On ne peut pas dire que 2021 ait été une année calme au pays de la vie privée. Avec 1,1 milliard d’amendes RGPD, il est clair que les autorités de contrôle de la vie privée ont le vent en poupe.
Comme si cela ne suffisait pas, l’année 2022 est passée à la vitesse supérieure : les nouvelles CCT’s doivent remplacer les anciennes dans tous les contrats d’ici la fin de l’année, Google Analytics a été interdit et un groupe de travail européen se penche sur les services en ligne pour les gouvernements. Et, cerise sur le gâteau, le RGPD semble inspirer de nombreux autres pays …
Il est temps de réfléchir à ce qui nous attend!
PIPL : la toute nouvelle loi chinoise sur la protection de la vie privée
La loi chinoise sur la protection des informations personnelles (PIPL) est entrée en vigueur le 1er novembre 2021, moins de trois mois après son adoption par le Congrès national du peuple. Comme le RGPD, la loi a un effet extraterritorial, obligeant les multinationales des domaines de la technologie, du commerce de détail, des produits de luxe, de l’automobile, de la finance et d’autres secteurs à mettre en place des programmes de conformité complets.
Il est important de considérer PIPL dans le contexte plus large de la réglementation des technologies en Chine. Au cours des deux dernières années, de multiples organismes de réglementation chinois, dont l’Administration du cyberespace de Chine (ACC), qui est désormais responsable de l’application de la PIPL, sont intervenus en proposant de nouvelles règles sur la sécurité des données, le transfert des données, l’intelligence artificielle, etc.
En outre, le gouvernement a déjà lancé de nombreuses actions répressives contre des entreprises allant de simples développeurs d’applications à de grands noms de la technologie chinoise.
Pour les entreprises présentes dans le monde entier, l’un des plus grands défis consiste à se conformer à toute une série de règles sur les transferts de données transfrontaliers. La législation chinoise impose des exigences en matière de localisation des données pour certains secteurs – et certaines catégories de données. D’autres entreprises peuvent exporter des données depuis la Chine, mais uniquement sous certaines conditions, comme la réalisation d’une évaluation de la sécurité et sa soumission au ACC.
Qu’en est-il des lois sur la vie privée aux États-Unis ?
En tant qu’Européens, nous nous regardons peut-être trop vers les États-Unis au niveau fédéral. Et malgré le consensus sur la nécessité d’une loi fédérale sur la protection de la vie privée, aucune avancée n’est attendue en 2022. Cela est dû en partie à la fièvre électorale, mais surtout à une profonde division entre les groupes d’intérêt. En effet, le monde des affaires s’oppose fermement aux mécanismes de recours qui vont au-delà de la réglementation, tandis que d’autres font pression pour étendre le champ d’application des lois sur la protection de la vie privée afin de traiter les questions d’égalité, de partialité et de discrimination.
Mais ne pensons pas que tout est bloqué. Au moins en Californie, en Virginie et au Colorado, une nouvelle législation sur la protection de la vie privée entrera en vigueur dans le courant de l’année. Et dans le Maryland, l’Oklahoma, l’Ohio, le New Jersey, la Floride et l’Alaska, ils y travaillent dur.
Il y a aussi les plans stratégiques de la FTC (Federal Trade Commission) pour sévir contre les pratiques commerciales basées sur la surveillance, la sécurité de l’information laxiste et les pratiques commerciales basées sur les décisions de l’IA, ainsi que le ton donné par la Maison Blanche avec des initiatives politiques sur la vie privée (bien qu’elles soient encore en phase de consultation).
Il est clair que faire des affaires aux États-Unis s’accompagne de nombreuses restrictions réglementaires en matière de vie privée !
L’Europe : un phare pour la protection de la vie privée?
RGPD : de la protection des données au protectionnisme des données
L’introduction donnait déjà la teneur : après quelques années de retenue, nous avons constaté en 2021 une claire accélération de l’application du RGPD dans toute l’UE. Et ce qui est frappant, c’est que les régulateurs ont déplacé leur attention de la lutte contre les violations de données vers l’examen des motifs de traitement et des flux de données transfrontaliers.
Pour 2022, nous passons déjà à la vitesse supérieure : les décisions concernant Google Analytics ne sont que le précurseur des intentions déclarées de s’attaquer aux excès du marketing digital. Et qu’est-ce qui est encore sur le radar? La protection des données sur les mineurs (bonjour TikTok?), et la restriction de l’utilisation d’informations médicales ou financières sensibles.
Il est clair depuis longtemps que les grandes entreprises technologiques sont visées. Mais les entrepreneurs technologiques ordinaires risquent également d’être entraînés dans cette bataille. Bien sûr, chaque difficulté crée aussi des opportunités: Les initiatives européennes qui se sont engagées dès le départ à se conformer au RGPD pourraient bien bénéficier de cette approche rigoureuse. Ou était-ce l’intention depuis le début?
Le Conseil européen de la protection des données (CEPD) comme super-régulateur
Le fait que les différentes autorités de contrôle soient plus enclines à regarder dans la même direction est au moins en partie dû au rôle de CEPD. Alors que le ton avait été donné l’année dernière avec un projet d’avis sur les transferts de données, nous attendons cette année d’autres éclairages sur les concepts importants liés à l’anonymisation. L’utilisation des données à des fins de recherche est également au moins à l’ordre du jour.
Un tsunami de règles supplémentaires
Comme si le RGPD ne suffisait pas, il y a aussi toute une série de nouvelles réglementations supplémentaires dans le tuyau européen. Cette année, nous pouvons encore nous attendre à des mesures concernant la loi sur les services numériques (DSA), la loi sur les marchés digitaux (DMA), la loi sur la gouvernance des données (DGA), le règlement sur la vie privée en ligne (ePR), la directive sur la sécurité des réseaux et de l’information (NIS II), mais aussi la loi sur l’IA et la loi sur les données.
Conclusion
Malgré les messages catastrophistes lors de l’entrée en vigueur du RGPD, notre monde professionel n’a certainement pas été confronté à la conformité à la vie privée à partir d’une expérience de » big bang « .
Cependant, l’intensité croissante avec laquelle les autorités de contrôle remplissent leur rôle, stimulée par un activisme fort en matière de protection de la vie privée, signifie que quiconque ne prend pas à cœur le respect de la vie privée aujourd’hui est aveugle à l’extrême.
En outre, la question est complexe et fait l’objet d’un éclairage et de réglementations supplémentaires en constante évolution. Tout cela signifie que le respect de la vie privée a définitivement fait son entrée dans le monde de l’entreprise, aux côtés d’autres facteurs de risque tels que la responsabilité du fait des produits.
Trouvez-vous également votre chemin entre le RGPD, la DSA, la DMA, la DGA, l’ePR, le NIS II, le PIPL, le CPRA et tant d’autres réglementations? Parlez-en avec nos experts via hallo@dejuristen.beet obtenez une meilleure vision de l’endroit où vos risques se présentent exactement.
Rédigé par Kris Seyen, Partner lesJuristes
