Comparaison des approches et des pratiques en matière de protection des données personnelles en Russie et dans l'UE
En effet, à chaque action effectuée par un utilisateur sur Internet, les données personnelles de l'utilisateur sont manipulées sous une forme ou une autre.
Nous ne payons pas pour de nombreux services en ligne : recherche d'informations, messagerie électronique, stockage de données dans le cloud, communication sur les réseaux sociaux, etc. Cependant, ces services ne sont gratuits que sous certaines conditions : nous les payons avec nos données, que ces entreprises transforment ensuite en argent, principalement par la publicité.
Actuellement, les données sur le sexe, l'âge et le lieu de résidence, l'historique de recherche -
Les données personnelles constituent le fondement du secteur de la publicité en ligne, qui pèse des milliards de dollars et d'euros. Juridiquement, les données personnelles sont considérées comme un capital commercial. Par conséquent, les entreprises consacrent des efforts et des ressources considérables à leur collecte et à leur traitement. Des enquêtes menées en 2018 montrent que les utilisateurs, tout en reconnaissant la valeur de leurs données personnelles, sont de plus en plus insatisfaits de la manière dont les entreprises les traitent.
La réglementation de l'utilisation des données des utilisateurs est encore peu développée et accuse un retard technologique, non seulement en Russie, mais aussi à l'échelle mondiale. Par conséquent, l'équilibre entre les intérêts des consommateurs et des entreprises dans le modèle « argent-service-données-argent » est actuellement établi à la fois par les régulateurs et par des accords tacites entre la société et les entreprises. Les régulateurs limitent les capacités des entreprises informatiques et élargissent les droits des utilisateurs, en introduisant de nouvelles lois qui leur confèrent un plus grand contrôle sur les informations qu'ils fournissent.
Il est intéressant de comparer les approches des régulateurs des pays européens et de la Russie. En Russie, les principales réglementations régissant le traitement des données personnelles sont la loi fédérale sur la protection des données personnelles (152-FZ) et le Code des infractions administratives, qui prévoit des amendes spécifiques pour les violations des procédures de traitement des données personnelles. Les amendes administratives ont considérablement augmenté depuis le 1er juillet 2017. De plus, de nouvelles amendes ont été instaurées selon le type d'infraction commise. Ainsi, les fonctionnaires peuvent se voir infliger une amende de 3 000 à 20 000 roubles, les entrepreneurs individuels de 5 000 à 20 000 roubles et les organisations de 15 000 à 75 000 roubles. De plus, la responsabilité peut être engagée pour diverses infractions. Ainsi, une même entreprise peut être soumise à plusieurs amendes différentes pour différentes infractions. Cependant, la responsabilité est spécifiquement prévue en cas de non-respect des exigences formelles, par exemple en cas d'absence des documents nécessaires. Cela n'est pas toujours directement lié à la protection des données. Par exemple, une fuite ne constitue pas en soi un motif d'amende, sauf en cas de violation d'autres lois. Il est intéressant de noter qu'un nombre important de violations identifiées dans le domaine du traitement des données personnelles relèvent de l'article 19.7 du Code des infractions administratives de la Fédération de Russie : « Défaut de soumission ou soumission tardive à une agence gouvernementale (Roskomnadzor) des informations (données) requises par la loi et nécessaires à l'exercice par l'agence de ses activités légitimes. » Il est intéressant de noter qu'une sanction beaucoup plus lourde est infligée non pas pour violation de la procédure de traitement des données personnelles (comme indiqué précédemment, elle s'élève en moyenne à 30 000 à 50 000 roubles), mais pour défaut de fourniture (retardée ou incomplète) d'informations sur la procédure de traitement des données personnelles à Roskomnadzor, passible d'une amende pouvant aller jusqu'à 200 000 roubles. Autrement dit, dans la législation russe et son application, la tendance dominante est que « l'essentiel est que la situation soit adaptée » et que les besoins des agences gouvernementales en matière de rapports soient satisfaits. Les droits réels des utilisateurs et la sécurité de leurs données personnelles en ligne sont mal protégés. Le montant des amendes est sans commune mesure avec les bénéfices que certaines entreprises tirent de la violation des règles de traitement des données personnelles sur Internet et n'encourage pas le respect de ces règles.
La situation dans l'UE est quelque peu différente. Depuis mai 2018, le traitement des données personnelles en Europe est régi par les règles de traitement des données personnelles établies par le Règlement général sur la protection des données (RGPD).Règlement UE 2016/679 Le RGPD (Règlement général sur la protection des données) du 27 avril 2016 est directement applicable dans les 28 pays de l'UE. Il confère aux résidents de l'UE un contrôle total sur leurs données personnelles. En vertu du RGPD, de nombreux citoyens et résidents de l'UE disposent de droits très étendus pour contrôler leurs données personnelles. Les utilisateurs européens ont le droit de demander confirmation du traitement de leurs données, du lieu et de la finalité du traitement, des catégories de données personnelles traitées, des tiers auxquels les données personnelles sont communiquées, de la durée de traitement des données, ainsi que de clarifier l'origine des données personnelles de l'organisation et d'en demander la rectification. De plus, les utilisateurs ont le droit de demander l'arrêt du traitement de leurs données.
Depuis mai 2018, les sanctions en cas de violation des règles de traitement des données personnelles prennent la forme d'amendes : en vertu du RGPD, les amendes peuvent atteindre 20 millions d'euros (environ 1,5 milliard de roubles) ou 4 % du chiffre d'affaires mondial annuel d'une entreprise.
Le plus important est que tout cela fonctionne : les entreprises qui violent les droits des utilisateurs sont tenues responsables, et ce, très sérieusement. Par exemple, le 21 janvier 2019, la Commission nationale de l’informatique et des libertés (CNIL) a infligé une amende de 50 millions d’euros à l’entreprise américaine GOOGLE LLC pour violation du RGPD. L’amende, très lourde, démontre clairement les conséquences du non-respect des exigences du RGPD. Quelle a été la sanction ? La commission française a constaté que, lors de la configuration initiale d’un appareil mobile fonctionnant sous Android (Google), l’utilisateur ne reçoit pas d’informations complètes sur l’utilisation que Google fait de ses données personnelles. L’entreprise a manqué à ses obligations de transparence dans le traitement des données personnelles et d’information des personnes concernées (articles 12 et 13 du RGPD). Les durées de conservation des données des utilisateurs sont insuffisamment réglementées. L’entreprise ne disposait pas de la base juridique nécessaire pour son traitement de données (article 6 du RGPD). Google a également été accusée d’avoir obtenu de manière inappropriée le consentement des utilisateurs pour le traitement de leurs données à des fins de personnalisation publicitaire.
Autres exemples : le régulateur allemand LfDI a infligé une amende de 20 000 € à l’application de chat et de rencontre Knuddels. L’hôpital portugais Barreiro Hospital a été accusé de mauvaise gestion de l’accès à des données personnelles sensibles (amende de 300 000 €) et d’atteinte à la sécurité et à l’intégrité des données (100 000 € supplémentaires). Les autorités britanniques ont adressé un avertissement à une société canadienne d’analyse. Celle-ci a été sommée de cesser de traiter les données personnelles des citoyens sous peine d’amende de 20 millions d’euros. L’entreprise canadienne de marketing numérique et de développement de logiciels AggregateIQ a été condamnée à une amende de 17 millions d’euros. Un café autrichien a été condamné à une amende de 5 280 € pour vidéosurveillance illégale (la caméra a filmé une partie du trottoir). Ainsi, toute organisation soumise au RGPD ne devrait pas, comme c’est traditionnellement le cas, se limiter à la simple élaboration de la documentation réglementaire.
Le RGPD est d'ailleurs unique en ce sens qu'il s'applique à toutes les entreprises qui traitent les données personnelles des résidents et citoyens de l'UE, quel que soit leur lieu d'implantation. Par conséquent, les entreprises russes devraient être particulièrement attentives à ce règlement si leurs services sont destinés au marché européen.
Source: habr.com
