Une analyse de quatre ans du règlement général sur la protection des données (RGPD) adopté par l’Union européenne révèle que le suivre était… stupide.
C’est-à-dire le bon choix des données par le Congrès américain ne pas suivre la méthode européenne de protection des données a renforcé la sécurité des données. Comment en sommes-nous arrivés là ?
La protection échoue en Europe
Les Européens ne signalent pas que les restrictions ont accru leur confiance en Internet. En réalité, la plupart des personnes interrogées au Royaume-Uni et en Allemagne pensent que le RGPD aura un effet neutre, voire hostile.
Selon un nouveau rapport canadien, le RGPD impose un lourd fardeau réglementaire aux régulateurs et aux entreprises. Le GDPR nuit apparemment aux petites et moyennes entreprises (PME) et augmente la complexité des consommateurs. De même, cela inclut la frustration causée par les pop-ups sans fin et la «fatigue du consentement», réduit l’innovation et entrave le commerce transfrontalier.
L’absence de développement d’entreprises numériques basées dans l’UE pourrait constituer une condamnation importante du RGPD. Aujourd’hui, l’Europe ne représente que 3 % de la valeur Internet mondiale et elle est sur le point d’être dépassée par l’Afrique. Pendant ce temps, Google (Alphabet), Facebook (Meta), Amazon et TikTok, une application chinoise, ont élargi leur part de marché et leur rentabilité en Europe.
Le California Consumer Privacy Act (CCPA) a des normes de type RGPD, et son coût de conformité élevé est un tueur pour les petites entreprises.
Heureusement, une solution réaliste protège les consommateurs sans exercer de pression excessive sur les entreprises et les organismes de réglementation. La Uniform Law Commission (ULC), une organisation à but non lucratif composée de 350 commissaires sélectionnés par les différents États américains, prépare une législation type pour offrir cohérence et clarté aux lois étatiques et fédérales contradictoires.
Pendant la pandémie, des centaines d’acteurs de la protection des données, dont des commissaires de l’ULC, ont travaillé à l’établissement d’un code modèle connu sous le nom de Uniform Personal Data Protection Act (UPDPA).
La protection des données client nécessite un appel au réveil
La loi établit des pratiques équitables en matière d’information (FIPP) pour la collecte et l’utilisation des données personnelles. Il spécifie également l’utilisation des données compatibles, incompatibles et interdites. La Loi protège et garantit que les consommateurs ont un coût raisonnable pour les organismes de réglementation et les entreprises.
L’approche fondée sur les risques, qui concilie les intérêts des consommateurs et des entreprises tout en permettant une flexibilité et une innovation susceptibles de profiter aux consommateurs, est essentielle à l’efficacité de l’UPDPA. L’accent mis sur les entités qui « conservent » des données dans le cadre d’un système d’enregistrements sur les personnes concernées pour les récupérer à des fins de communication personnalisée ou de traitement décisionnel est un concept limitatif fondamental.
Par exemple, il y a moins de violations de données avant les audits des petites entreprises qu’après. Un autre avantage de l’UPDPA est qu’elle crée une sphère de sécurité pour les activités appropriées à faible risque qui n’ont pas besoin d’autorisation. Ces comportements sont dans le meilleur intérêt de la personne et correspondent à ses attentes raisonnables.
Par exemple, deux exemples exploitent les données de localisation pour l’évaluation des risques COVID d’une communauté et la publicité ciblée tout en accédant à du contenu et des services gratuits. Les petites entreprises sont exemptées de l’UPDPA pour des raisons pratiques. L’Ukraine offre un sombre exemple. Personne ne veut répéter ces erreurs.
Une exigence de consentement
Une exigence est le consentement pour les pratiques qui présentent un risque. La technologie pour les petites entreprises comporte toujours des risques.
Lorsque des données personnelles sensibles sont violées – telles que la race, les croyances religieuses, le sexe, l’orientation sexuelle, la citoyenneté, le statut d’immigration – elles sont légalement passibles de poursuites. Encore plus pour les numéros de compte financier, les numéros de sécurité sociale, les numéros d’identification émis par le gouvernement et les géolocalisations en temps réel. Les casiers judiciaires, les diagnostics médicaux ou les informations sur les enfants de moins de 13 ans constituent également un risque croissant.
Les comportements interdits incluent la honte, le ridicule, l’intimidation, le harcèlement ou le vol d’identité qui est effectué sans sécurité appropriée. Ceux-ci pourraient entraîner des dommages financiers, corporels ou de réputation. vente les données personnelles à des fins de marketing sont également une activité incompatible.
Les personnes ont également le droit à une copie des données personnelles et la possibilité de les rectifier et de les modifier en vertu de l’UPDPA.
Les contrôleurs de données doivent suivre une politique de confidentialité des données claire et facilement accessible qui divulgue les types d’informations personnelles conservées, la notification des pratiques, les procédures de réponse aux droits des personnes concernées, les lois étatiques et fédérales applicables et toutes les normes de consensus volontaire (VCS) qu’ils utilisent. .
VCS est un ensemble de règles personnalisées ascendantes développées par l’utilisateur pour des applications, des services et des contextes spécifiques. Par conséquent, le bureau informera le procureur général approprié s’il encourage l’innovation et la normalisation dans l’intérêt de la protection des données en ligne.
L’Oklahoma, le Nebraska et le District de Columbia ont déjà promulgué l’UPDPA. La loi permet aux États d’inclure des mesures d’application de la loi existante sur la protection des consommateurs d’un État chargé de la mise en œuvre.
Toutefois, les procureurs généraux des États peuvent édicter des règlements pour exécuter la loi. Ils sont censés travailler ensemble pour promouvoir la cohérence dans l’application. Une action privée retarde l’adoption des lois fédérales sur la protection des données sur Internet. L’UPDPA laisse cela à chaque État.
