Qu’est-ce que les données à caractère personnel ?
En termes simples, les données à caractère personnel sont des informations relatives à 1) une personne identifiée ou identifiable ou 2) une entité légale identifiée ou identifiable (où ces informations sont protégées de la même façon que les données à caractère personnel en vertu de la législation et de la réglementation applicables sur la protection des données). Les différentes réglementations utilisent des termes variés : « données à caractère personnel », « données personnelles », « informations personnelles » et « informations d’identification personnelle ». Leur définition étant à peu près similaire, ces expressions sont souvent utilisées de façon interchangeable.
Comme il existe une grande variété de lois relatives à la protection des données et au respect de la confidentialité qui régissent la collecte et le traitement des données, il est crucial que vous compreniez quelles informations vous devez protéger et quelles sont vos responsabilités en termes de conformité.
Dans le reste de cet article, nous allons vous expliquer comment réaliser ces objectifs et vous aider à vous y retrouver dans le paysage réglementaire concernant la collecte des données à caractère personnel.
Quelle est la définition des « données à caractère personnel » dans le RGPD ?
Le RGPD définit les données à caractère personnel comme suit :
« données à caractère personnel », toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « personne concernée ») ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
Quels utilisateurs le RGPD protège-t-il ?
Le RGPD entend donner aux résidents de l’Union européenne davantage de contrôle sur la façon dont leurs données à caractère personnel sont collectées et traitées. Ces personnes sont collectivement appelées « personnes concernées ». Le RGPD offre un cadre unique et contraignant pour la protection des données dans toute l’UE, qui se substitue à certaines lois des États membres dans ce domaine.
Qui doit se conformer au RGPD ?
Tout d’abord, le RGPD réglemente les responsables du traitement, c’est-à-dire les organisations qui décident comment et pourquoi elles vont traiter les données à caractère personnel, et les oblige à fournir aux ressortissants de l’UE une série de droits et d’options de consentement. Il régit aussi les organisations qui traitent les données pour le compte des responsables du traitement : les « sous-traitants ».
Quelle est la définition des « données à caractère personnel » dans le CCPA ?
Le California Consumer Privacy Act (CCPA) régit les « informations personnelles » et offre la définition légale suivante :
Les « informations personnelles » sont les informations qui identifient, se rapportent à, décrivent, peuvent être associées à, ou pourraient raisonnablement être associées, directement ou indirectement, à un consommateur ou un à foyer.
Cela peut inclure des identifiants en ligne, des photographies, des enregistrements sonores et des données de géolocalisation.
Quels utilisateurs le CCPA protège-t-il ?
Le CCPA est la première loi étatique exhaustive des États-Unis visant à renforcer la protection de la vie privée et des consommateurs. Il permet aux résidents de Californie (ou « consommateurs ») de savoir comment les entreprises collectent et exploitent leurs informations personnelles, et de leur demander de changer leurs pratiques, le cas échéant. Les consommateurs disposent ainsi de davantage de transparence et de droits, notamment celui d’intenter des poursuites en justice.
Qui doit se conformer au CCPA ?
Le CCPA régit les organisations à but lucratif qui mènent des activités commerciales en Californie et répondent à au moins l’une des conditions ci-dessous :
- Réalise un revenu brut annuel d’au moins 25 millions de dollars
- Achète, reçoit, vend ou partage les informations personnelles d’au moins 50 000 consommateurs, foyers ou terminaux
- Retire au moins 50 % de son revenu annuel de la vente des informations personnelles des consommateurs
Bien que le RGPD et le CCPA comportent des différences notables, notamment concernant les dispositions définissant l’étendue des droits dont les utilisateurs doivent bénéficier, ils se rejoignent sur de nombreux points. Et, comme de nombreuses organisations internationales doivent se conformer aux deux, il est crucial qu’elles comprennent bien l’échelle de leurs responsabilités.
Quels sont les risques d’un traitement erroné des données à caractère personnel ?
Un traitement erroné des données à caractère personnel, même involontaire, peut mener à toute une série d’actions disciplinaires et de pénalités.
Par exemple, différentes autorités nationales de protection des données au sein de l’UE administrent le RGPD, et chacune a le pouvoir de :
- Auditer les organisations soupçonnées de violations
- Émettre des avertissements et des blâmes
- Interdire à des organisations de traiter des données
- Suspendre les transferts de données vers les pays tiers
- Ordonner la suppression des données
Les organisations risquent également des amendes en cas de non-respect des dispositions du RGPD ou de brèches de données à caractère personnel. Le RGPD prévoit une amende maximale de 20 millions d’euros ou 4 % du revenu global annuel d’une entreprise (le montant le plus élevé étant retenu), mais la pénalité exacte dépend de la nature de chaque violation.
Le CCPA, pour sa part, prévoit à l’heure actuelle un éventail plus étroit de sanctions et de mesures d’application. Le procureur général de Californie peut attribuer des amendes allant jusqu’à 7 500 dollars pour violation intentionnelle et jusqu’à 2 500 dollars dans les autres cas.
Cette règle devrait cependant bientôt changer, car l’approbation de la Privacy Rights and Enforcement Act Initiative, une proposition de loi passée pendant l’élection générale de 2020, amende le CCPA en y incluant de nouveaux engagements en termes d’application de la loi. Ces amendements incluent entre autres la création de la California Privacy Protection Agency, un organe ayant le pouvoir d’enquêter sur les cas potentiels de non-conformité, d’émettre des injonctions, d’appliquer des amendes et de lancer des actions civiles pour collecter les amendes non payées.
Comment se conformer au RGPD et au CCPA ?
Tandis que le RGPD et le CCPA s’appliquent aux organisations de nombreuses façons, les mesures suivantes vous aideront à vous conformer aux deux ensembles de législation :
- Auditez vos informations : soyez au courant des données que vous traitez, des personnes et entités y ayant accès, et des motifs légaux justifiant ce traitement.
- Chiffrez, pseudonymisez ou anonymisez les données à caractère personnel dans tous les cas où c’est possible.
- Ne stockez les données que pendant la durée où elles vous sont utiles.
- Sensibilisez vos équipes à la sécurité des données et au respect de la vie privée, en désignant dans toute votre organisation des personnes responsables de la conformité.
- Mettez en place un processus visant à notifier les autorités et les personnes concernées pertinentes si une brèche de données se produit.
- Faites en sorte que les utilisateurs puissent demander et recevoir facilement des informations sur leurs droits et les données que vous détenez les concernant.
- Indiquez clairement que les utilisateurs peuvent corriger et modifier leurs données, et en demander la suppression.
- Invitez les utilisateurs à vous autoriser à collecter leurs données ou à vous l’interdire, le cas échéant.
La législation et la réglementation relatives à la protection des données changent en permanence, mais, en agissant dès maintenant pour créer des processus durables en la matière, vous permettrez à votre organisation de réagir aux nouveaux développements.
Démarrez vos parcours RGPD et CCPA dès maintenant.
Bien que cet article aborde diverses notions de droit, il ne constitue en aucun cas un avis ou conseil juridique. Sa finalité est uniquement informative. Si vous avez besoin de conseils juridiques sur les exigences de conformité s’appliquant à votre organisation, veuillez vous adresser à votre service juridique. Okta ne formule aucune déclaration, garantie ou autre assurance concernant le contenu de cet article. Pour en savoir plus sur les assurances contractuelles d’Okta à ses clients, rendez-vous à cette adresse okta.com/agreements.