Opinion des invités : Règlement général sur la protection des données, ou RGPD – Là où tout a commencé

Note de l'éditeur : WRAL TechWire exécute une série en cinq parties sur le droit de la confidentialité des données pour clarifier l'un des domaines les plus complexes et les plus dynamiques du droit de la technologie, et le la première partie est ici. Cet article, le deuxième de la série, est rédigé par Steve Britt, Counsel for Cyber, Data Privacy & Technology (CIPP/E, CIPM), Parker Poe et Sarah Hutchins, Partner for Cyber, Data Privacy & Technology (CIPP/US) , Parker Poe.

Note aux lecteurs : WRAL TechWire aimerait connaître votre point de vue exprimé par nos contributeurs. Veuillez envoyer un e-mail à : info@wraltechwire.com.

+ + +

RALEIGH – La promulgation du Règlement général sur la protection des données (RGPD) de l'Union européenne le 25 juin 2018 a été un événement décisif à l'échelle mondiale pour la confidentialité des données.

Il a établi le point culminant de la confidentialité des données et, bien que la Californie ait fait quelques détours dans sa version initiale de la loi californienne sur la protection des consommateurs (CCPA), plusieurs de ces dérogations sont maintenant réexaminées dans le cadre de la nouvelle Loi californienne sur les droits à la vie privée (ACPL), dont nous parlerons ensuite dans cette série en cinq parties.

La confidentialité des données et vous : ce que vous devez vraiment savoir d'un point de vue juridique

Intégré à la culture européenne

Mais la première chose à comprendre à propos de l'Europe, comme en témoigne le RGPD, est que la confidentialité des données est ancrée dans la culture européenne. En fait, en 1995, alors que l'Amérique découvrait l'Internet qui a conduit à l'explosion du commerce électronique, l'Europe a promulgué la directive sur la protection des données (DPD) contenant bon nombre des mêmes principes que ceux que l'on retrouve désormais dans le RGPD.

Une « directive » en Europe est un ensemble commun de lignes directrices dans les 27 États de l'UE et les 3 États de l'Espace économique européen (EEE). Le problème avec une directive est qu'elle oblige chaque État membre à mettre en œuvre ces règles en promulguant sa propre législation locale.

Tout comme nous le constatons aux États-Unis en ce moment, l'exigence de lois locales individuelles entraîne un échiquier de règles incohérentes et souvent contradictoires. Un règlement, en revanche, crée un ensemble de règles obligatoires qui s'appliquent à tous les États membres, ce que représente le RGPD. Même si le RGPD s'applique à tous les États de l'EEE, il autorise toujours des règles locales distinctes pour certains problèmes spécifiques, comme les données RH.

Quant au champ d'application, le RGPD s'applique à toute entité juridique (à but lucratif ou non lucratif) qui est "établie" dans l'UE. Une entité est «établie» si elle est constituée dans l'UE, a une filiale, une succursale ou un bureau dans l'UE ou même a un employé ou un sous-traitant dans l'UE.

Avertissement : la nouvelle loi de Virginie sur la confidentialité des données peut également affecter les entreprises de Caroline du Nord - voici comment

Un changement majeur

Mais le changement majeur du RGPD a été son application extraterritoriale. Même si une entreprise n'est pas établie dans l'UE, le RGPD s'applique si l'organisation (hors UE) commercialise des biens ou des services aux résidents de l'UE (même en ligne) ou profile autrement les résidents de l'UE. Cela a entraîné dans le RGPD un large éventail d'entreprises américaines faisant des affaires à l'international quant à leurs activités européennes.

Le RGPD impose un large éventail de nouvelles obligations, toutes étayées par la menace d'amendes réglementaires atteignant 4 % du chiffre d'affaires d'une entreprise (c'est-à-dire des revenus bruts mondiaux). Heureusement, le RGPD est principalement appliqué par les autorités de contrôle des données (similaires à nos procureurs généraux), bien que le RGPD autorise les recours collectifs par les organisations de consommateurs si la législation locale l'autorise.

Les fournisseurs de services Internet abandonnent leur opposition à la loi stricte sur la confidentialité du Maine

Dispositions clés

Voici quelques-unes des principales dispositions du RGPD :

Elle accorde des droits étendus sur les données à une personne physique dont les données sont collectées par une entreprise, notamment :
- Le droit de savoir quelles informations personnelles ont été collectées
- Le droit de corriger toute erreur dans ces données
- Le droit à l'oubli (c'est-à-dire à demander la suppression de ses données personnelles)
- Le droit de demander des restrictions ou de s'opposer au traitement de leurs données personnelles
- Le droit au retour de leurs données personnelles dans un format lisible par machine afin que les données puissent être transmises à un autre processeur
- Le droit d'être libre de décisions défavorables fondées sur un traitement automatisé, et
- Le droit de retirer tout consentement préalable donné au traitement de leurs données personnelles
Les entreprises doivent mener des évaluations d'impact sur la protection des données pour les activités à haut risque,
Les entreprises doivent également mettre en œuvre la confidentialité dès la conception (PbD), ce qui signifie que le paramètre par défaut pour le traitement des données doit être le plus protecteur de la confidentialité des données,
Les entreprises couvertes doivent documenter toutes les activités de traitement des données et les efforts de conformité grâce à une tenue de registres complète,
Les entreprises doivent soit nommer un délégué à la protection des données si elles ont un établissement dans l'UE, soit un représentant dans l'EEE si elles n'en ont pas,
Les entreprises doivent signer des accords formels de traitement des données avec les sous-traitants limitant le traitement des données personnelles, et
Les entreprises doivent fournir des avis de confidentialité détaillés aux personnes concernées avec un contenu prescrit.

Répression des données à venir : la FTC lance un effort pour protéger la vie privée des consommateurs

Plus de complexité

Un autre domaine de complexité concerne la réglementation du RGPD sur les transferts transfrontaliers. Les droits de données GDPR s'attachent aux données personnelles de l'UE et les entreprises ne sont pas autorisées à exporter des données de l'UE à moins que ces droits ne soient respectés dans le pays importateur. Le simple accès aux données de l'UE sur un serveur de données de l'UE constitue un transfert transfrontalier en vertu de cette règle, nécessitant l'utilisation de mécanismes de transfert de données spéciaux au-delà des règles de collecte et d'utilisation des données en premier lieu.

Il existe de nombreux autres éléments du RGPD, notamment la coordination de la compétence de plusieurs autorités de surveillance pour les incidents de sécurité multinationaux. Pour l'instant, notons simplement que l'objectif affiché par l'Europe en 2016 de « changer le monde » sur le traitement des données personnelles a, en fait, été atteint.

FCC : Vos informations de données sans fil sont conservées par les opérateurs, fournies à la police

Intelligence de données générative

Avis d'invité : Règlement général sur la protection des données, ou RGPD - Là où tout a commencé

Intégré à la culture européenne

Un changement majeur

Dispositions clés

Plus de complexité

Informatique Archives – Singularity Hub

Les scientifiques bouleversent l’extraction du lithium avec un autre type de chimie – CleanTechnica

Dernières informations

Pourquoi le PBS propage-t-il le FUD anti-EV ? – CleanTechnica

Bitcoin est en tête des ventes NFT sur 30 jours, dépassant 24 concurrents de la blockchain

Les superbes histoires technologiques de cette semaine sur le Web (jusqu'au 27 avril)

Donner la priorité à l’avantage du premier arrivé sur la sécurité rend les protocoles Defi vulnérables aux piratages – Nikita Ovchinnik

HKTDC dévoile des événements liés aux cadeaux, à l'impression, à l'emballage et aux licences

Carlie Hanson rend hommage avec sa reprise sincère de "Nutshell" d'Alice In Chains