Blog

Le règlement ePrivacy n’est qu’une question de temps avant qu’elle ne devienne une loi, selon un membre du conseil consultatif de l’IAPP. 

"Il est plus rentable pour les entreprises de l’UE de travailler avec des entreprises de l’UE, ou des entreprises non européennes qui prennent la vie privée et le RGPD au sérieux."

Interview: L’ePrivacy a été élaboré il y a longtemps, mais les conclusions de cet entretien avec Jose Belo, membre du comité consultatif de l’IAPP, suggèrent qu’une loi Européenne Commune ePrivacy pourrait être plus proche que nous ne le pensons.

 

Voici pourquoi votre entreprise européenne devrait envisager de travailler avec des entreprises européennes ou non européennes qui prennent au sérieux la protection de la vie privée et le RGPD.

Quand est-ce que le Règlement ePrivacy entrera en vigueur ?

C’est une bonne question. Je pense qu’avec l’entrée en vigueur du RGPD et les besoins de conformité que le RGPD exigeait allant beaucoup plus loin que ce à quoi les entreprises s’attendaient au départ, une meilleure connaissance de l’impact commercial des règlements relatifs à la vie privée rend l’adoption du ePrivacy Regulation plus difficile pour les États membres.

Nous devons comprendre que, comme les budgets des programmes de protection de la vie privée demeurent essentiellement les mêmes, en général, et que plusieurs entreprises réduisent leurs budgets, il y a déjà beaucoup de pression économique.

Et ce n’est pas tout. Je pense aussi que l’UE veut bien faire les choses dès le premier essai. Le RGPD est devenu une référence en matière de protection des données personnelles dans le monde. Mais cela a également mis en lumière à quel point nous étions tous sous-préparés pour nous conformer au RGPD. À mon avis, le manque d’application de la loi était une décision délibérée des autorités de contrôle de permettre aux entreprises d’avoir plus de temps pour que les programmes de protection de la vie privée soient plus conformes.

Aujourd’hui, en 2022, l’application de la loi semble commencer à accélérer.

En outre, avec les décisions de la CJUE et la publication régulière de nouvelles lignes directrices, avec de nouvelles approches du RGPD (par exemple, la création des Task Forces de l’EDPB pour appliquer le RGPD), le RGPD, en soi, évolue. Grâce à cette connaissance pratique de la façon dont le RGPD est géré par les entreprises et les autorités de contrôle, l’UE adapte également le DPE pour tenir compte des leçons apprises.

Sur Jose Belo 

  • Membre du conseil consultatif européen de l’IAPP
  • Chargé de recherche à l’ISLC de l’université de Milan
  • Responsable de la confidentialité des données chez Valuer.ai, Copenhague
  • Né à Coimbra, la deuxième plus grande zone urbaine du Portugal en dehors des régions métropolitaines de Lisbonne et de Porto.
  • Plus de 6 400 followers : Suivez Jose Belo sur LinkedIn

Comment l’ePrivacy s’applique-t-il à la stratégie numérique de l’UE ?

L’UE ne doit pas perdre de vue le tableau d’ensemble : sa stratégie numérique. Et l’ePrivacy en est un élément essentiel, tout comme la Digital Services Act, la Digital Markets Act, la Data Act et la AI Act.

Avec le RGPD, règlement (UE) 2018/1807 sur la libre circulation des données non personnelles, l’ePrivacy fait partie de cette stratégie pour aider l’UE à combler le fossé existant avec d’autres pays qui sont en concurrence avec l’UE dans l’espace numérique.

 

Les entreprises de l’UE qui utilisent des fournisseurs non européens présentent-elles un risque de conformité ?

Ce qui est clair, c’est que l’UE n’a pas son propre smartphone massivement utilisé, elle n’a pas son propre fournisseur de cloud massivement utilisé, elle n’a pas ses propres médias sociaux massivement utilisés, elle n’a pas sa propre application de messagerie massivement utilisée. L’UE, en général, compte sur les produits et les services fournis par des entreprises non européennes pour faire tout cela.

Le fait est que les entreprises de l’UE utilisent encore principalement des entreprises non européennes pour combler l’écart, bon nombre d’entre elles n’étant pas conformes au RGPD. Pourtant, les entreprises prennent le risque. Cependant, ce risque pour les entreprises augmente avec chaque mesure d’exécution par les autorités de surveillance. Cela signifie qu’une diligence raisonnable adéquate en matière de protection des données pour les fournisseurs, en raison des transferts internationaux de données, est devenue l’une des priorités absolues pour les services de protection de la vie privée et des données à travers l’UE.

Ainsi, les entreprises de l’UE qui utilisent des fournisseurs non européens qui n’ont pas mis en place de mesures techniques et organisationnelles supplémentaires, comme l’exigent la CJUE et l’EDPB, ne sont pas elles-mêmes conformes au RGPD.

 

Quels sont les "chiffres" de l’UE et de la conformité ?

Ce n’est pas qu’il n’y a pas de solutions européennes qui s’appliquent aux domaines visés par le recours électronique. Elles existent. Le problème est que les entreprises et les employés de l’UE se sont habitués aux solutions non européennes.

Il y a donc aussi un changement culturel dans la gestion par un tiers que l’évolution du cadre juridique de protection de la vie privée exige en rendant plus difficiles les transferts internationaux de données :

Il est plus rentable pour les entreprises de l’UE de travailler avec des entreprises de l’UE ou non qui prennent au sérieux la protection de la vie privée et le RGPD.

La protection des droits fondamentaux des personnes concernées dans les communications électroniques au sein de l’UE (en particulier, avec le traitement des données de communication et l’utilisation de cookies et de technologies similaires, le suivi des appareils – en ligne et hors ligne –, l’identification de la ligne d’appel, les annuaires téléphoniques électroniques et les communications de marketing direct), compte tenu des lacunes de l’UE dans bon nombre de ces domaines, l’ePrivacy exige que les entreprises de l’UE travaillent avec des entreprises de l’UE ou non qui respectent les exigences de conformité extraterritoriales du RGPD.

Ou faire face aux risques croissants d’avoir à ajuster les fournisseurs non conformes de l’UE ou non à la dernière minute, car les autorités de surveillance sont de plus en plus actives dans l’application de la loi.

C’est loin d’être l’idéal. Les services de protection des données devraient être en mesure de comprendre les tendances en matière d’application de la loi, d’ajuster leurs niveaux de risque et d’adopter une approche proactive plutôt que réactive.

Cela dit, je crois fermement que le règlement sur la protection des renseignements personnels va être adopté. La question est donc de savoir quand, et non pas si.

 

La directive ePrivacy actuelle charge chaque État membre de définir ses propres lignes directrices et autorités de surveillance. La loi actuelle sur les lignes directrices en France se trouve dans la délibération (2020/091) article 205 et la loi sur les recommandations des cookies ou autres traceurs se trouve dans la délibération (1050/2018). En raison des lacunes de l’UE, ePrivacy exige des entreprises basées dans l’UE qu’elles s’assurent que leurs partenaires respectent des exigences qui dépassent les frontières du RGPD.

Merci Jose Belo! 

Avertissement: Les points de vue et opinions exprimés dans cet article sont ceux de l’auteur et ne reflètent pas nécessairement les points de vue ou positions de Cookie Information.

Prochain webinaire – France

Facebook
Twitter
LinkedIn
Email

Le meilleur Consent Manager pour entreprises et organisations

250,000 sites web nous ont déjà confié leur mise en conformité RGPD