Un guide de survie pour la protection de la vie privée à l’ère de l’inaction fédérale

 Un guide de survie pour la protection de la vie privée à l’ère de l’inaction fédérale

Les choses évoluent rapidement dans le monde de la protection de la vie privée. Au début de l’année, la question que l’on me posait le plus souvent était la suivante : « Dans quelle mesure la proposition de loi fédérale sur la protection de la vie privée (APRA) sera-t-elle similaire au GDPR de l’UE ? » Maintenant que l’APRA est pratiquement morte à l’arrivée pour les observateurs du Congrès, la question que j’entends est la suivante : « Aurons-nous un jour une loi nationale sur la protection de la vie privée aux États-Unis ? »

confidentialité des données loi fédérale

La situation actuelle et comment nous en sommes arrivés là

Après l’approbation de la loi GDPR par l’UE en 2016 et son entrée en vigueur en 2018, tous les regards du secteur de la protection de la vie privée se sont tournés vers les États-Unis. Lorsque la dynamique n’a pas réussi à se mettre en place pour une loi similaire au niveau fédéral aux États-Unis, les gouvernements des États ont commencé à combler ce vide. Aujourd’hui, les États-Unis comptent 20 lois sur la protection de la vie privée, et d’autres devraient suivre.

Bien que ces nouvelles réglementations se recoupent en partie, il existe encore des différences significatives dans la manière dont elles doivent être appliquées d’un État à l’autre, ce qui crée une énorme complexité pour les équipes chargées de la protection de la vie privée et de la conformité. Outre ce patchwork de plus en plus compliqué de réglementations étatiques concurrentes, il existe également une longue liste d’États qui ne disposent pas de lois sur la protection de la vie privée. Un pourcentage important de la population américaine n’est donc pas protégé par une quelconque loi sur la protection de la vie privée.

Cette combinaison de facteurs – des lois étatiques contradictoires, un nombre élevé d’Américains non protégés, la complexité à laquelle sont confrontées les entreprises, l’évolution des technologies émergentes et l’adoption réussie du GDPR – a accru la pression sur le Congrès pour qu’il progresse vers l’adoption d’une loi nationale aux États-Unis.

En 2022, il y a eu un certain mouvement au niveau fédéral avec un cadre appelé ADPPA, mais il s’est rapidement essoufflé et a été abandonné. Au printemps de cette année, le Congrès s’est à nouveau penché sur la question en présentant un projet de loi bipartisan intitulé American Privacy Rights Act (APRA).

Le projet de loi a été coparrainé par la sénatrice Cathy McMorris Rodgers (R-WA) (présidente de la commission de l’énergie et du commerce de la Chambre des représentants) et par Maria Cantwell (D-WA) (présidente de la commission du commerce, des sciences et des transports du Sénat). Pour les professionnels de la protection de la vie privée qui plaident depuis longtemps en faveur d’une loi fédérale, une proposition bipartisane a donné à l’APRA l’impression d’un véritable progrès.

Mais cet élan s’est arrêté à la veille de l’ouverture officielle du débat sur la loi au Congrès, prévue pour la fin juin. L’élan s’est effondré en raison des changements proposés à la législation, ce qui a donné lieu à des accusations selon lesquelles des protections essentielles étaient vidées de leur substance. Aujourd’hui, la loi semble être mise de côté.

Cela nous ramène à la question que me posent de nombreuses parties intéressées :

Aurons-nous un jour une loi nationale sur la protection de la vie privée aux États-Unis ?

Je pense qu’une loi fédérale est inévitable, compte tenu de la pression qui continuera de croître de deux sources : les citoyens qui veulent une meilleure protection de la vie privée à l’ère de la technologie omniprésente, et les entreprises qui sont confrontées à une plus grande complexité opérationnelle en raison de la mosaïque de réglementations actuelles.

Mais ce n’est pas parce qu’une chose est inévitable qu’elle se produira bientôt. Il a fallu deux ans pour que les efforts infructueux de l’ADPPA débouchent sur les espoirs de l’APRA. Combien de temps faudra-t-il pour que le Congrès décide de se pencher à nouveau sur la question ?

Personne n’a de boule de cristal pour le prédire, mais ce que je peux vous dire avec certitude, c’est que les professionnels de la sécurité, de la protection de la vie privée et de la conformité ont besoin d’un guide de survie d’ici là, car le paysage de la protection de la vie privée est sur le point de devenir encore plus complexe.

Après le blocage de l’APRA au Congrès, la gestion de la vie privée deviendra encore plus difficile pour les entreprises opérant aux États-Unis en raison de facteurs tels que :

  • L’adoption d’un plus grand nombre de réglementations au niveau des États pour les données en général et pour les données de santé en particulier.
  • L’impact des décrets de la Maison Blanche sur les données sensibles
  • Le déploiement de la réglementation californienne sur la confidentialité des données, qui impose de nouvelles exigences aux entreprises qui vendent à des clients dans l’État le plus peuplé du pays.
  • Les modifications des règles de l’État qui se produisent presque quotidiennement pour les questions de confidentialité liées à l’IA, aux données des consommateurs et à la modération du contenu.
  • Les réglementations adjacentes à la protection de la vie privée, telles que la cybersécurité, l’IA et la sécurité en ligne, qui aggravent toutes la nécessité d’une réglementation et d’une gouvernance numériques croissantes.

Chaque jour, cette complexité s’accroît, éloignant les États-Unis de la vision d’un paysage réglementaire uniforme de type GDPR pour la protection de la vie privée. Cela signifie que les équipes chargées de la protection de la vie privée, de la sécurité et de la conformité qui collaborent aux programmes de protection de la vie privée ne peuvent pas avoir des politiques de protection de la vie privée uniformes pour leurs activités et leurs clients aux États-Unis. Elles ont besoin d’une stratégie qui puisse s’adapter au fur et à mesure que le puzzle passe de 25 pièces à 250 pièces puis à 25 000 pièces – ce qui est la voie que nous empruntons rapidement en l’absence d’une loi fédérale complète.

Chacune de ces lois est un pas en avant pour la protection de la vie privée des citoyens et la mise en place d’un ensemble de règles claires pour les entreprises. Mais les variations entre ces lois et les changements quotidiens sont difficiles à suivre pour les entreprises.

Que doit faire un professionnel de la protection de la vie privée ?

Dans l’attente d’une loi fédérale, il est impératif que les entreprises disposent d’une stratégie globale de protection de la vie privée adaptée à ce niveau de variation et de changement dynamique.

Tout d’abord, les entreprises doivent cartographier ou inventorier leurs données pour comprendre ce qu’elles possèdent. En cartographiant et en inventoriant les données, les organisations peuvent mieux visualiser, contextualiser et hiérarchiser les risques. En outre, en connaissant les données dont elles disposent, elles peuvent non seulement gérer les risques actuels en matière de respect de la vie privée, mais aussi être mieux préparées à répondre aux nouvelles exigences. Par exemple, ces cartes de données peuvent vous permettre de voir les flux de données que vous avez mis en place lorsque vous partagez des données, ce qui est essentiel pour examiner avec précision les risques liés aux tiers.

En plus d’être en mesure de se préparer aux lois existantes et nouvelles sur la protection de la vie privée, ces cartes permettent également aux organisations d’identifier leurs flux de données afin de minimiser les risques d’exposition ou de compromission en étant en mesure de mieux comprendre où elles distribuent leurs données.

Deuxièmement, les entreprises doivent réfléchir à la manière d’opérationnaliser les domaines prioritaires afin de les intégrer dans leur activité. Cela peut passer par la formation de champions de la protection de la vie privée et par l’adoption de technologies permettant d’automatiser les obligations en matière de respect de la vie privée, comme la mise en œuvre d’un programme d’évaluation permettant de mieux comprendre l’impact des données. Les entreprises qui traitent des données présentant un risque élevé, comme la vente de données ou leur utilisation dans le cadre de la publicité ciblée, peuvent être tenues de le faire dans certains États.

Toutefois, même si cela n’est pas obligatoire, il est bon de le faire pour s’assurer que vous traitez les données conformément aux attentes des consommateurs. L’utilisation des cartes de données mentionnées ci-dessus et l’automatisation d’un processus conçu pour automatiser les évaluations peuvent aider les entreprises à rendre opérationnelles les obligations de conformité et à se préparer de manière proactive aux besoins futurs.

Troisièmement, les entreprises devraient prendre des mesures pour mieux comprendre les risques liés à leur chaîne d’approvisionnement. Avez-vous besoin de minimiser les données que vous partagez ? Vos fournisseurs sont-ils dignes de confiance ? Respectent-ils les lois sur la protection de la vie privée ? Une meilleure compréhension de votre empreinte numérique peut contribuer à améliorer votre risque global en matière de protection de la vie privée, mais elle présente également d’autres avantages. Moins vous partagez de données, moins vos données risquent d’être compromises si votre fournisseur l’est.

Avec l’augmentation des cybermenaces et des violations quotidiennes, c’est un problème trop courant pour les organisations. La gestion proactive de votre programme de protection de la vie privée et la collaboration avec vos équipes chargées de la protection de la vie privée, afin de protéger les données de manière plus globale, aident les organisations à gérer les exigences de conformité aujourd’hui – et à se préparer à une future loi fédérale sur la protection de la vie privée lorsqu’elle sera (espérons-le !) adoptée.

Il s’agit d’étapes essentielles pour survivre à ce jeu d’attente où les règles semblent changer toutes les heures.


Source de l’article

A découvrir