations inexactes sur la confidentialité et la sécurité (mentir) aux consommateurs et dans les politiques de confidentialité.
- Ne pas fournir une sécurité suffisante pour les données personnelles.
- Violer les droits des consommateurs en matière de confidentialité des données en collectant, traitant ou partageant les informations des consommateurs constitue une violation du cadre de protection de la vie privée des consommateurs de la FTC ou des lois et réglementations nationales en matière de confidentialité.
- S’engager dans des pratiques publicitaires trompeuses.
Les autres lois fédérales qui régissent la collecte d’informations en ligne comprennent :
- La loi sur la protection de la vie privée des enfants en ligne (15 USC §6501 et seq.), également connue sous le nom de COPPA, qui régit la collecte d’informations sur les mineurs.
- La loi sur la portabilité et la comptabilité de l’assurance maladie (HIPAA – P.L.104-191), qui régit la collecte d’informations sur la santé.
- La loi Gramm Leach Bliley (15 USC § 6802 et seq.) qui régit les informations personnelles collectées par les banques et les institutions financières.
- La Fair Credit Reporting Act (15 USC § 1681), qui régit la collecte et l’utilisation des informations de crédit.
Les lois étatiques sur la confidentialité des données
En plus des lois et règlements fédéraux, les États-Unis disposent de centaines de lois sur la confidentialité et la sécurité des données parmi leurs États, territoires et localités. Actuellement, 25 procureurs généraux des États américains supervisent les lois sur la confidentialité des données qui régissent la collecte, le stockage, la sauvegarde, l’élimination et l’utilisation des données personnelles recueillies auprès de leurs résidents, notamment en ce qui concerne les notifications de violation des données et la sécurité des numéros de sécurité sociale. Certaines s’appliquent uniquement aux entités gouvernementales, d’autres aux entités privées, et d’autres encore aux deux.
La loi californienne sur la protection de la vie privée des consommateurs (CCPA)
La législation étatique sur la protection des données la plus complète à ce jour est la loi californienne sur la protection de la vie privée des consommateurs (CCPA), promulguée le 28 juin 2018 et entrée en vigueur le 1er janvier 2020. La CCPA est une loi intersectorielle qui introduit des définitions importantes et de vastes droits individuels des consommateurs et impose des devoirs substantiels aux entités ou aux personnes qui collectent des informations personnelles sur ou auprès d’un résident de Californie. Ces obligations consistent notamment à informer les personnes concernées du moment et de la manière dont les données sont collectées, et à leur donner la possibilité d’accéder à ces informations, de les corriger et de les supprimer. Ces informations doivent être divulguées dans une politique de confidentialité affichée sur le site web de l’entité qui collecte les données.
La loi SHIELD de New York
En juillet 2019, New York a adopté la loi Stop Hacks and Improve Electronic Data Security (SHIELD). Cette loi modifie la loi existante de New York sur la notification des violations de données et crée davantage d’exigences en matière de sécurité des données pour les entreprises qui collectent des informations sur les résidents de New York. À partir de mars 2020, la loi sera pleinement applicable. Cette loi élargit le champ d’application de la vie privée des consommateurs et offre une meilleure protection aux résidents de New York contre les violations de données concernant leurs informations personnelles.
Autres lois sur la confidentialité des données au niveau des États
La Californie et New York sont les premiers États à promulguer des lois de grande envergure qui créent un impact national, mais de nombreux autres États américains envisagent également des lois sur la confidentialité des données. Elles ne ressembleront pas à la CCPA ou à la loi SHIELD, mais elles contiendront probablement des exigences similaires pour les besoins spécifiques de l’État.
Comme vous pouvez l’imaginer, la ruche de lois étatiques et fédérales sur la confidentialité aux États-Unis est trop complexe pour être résumée entièrement. Il est peu probable que nous voyions bientôt une loi fédérale globale (même si le soutien est croissant pour une telle loi). Par conséquent, en tant qu’organisation qui collecte et traite des données personnelles, il est essentiel de s’associer à un service comme Osano pour rester conforme dans cet environnement difficile.
La loi internationale sur la confidentialité des données : le GDPR
La plus importante législation sur la protection des données promulguée à ce jour est le règlement général sur la protection des données (GDPR). Il régit la collecte, l’utilisation, la transmission et la sécurité des données recueillies auprès des résidents de l’un des 28 pays membres de l’Union européenne. La loi s’applique à tous les résidents de l’UE, quelle que soit la localisation de l’entité qui collecte les données personnelles. Des amendes pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial total peuvent être imposées aux organisations qui ne se conforment pas au GDPR. Voici quelques exigences importantes du GDPR :
Consentement
Les personnes concernées doivent pouvoir donner un consentement explicite et sans ambiguïté avant la collecte de données personnelles. Les données personnelles comprennent les informations collectées par l’utilisation de cookies. Certaines informations qui ne sont généralement pas considérées comme des « informations personnelles » aux États-Unis, telles que l’adresse IP de l’ordinateur de l’utilisateur, sont considérées comme des « données personnelles » selon le GDPR.
Notification des violations de données
Les organisations sont tenues de notifier les autorités de surveillance et les personnes concernées dans les 72 heures en cas de violation de données affectant les informations personnelles des utilisateurs dans la plupart des cas.
Droits des personnes concernées
Les personnes concernées (les personnes dont les données sont collectées et traitées) ont certains droits concernant leurs informations personnelles. Ces droits doivent être communiqués aux personnes concernées dans une politique de confidentialité claire et facile d’accès sur le site web de l’organisation.
- Le droit d’être informé. Les personnes concernées doivent être informées de la collecte et de l’utilisation de leurs données personnelles lorsque celles-ci sont obtenues.
- Le droit d’accéder à leurs données. Une personne concernée peut demander une copie de ses données personnelles via une demande de la personne concernée. Les responsables du traitement des données doivent expliquer les moyens de collecte, ce qui est traité et avec qui cela est partagé.
- Le droit de rectification. Si les données d’une personne concernée sont inexactes ou incomplètes, elle a le droit de vous demander de les rectifier.
- Le droit d’effacement. Les personnes concernées ont le droit de demander l’effacement des données personnelles les concernant pour certains motifs dans un délai de 30 jours.
- Le droit de restreindre le traitement. Les personnes concernées ont le droit de demander la restriction ou la suppression de leurs données personnelles (bien que vous puissiez toujours les stocker).
- Le droit à la portabilité des données. Les personnes concernées peuvent faire transférer leurs données d’un système électronique à un autre à tout moment, en toute sécurité, sans en perturber l’utilisation.
- Le droit d’opposition. Les personnes concernées peuvent s’opposer à la manière dont leurs informations sont utilisées à des fins de marketing, de vente ou à des fins non liées au service. Le droit d’opposition ne s’applique pas lorsque l’autorité légale ou officielle est exécutée, qu’une tâche est exécutée pour l’intérêt public ou que l’organisation doit traiter les données pour vous fournir un service pour lequel vous vous êtes inscrit.
Importance des politiques de confidentialité dans les lois sur la confidentialité des données
Tout site web devrait avoir une politique de confidentialité qui explique à ses utilisateurs quelles informations sont collectées, comment elles sont utilisées, comment elles peuvent être partagées et comment elles sont sécurisées. Afin d’être pleinement conforme aux lois américaines et européennes sur la protection des données, toutes les personnes concernées devraient avoir la possibilité de consentir à la collecte d’informations personnelles. Bien que de nombreuses informations sur les utilisateurs soient fournies volontairement lorsqu’ils s’inscrivent à des bulletins d’information, remplissent des formulaires ou envoient des demandes par courriel, les informations recueillies auprès de tiers et par l’utilisation de cookies devraient également être divulguées, et les utilisateurs devraient avoir la possibilité de consentir à l’utilisation de cookies, de les bloquer ou de les désactiver.
Rendre votre entreprise conforme aux lois sur la confidentialité des données
Même si votre entreprise est basée dans une juridiction qui n’a pas mis en œuvre une législation complète sur la confidentialité des données, il est essentiel de considérer où vos utilisateurs potentiels pourraient résider et quelles réglementations s’appliquent. Si vous avez l’intention de faire des affaires en Californie, à New York ou dans l’Union européenne, vous devez vous familiariser avec les exigences de la CCPA, de la loi SHIELD et du GDPR. Dans la plupart des cas, il est plus simple et moins coûteux pour votre organisation d’adhérer à ces normes pour tous vos clients plutôt que d’appliquer des règles différentes en fonction du lieu.
La protection des données gagne en importance et influera sur les décisions des utilisateurs quant à l’endroit où ils effectuent leur navigation et leurs achats en ligne. De plus en plus, la réputation d’une entreprise en matière de traitement responsable des données personnelles sera un atout susceptible d’entraîner une augmentation du trafic sur le site Web, des conversions et un impact positif sur les bénéfices.
Si vous êtes prêt à prendre au sérieux vos lois sur la confidentialité des données, inscrivez-vous à Osano. Osano est une plateforme de confidentialité des données facile à utiliser qui rend instantanément votre site Web conforme à la CCPA, à la loi SHIELD, au GDPR et à d’autres lois sur la confidentialité. Osano est « la conformité dans une boîte », aidant immédiatement votre site Web à se conformer aux lois sur la confidentialité des données. Soyez conforme dès maintenant.