Faire un don
Évolution des règles de confidentialité : les organisations sont-elles prêtes ? Thumbnail
‹ Retour
Renforcer la confiance 20 septembre 2019

Évolution des règles de confidentialité : les organisations sont-elles prêtes ?

Kenneth Olmstead
Par Kenneth OlmsteadInternet Privacy & Security Analyst

La déclaration de confidentialité constitue un point de contact visant à informer les utilisateurs de l’utilisation qui est faite leurs données, mais aussi un moyen de montrer à l’administration que l’organisation s’engage à respecter la réglementation. Le 17 septembre, l’Online Trust Alliance (OTA) d’Internet Society a publié un rapport intitulé« Les organisations sont-elles prêtes à adopter une nouvelle règlementation pour protéger la vie privée ? ». Ce rapport utilise les données recueillies lors de l’audit en ligne sur la confiance en 2018. Il analyse les déclarations de confidentialité de 1200 organisations et leurs 29 variantes ensuite les cartographie pour faire ressortir les principes fondamentaux de trois lois sur la protection de la vie privée dans le monde : le règlement général sur la protection des données (Union européenne), le California Consumer Privacy Act (CCPA) aux États-Unis et la Loi sur la protection des données personnelles et les documents électroniques (LPRPDE) au Canada.

Dans bon nombre de cas, les organisations manquent de concepts clés portant sur lepartage des données dans leurs déclarations. Seulement 1 % des organisations auditées révèlent les types de tiers avec lesquels elles partagent des données. Il s’agit d’une exigence commune qui revient dans les législations sur la protection de la vie privée. Ce n’est pas aussi pénible que de devoir énumérer toutes les organisations qui mentionnent cette information. Énumérer les grandes catégories telles que « fournisseurs de paiement » sera suffisant.

La conservation des données est un autre aspect absent des déclarations de confidentialité de nombreuses organisations. Seulement 2 % ont donné des informations sur la durée et les raisons pour lesquelles elles conservent les données. De nombreuses organisations ont des déclarations qui mentionnent des formules du type « nous conservons les données d’utilisateurs aussi longtemps que nécessaire ». Ce type de déclaration n’est pas assez spécifique pour de nombreuses réglementations.

Entre autres informations mentionnées, nous avons la capacité des utilisateurs à interagir avec leurs données. Deux informations sont encourageantes : 70 % des organisations ont effectivement inclus des informations de contact et 50 %, des informations sur la manière dont les utilisateurs peuvent obtenir des informations sur leurs données. Cependant, pratiquement aucune d’entre elle n’a inclus cette information en y apportant les éclaircissements nécessaires requis par des lois telles que le RGPD.

Si la plupart ont eu un point de contact, il était rare que ce contact porte spécifiquement sur la confidentialité ou à un délégué à la protection des données (DPO). Il s’agissait généralement d’une adresse électronique de contact générique. La norme de l’OTA est inférieure étant donné que la plupart des organisations auditées se trouvent aux États-Unis et qu’elles n’étaient pas tenues de respecter cette norme supérieure par la loi américaine au moment de la collecte des données.

Enfin, les défenseurs de l’OTA, et de nombreuses lois sur la protection de la vie privée, exigent que les déclarations respectent certaines normes de lisibilité. Une pratique simple, prônée par l’OTA, qui peut aider les utilisateurs à parcourir les déclarations de confidentialité complexes est la « superposition ». Cette opération peut être réalisée de différentes manières, en consultant une table des matières ou un résumé des principes contenus dans la version intégrale de déclaration. Un peu moins de la moitié (47 %) des entreprises ont recouru à la superposition des déclarations.

Un grand nombre des pratiques prônées par les défenseurs de l’OTA sont relativement simples à mettre en œuvre. Elles aideront grandement les organisations à parcourir le paysage changeant de la vie privée. Lisez notre rapport intégral pour avoir la liste complète des pratiques prônées par l’OTA et savoir comment elles se rattachent aux concepts de confidentialité, ou consultez l’infographie pour vous référer rapidement à certaines des conclusions. Pour plus de détails sur les données et la méthodologie utilisée pour générer le classement, voir Audit sur la confiance en ligne et tableau d’honneur.

‹ Retour

Avertissement: Les points de vue exprimées dans cette publication appartiennent à l’auteur et peuvent ou non refléter les positions officielles de l’Internet Society.

Articles associés

Comment juger qu'une déclaration de confidentialité n'est pas obsolète ?
Comment juger qu'une déclaration de confidentialité n'est pas obsolète ?
Renforcer la confiance27 août 2019

Comment juger qu’une déclaration de confidentialité n’est pas obsolète ?

L'une des meilleures pratiques que nous recommandons est l'horodatage des déclarations de confidentialité et nous vérifions cela dans notre audit...

Podcast: Parler de confidentialité des données et de GDPR avec Todd M. Tolbert
Podcast: Parler de confidentialité des données et de GDPR avec Todd M. Tolbert
Améliorer la sécurité technique24 mai 2018

Podcast: Parler de confidentialité des données et de GDPR avec Todd M. Tolbert

"Mettons la barre plus haut sur la confidentialité des données et rendons Internet plus sûr." Avec l'arrivée imminente du Règlement...

Rejoignez la conversation avec les membres de Internet Society à travers le monde