Loïc Vachon, consultant en stratégie, met en garde les entreprises dans une tribune au « Monde » contre la difficulté à se mettre en conformité avec des contraintes sur la gestion des données personnelles, qui varient selon les législations nationales.
Article réservé aux abonnés
Tribune. Dans le sillon du règlement général sur la protection des données (RGPD) européen, des lois de même nature émergent dans d’autres régions du monde. L’Etat de Californie aux Etats-Unis, le Brésil, l’Inde et le Canada se sont récemment dotés de leur propre réglementation visant deux objectifs : protéger citoyens ou résidents, et responsabiliser les entreprises qui traitent leurs données personnelles.
Ce n’est que le début. Les récents scandales d’utilisation malveillante de données accélèrent ce mouvement, à tel point que la quasi-totalité des individus et des entreprises à l’échelle mondiale sera bientôt couverte par au moins une de ces lois.
Cette mosaïque naissante est-elle réellement efficace, ou bien est-elle trop complexe pour permettre aux entreprises de se conformer véritablement à la loi ?
Dans un contexte de mobilité et d’échanges internationaux, les entreprises collectent, stockent et utilisent les données personnelles d’individus résidant aux quatre coins du monde. Elles doivent donc se mettre en conformité dans chaque pays ou Etat où elles interviennent. C’est ici que le casse-tête débute. Bien que ces réglementations convergent vers des objectifs communs, chaque loi présente, en effet, ses spécificités. Des différences notables séparent en particulier les approches européenne et américaine.
La longue liste des spécificités nationales
Le RGPD se distingue par des principes de suppression et de minimisation des données, parmi les plus coûteux et contraignants à mettre en place. D’une part, l’entreprise doit supprimer les données personnelles stockées, une fois le délai de conservation légal dépassé ; d’autre part, elle est contrainte de limiter strictement sa collecte aux données nécessaires pour répondre aux obligations contractuelles.
En cas de collecte de données supplémentaires ou d’utilisation au-delà des finalités mentionnées dans les contrats, ou par intérêt légitime, l’entreprise doit demander le consentement des individus (opt in). A contrario, dans le California Consumer Privacy Act (CCPA), c’est à l’individu de signaler à l’entreprise qu’il ne souhaite pas que certaines données soient collectées ou utilisées (opt out).
D’une part, l’entreprise doit supprimer les données personnelles stockées une fois le délai de conservation légal dépassé ; d’autre part, elle est contrainte de limiter sa collecte aux données nécessaires pour répondre aux obligations contractuelles
Parmi les autres particularités du RGPD, notons l’obligation de mettre en place des clauses spécifiques dans les contrats de sous-traitance, la création d’une gouvernance autour de la protection des données et le délai de 72 heures pour notifier le régulateur en cas d’incident significatif. Le CCPA californien, quant à lui, introduit un nouveau droit pour les individus, le droit à l’antidiscrimination, qui vise à empêcher les entreprises de discriminer les clients qui auraient exercé certains droits en vertu du CCPA. Il impose également aux entreprises d’insérer un lien sur la page d’accueil de leur site Internet pour aider les individus à faire appliquer leurs droits.
