Ce que les marques peuvent apprendre d'une année de RGPD pour se préparer au California Consumer Privacy Act

Ce qui suit est un article invité de Jack Carvel, avocat général chez Qubit.

Mai 2019 marque le premier anniversaire de la mise en œuvre du Règlement général sur la protection des données (RGPD), le changement le plus important dans la réglementation sur la confidentialité des données depuis des décennies. Alors que le GDPR a fait beaucoup de bien en sensibilisant aux droits des individus en matière de données, l'histoire de l'application a été entièrement différente.

L'absence surprenante d'amendes importantes et l'utilisation abusive continue des données de tiers, dont beaucoup pensaient qu'elles cesseraient complètement d'exister, ont été flagrantes l'année dernière. Cependant, cela peut encore changer avec la mise en œuvre d'une nouvelle législation, telle que la composante ePrivacy prévue - le prochain élément du régime de protection des données de l'UE qui devrait entrer en vigueur prochainement - et un développement majeur de la confidentialité des données aux États-Unis en janvier. 2020 : le California Consumer Privacy Act (CCPA). Dans cet article, je discuterai des enseignements tirés du RGPD après un an et des conseils sur la meilleure façon de se préparer au CCPA et à d'autres législations plus strictes prévues dans un proche avenir.

RGPD : "A+" pour la sensibilisation, "D" pour l'application

Tout d'abord, donnons du crédit là où il est dû : le RGPD a été très bon pour les entreprises qui l'ont pris au sérieux. Cela a conduit à des bases de données clients plus saines avec une meilleure compréhension des clients et une meilleure compréhension de leur comportement.

Le printemps dernier, c'était un peu comme appliquer la méthode Kondo ou le nettoyage de printemps aux données, car les entreprises du monde entier étaient en train de comprendre où leurs données sont stockées et ce qui se passe avec. Tout le monde s'est concentré sur la protection des données pendant quelques mois seulement, rendant le monde en ligne plus sûr et plus sécurisé. Et, l'examen minutieux s'est considérablement amélioré. Il y a eu une poignée d'amendes, et parmi elles une importante pour Google à 50 millions d'euros. Au départ, de nombreux acteurs de l'industrie supposaient que de telles amendes deviendraient la norme, mais nous ne l'avons pas encore vu.

Un domaine où le RGPD a été particulièrement terne concerne ses relations avec les courtiers de données tiers. Il y a beaucoup de mauvaises pratiques avec des entreprises dont l'ensemble du modèle commercial repose sur la vente de données de seconde main ou de troisième main. Ces données peuvent être facilement copiées, divulguées et transmises à des parties à l'insu du consommateur - et ont probablement été obtenues sans consentement ni compréhension des données collectées et pourquoi. Avec le GDPR, beaucoup s'attendaient à ce que cela se termine, mais les régulateurs ne se sont pas attaqués à ces pratiques abusives en matière de données.

Il existe également de petites entreprises aux États-Unis (et dans d'autres juridictions en dehors de l'UE) qui ne se conforment pas aux normes. Ils n'ont pas les ressources nécessaires pour se conformer aux différents régimes de données et ils n'ont pas d'avocat interne pour surveiller la conformité, alors ils assument simplement le risque. Avec ces entreprises, lorsqu'il y a une violation, il y a très peu de transparence, car les régulateurs ne sont pas en mesure de vérifier l'exactitude des déclarations. Cependant, la non-conformité est une stratégie très risquée. Les consommateurs sont de plus en plus conscients de leurs droits en matière de données et de la valeur de leurs données. Ainsi, bien qu'une entreprise puisse éviter les amendes, elle risque de perdre la valeur de sa marque et sa réputation en cas de violation de données - et cela peut être encore pire que des amendes.

Une application plus stricte pourrait venir

Il existe des réglementations sur la confidentialité des données qui pourraient changer la donne avec leur application. Un développement important à venir est le règlement ePrivacy, qui définit les politiques sur les cookies, le consentement nécessaire, les entreprises qui peuvent envoyer des e-mails et pour quelles raisons, le suivi, etc., ajoutant une couche plus définitive au concept plus large de données personnelles. Cela déclenchera probablement davantage d'application, car les régulateurs utiliseront à la fois le RGPD et le règlement ePrivacy, même s'il reste encore des mois.

Une autre loi à l'horizon qui changera le fonctionnement des entreprises est la CCPA. Ce qui est essentiel ici, c'est qu'il s'agit de la première de ce type de législation enracinée aux États-Unis. Nous ne voyons peut-être pas autant de buzz autour de cette réglementation à venir, peut-être parce qu'il ne s'agit pas d'une loi fédérale, mais les entreprises qui ne s'y préparent pas peuvent être très désagréablement surpris par des pénalités, telles que jusqu'à 7 500 $ par violation du CCPA et 750 $ par dossier compromis - ce qui peut représenter une somme considérable et peut être dévastateur pour une petite entreprise.

Quelques conseils pour les commerçants

Les détaillants, en particulier ceux aux États-Unis qui n'ont pas suivi le processus rigoureux de préparation au RGPD dont disposent les entreprises mondiales, doivent tenir compte de la préparation préalable importante nécessaire pour se conformer aux politiques à venir. La Californie est susceptible d'être plus stricte dans l'imposition de lourdes amendes de non-conformité que ce que nous avons observé avec le GDPR. Les grandes marques mondiales sont peut-être déjà préparées pour le CCPA, en partie grâce à leurs préparatifs pour le RGPD et à l'examen minutieux des données qui existe en Europe depuis un certain temps maintenant. Cependant, les petites entreprises peuvent être prises au dépourvu par les enquêtes rigoureuses sur la confidentialité et la conformité des données qui s'annoncent. Voici quelques conseils qui peuvent aider les entreprises américaines, et celles qui souhaitent continuer à faire des affaires en Californie aident à se préparer à la législation à venir :

1. Même s'il ne s'agit pas d'une exigence ferme du CCPA, la création d'un « registre de traitement » devrait être la première étape : identifiez les données que vous collectez et ce que vous en faites exactement. En vous soumettant à ce processus, vous comprendrez dans quelle mesure vous vous situez au sein du CCPA. Vous devez entrer dans le processus avec une compréhension approfondie de tout cela.
2. Bien sûr, les données sont précieuses, mais plus de données ne signifie pas nécessairement plus de valeur. Si vous ne savez pas pourquoi vous le collectez, débarrassez-vous-en. Les données qui ne sont pas utiles à votre entreprise ne font que vous coûter de l'argent en frais de stockage et augmentent votre exposition aux violations de données. La suppression de données peut sembler effrayante, mais c'est une étape incroyablement stimulante à franchir et qui, en fin de compte, rendra votre prise de décision basée sur les données plus efficace. De nombreuses entreprises ont constaté une augmentation des taux de conversion et un ciblage plus efficace lors de l'utilisation d'ensembles de données propres.
3. Dans le cadre du RGPD, la présence d'un délégué à la protection des données est obligatoire dans certains cas. C'est une bonne idée en général : rendre quelqu'un responsable de la confidentialité des données et préparer l'entreprise à remplir ses obligations en vertu des régimes juridiques applicables. De plus, assurez-vous que cette personne a une grande visibilité. Avec le CCPA, il n'est pas nécessaire que cette personne relève de la haute direction, comme dans le RGPD ; cependant, ce serait une très bonne idée de s'assurer que la haute direction est bien au courant des constatations de l'auditeur interne.
4. Communiquez de manière proactive avec vos fournisseurs et partenaires pour comprendre ce qui se passe dans des scénarios spécifiques ; seraient-ils en mesure de vous aider à répondre à vos besoins dans des délais précis ? Parlez du processus. Lorsque vous entamez cette conversation avec les autres parties avec lesquelles votre entreprise travaille, vous saurez rapidement si elles seront en mesure de vous aider et de vous conformer.
5. Comprenez les avantages positifs des lois sur la confidentialité des données pour votre entreprise. Ces politiques permettent aux entreprises de rendre leurs bases de données clients plus saines et plus actives, de réduire les coûts liés au stockage des données et de développer des communications plus personnelles avec les personnes qui souhaitent les recevoir.
6. Amuse-toi. Les utilisateurs finaux sont beaucoup plus susceptibles de comprendre et d'accepter vos pratiques de traitement des données si vous utilisez un langage clair et simple et que vous leur montrez les avantages de ce que vous faites. Si vous ne pouvez pas justifier la collecte, peut-être vaut-il la peine de se demander si vous en avez vraiment besoin !

Il n'est peut-être pas facile de développer et d'exécuter des processus de conformité, mais lorsque cela sera fait, cela rendra le monde meilleur. Et pour les entreprises bien préparées, cela peut même signifier un coup de pouce pour leur activité.