La déclaration de confidentialité constitue un point de contact visant à informer les utilisateurs
de l’utilisation qui est faite leurs données, mais aussi un moyen de montrer à l’administration que l’organisation s’engage à
respecter la réglementation. Le 17 septembre, l’Online Trust Alliance (OTA) d’Internet Society
a publié un rapport intitulé« Les organisations sont-elles prêtes à adopter une nouvelle règlementation pour protéger la vie privée ? ».
Ce rapport utilise les données recueillies lors de l’audit en ligne sur la confiance en 2018.
Il analyse les déclarations de confidentialité de 1200 organisations et leurs 29 variantes
ensuite les cartographie pour faire ressortir les principes fondamentaux de trois lois sur la protection de la vie privée
dans le monde : le règlement général sur la protection des données (Union européenne),
le California Consumer Privacy Act (CCPA) aux États-Unis et la Loi
sur la protection des données personnelles et les documents électroniques (LPRPDE) au Canada.
Dans bon nombre de cas, les organisations manquent de concepts clés portant sur lepartage
des données dans leurs déclarations. Seulement 1 % des organisations auditées révèlent
les types de tiers avec lesquels elles partagent des données. Il s’agit d’une exigence commune
qui revient dans les législations sur la protection de la vie privée. Ce n’est pas aussi pénible que de devoir énumérer toutes les
organisations qui mentionnent cette information. Énumérer les grandes catégories telles que « fournisseurs de paiement »
sera suffisant.
La conservation des données est un autre aspect
absent des déclarations de confidentialité de nombreuses organisations. Seulement 2 % ont donné des informations sur la durée et les raisons
pour lesquelles elles conservent les données. De nombreuses organisations ont des déclarations qui mentionnent des formules du type « nous conservons
les données d’utilisateurs aussi longtemps que nécessaire ». Ce type de déclaration n’est pas
assez spécifique pour de nombreuses réglementations.
Entre autres informations mentionnées, nous avons la capacité des utilisateurs à interagir avec
leurs données. Deux informations sont encourageantes : 70 % des organisations ont effectivement inclus
des informations de contact et 50 %, des informations sur la manière dont les utilisateurs peuvent obtenir
des informations sur leurs données. Cependant, pratiquement aucune d’entre elle n’a inclus cette information
en y apportant les éclaircissements nécessaires requis par des lois telles que le RGPD.
Si la plupart ont eu un point de contact, il était rare que ce contact porte spécifiquement sur la confidentialité ou à un délégué à la protection des données (DPO). Il s’agissait généralement d’une adresse électronique de contact générique. La norme de l’OTA est inférieure étant donné que la plupart des organisations auditées se trouvent aux États-Unis et qu’elles n’étaient pas tenues de respecter cette norme supérieure par la loi américaine au moment de la collecte des données.
Enfin, les défenseurs de l’OTA, et de nombreuses lois sur la protection de la vie privée, exigent que
les déclarations respectent certaines normes de lisibilité. Une pratique simple, prônée
par l’OTA, qui peut aider les utilisateurs à parcourir les déclarations de confidentialité complexes est la
« superposition ». Cette opération peut être réalisée de différentes manières, en consultant une table
des matières ou un résumé des principes contenus dans la version intégrale de déclaration. Un peu moins de
la moitié (47 %) des entreprises ont recouru à la superposition des déclarations.
Un grand nombre des pratiques prônées par les défenseurs de l’OTA sont relativement simples à mettre en œuvre. Elles aideront grandement les organisations à parcourir le paysage changeant de la vie privée. Lisez notre rapport intégral pour avoir la liste complète des pratiques prônées par l’OTA et savoir comment elles se rattachent aux concepts de confidentialité, ou consultez l’infographie pour vous référer rapidement à certaines des conclusions. Pour plus de détails sur les données et la méthodologie utilisée pour générer le classement, voir Audit sur la confiance en ligne et tableau d’honneur.
The post Évolution des règles de confidentialité : les organisations sont-elles prêtes ? appeared first on Internet Society.