L’émergence de la Data Privacy outre-Atlantique
Depuis une dizaine d’années, la donnée, ou communément appelée « Data », occupe une place prépondérante au sein des entreprises. Selon le Forum économique mondial, le marché mondial de la Data représentera plus de 500 milliards de dollars d’ici 2024. Pour mieux encadrer les pratiques liées aux traitements des données, notamment les données à caractère personnel, de nouvelles lois et réglementations sont entrées ou vont entrer en application. Dans ce domaine, l’Europe a été précurseur avec l’entrée en application du Règlement Général sur la Protection des Données (RGPD) le 25 mai 2018. Dans son sillage, émergent à travers le monde d’autres législations liées à la vie privée. C’est le cas notamment de deux Etats outre-Atlantique qui appliqueront en 2020 leur propre loi : la Californie avec le California Consumer Privacy Act (CCPA) et le Brésil avec la Lei Geral de Proteção de Dados pessoais (LGPD).
Le CCPA, un mini RGPD à l’américaine
Le California Consumer Privacy Act entrera en application le 1er janvier 2020. Certes les Etats-Unis possédaient déjà plusieurs lois fédérales de protection des données personnelles. Mais le CCPA va plus loin. Toute entreprise respectant au moins l’une des conditions suivantes devra s’y soumettre :
- Un chiffre d’affaires de plus de 25 millions de dollars,
- 50% ou plus des revenus de l’entreprise proviennent de la vente de données à caractère personnel,
- les données à caractère personnel de 50000 californiens ou plus sont traitées.
Deux points essentiels caractérisent cette législation : le consentement lors de la vente de données clients et le renforcement des droits des consommateurs (droit à la portabilité, droit d’effacer les données, droit d’accès aux données, droit d’opt-out lors de la vente de donnée, etc.).
Cette régulation, souvent décrite comme le mini RGPD américain, s’en rapproche sur certains aspects mais reste largement moins contraignante que son homologue du vieux continent. Tout d’abord, le champ d’application est beaucoup plus restreint aux Etats-Unis sachant que seules les grandes entreprises sont concernées par cette loi. Il est important de noter que seuls les clients de ces entreprises sont protégés par le CCPA, contrairement au RGPD qui s’applique aux citoyens européens. Dans un second temps, un paramètre vient fragiliser l’exercice de droit des clients : en fonction de la demande du client (exemple : opt-out), les entreprises peuvent adapter leurs niveaux de services voire leurs prix pour pallier la perte de valeur de leurs données. De plus, les sanctions résultant du CCPA peuvent paraître bien moindre car elles sont données à l’infraction et non au global (à hauteur de 7500$ par infraction). Mais n’ayant pas de limite haute, la sanction qu’il est possible d’établir avec de telles sommes peut-être extrêmement élevée si un nombre important d’utilisateurs est concerné. Enfin dans le contenu, l’un des points majeurs de divergence réside dans le fait que la loi n’a pas prévu d’analyse d’impact sur la vie privée à mettre en place lorsque les traitements sont particulièrement sensibles.
La LGPD, l’équivalent sud-américain du RGPD
Au Brésil, la Lei Geral de Proteção de Dados pessoais (LGPD) n°13.709/18 promulguée le 14 août 2018 entrera en application le 15 août 2020. Considérée comme le RGPD sud-américain, la LGPD est similaire au RGPD sur plusieurs aspects, malgré quelques différences.
Comme le RGPD, la LGPD a une portée extraterritoriale : cette législation s’applique aux entreprises locales et internationales si l’une des trois conditions suivantes est remplie :
- le traitement des données à caractère personnel a lieu sur le sol brésilien,
- l’objectif du traitement est de fournir un bien ou un service,
- la donnée à caractère personnel a été collectée au Brésil.
La tenue d’un registre des traitements, le recueil et la gestion du consentement, l’analyse d’impact sur la vie privée, la nomination d’un « encarregado de proteção de dados » (délégué à la protection des données personnelles) et le transfert de données à caractère personnel à l’étranger font également partie des exigences de la LGPD et sont relativement similaires aux dispositions du RGPD.
Cependant, quelques différences la distinguent du RGPD. Tout d’abord les bases légales aux traitements sont au nombre de 10 dans la législation brésilienne contre 6 pour le RGPD. Les 4 nouvelles bases légales introduites dans le périmètre de la LGPD sont : protection de crédit, prestations de soins médicaux pour la protection de la santé, la recherche et l’exercice des droits légaux dans le cadre d’actions en justice, d’arbitrages ou de procédures administratives.
Concernant les délais de notification et de réponse aux demandes d’exercice des droits des personnes concernées, ces derniers ne sont pas identiques à ceux prescrits par le RGPD. Pour le délai de notification à l’autorité (l’ANPD, Autoridade Nacional de Proteção de Dados) et aux personnes concernées en cas de fuite de données, il n’y pas d’indication temporelle contrairement au RGPD qui impose une notification dans les 72h après la découverte de la fuite de donnée. Concernant le délai de réponse à l’exercice des droits (droit à la portabilité, droit d’accès, droit à l’oubli), il est plus court côté brésilien : 15 jours au lieu de 30 avec le RGPD.
Enfin, les sanctions sont moins sévères avec la législation brésilienne : alors que le RGPD prévoit des amendes pouvant atteindre 4% du chiffre d’affaires ou 20 millions d’euros, la LGPD envisage 2% du chiffre d’affaires ou R$50 millions par infraction (≈11 millions d’euros). Qu’il s’agisse du RGPD ou de la LGPD, la sanction retenue (% du chiffre d’affaires ou X Millions) est la plus élevée des deux.
Comment tirer profit de la donnée personnelle en respectant l’utilisateur ?
Les entreprises prennent conscience du double objectif auxquelles elles sont confrontées : évoluer dans le marché de la donnée tout en ayant une démarche respectueuse de la vie privée. Tout manquement à ce deuxième objectif peut coûter très cher aux entreprises. Les amendes record à l’encontre de Marriott, British Airways, Equifax, Facebook en sont les récents exemples. Les entreprises doivent donc s’adapter tant au niveau organisationnel que technique sur la façon dont elles traitent ou protègent leurs données et plus particulièrement celles de leurs clients et collaborateurs.
C’est pour accompagner des entreprises implantées aux Etats-Unis et au Brésil, notamment sur ces problématiques de protection des données personnelles et de cybersécurité, que HeadMind Partners s’est développé ces dernières années, à Sao Paulo et Rio, ainsi qu’à New York.
Co-écrit par Yassine Barakat et Florence Guillot.