Reston, VA. – 17 septembre 2019 – L’Online Trust Alliance (OTA), une initiative d’Internet Society, qui identifie et promeut les meilleures pratiques en matière de sécurité et de protection de la vie privée visant à renforcer la confiance des utilisateurs dans Internet, a annoncé aujourd’hui les résultats de son dernier rapport intitulé « Les organisations sont-elles prêtes pour une nouvelle réglementation relative à la protection de la vie privée » ? Pour cela, l’OTA a analysé 29 variables de 1 200 déclarations de confidentialité en s’appuyant sur les thèmes communs dont traitent les trois principales réglementations : le Règlement général sur la protection des données (GDPR) de l’Union européenne, la Loi californienne sur la protection de la vie privée (CCPA) et la Loi canadienne sur la protection des informations personnelles et les documents électroniques (LPRPDE).
Le rapport a révélé que les déclarations de confidentialité de nombreuses organisations ne respectent pas les principes de confidentialité courants, énoncés dans les RGPD, CCPA et LPRPDE, y compris le droit de l’utilisateur de demander des informations, de comprendre comment ses données sont partagées avec des tiers et la capacité de supprimer ces informations sur demande. Les organisations ont également le devoir d’informer les utilisateurs en utilisant un message facilement compréhensible.
Bien que les organisations auditées soient principalement basées aux États-Unis et qu’elles n’aient pas encore l’obligation légale de se conformer à toutes ces exigences, ces réglementations représentent des points de repère généraux pour le respect de la vie privée des utilisateurs et ouvrent la voie à de nouvelles lois qui entreront en vigueur en 2020, notamment la Loi californienne sur la protection de la vie privée (CCPA).
Les organisations ont été auditées dans les rubriques suivantes :
Le traitement des données
- La majorité (98 %) des déclarations de confidentialité ont fait allusion au partage de données, notamment les deux tiers (67 %) déclarant ne pas partager de données avec des tiers. En revanche, moins de 1 % des organisations ont mentionné les types de tiers qui pouvaient accéder aux données des utilisateurs.
- Bien que cela ne soit pas encore obligatoire aux États-Unis, aucune des organisations auditées n’a mentionné que les utilisateurs sont informés de l’utilisation ou de la cession de leurs informations.
- Un grand nombre d’incidents cybernétiques majeurs ont révélé une sorte de défaillance imputable à un tiers. De nombreuses réglementations relatives à la protection de la vie privée imposent désormais aux tiers avec lesquels les organisations travaillent de se conformer aux mêmes normes de partage de données que celles auxquelles elles se conforment. À l’heure actuelle, seulement 57 % des organisations déclarent exiger le respect de cette norme aux tiers.
- De nombreuses réglementations relatives à la protection de la vie privée considèrent la conservation des données comme un concept important, car de nombreuses publications de données non autorisées se produisent lorsqu’un intrus accède à des informations stockées que l’organisation n’avait pas besoin de conserver. Seulement 2 % des organisations ont mentionné la conservation des données.
Accès de l’utilisateur aux données
- Lorsque la CCPA entrera en vigueur en janvier 2020, les organisations devront indiquer explicitement comment les utilisateurs peuvent accéder à leurs données et éventuellement demander leur suppression. Actuellement, la quasi-totalité des organisations ne précise pas explicitement comment s’y prendre pour adresser cette demande.
Les déclarations sont compréhensibles et la date d’entrée en vigueur est claire.
- Les déclarations de confidentialité doivent être faciles à trouver et simples à comprendre pour les utilisateurs. L’une des caractéristiques des déclarations de confidentialité est leur disponibilité dans plusieurs langues. Seulement 3,5 % des organisations auditées souscrivent à cette exigence.
- Pour la première fois en 2019, l’OTA vérifié particulièrement l’application du concept de « lisibilité ». Les analystes de l’OTA ont noté chaque déclaration. Seul 32 % des organisations proposaient des déclarations « lisibles » selon les normes de l’OTA. Les réglementations relatives au respect de la vie privée dans le monde répondent toutes à l’exigence de lisibilité, bien qu’elles diffèrent par l’interprétation qu’elles font de ce concept. Toutes les organisations, sans distinction, doivent comprendre ces normes et veiller à ce que leurs déclarations de confidentialité soient conformes à celles-ci, ce que la plupart ne font pas d’après l’OTA.
- En plus d’être lisibles, les déclarations doivent également inclure des horodatages qui renseigneront les utilisateurs sur leur date effective d’entrée en vigueur. Sur l’ensemble des organisations auditées, 70 % avaient un horodatage inclus quelque part sur la page, dont 46 % en haut de page, 22 % en bas de page et 2 % sur les deux emplacements.
« Les réglementations relatives à la protection de la vie privée évoluent dans le monde et la conformité à celles-ci sera bientôt une nécessité et plus un choix », a déclaré Kenneth Olmstead, analyste de la sécurité et de la confidentialité sur Internet à Online Trust Alliance, une initiative d’Internet Society. « Aux États-Unis seulement, plusieurs États ont mis en place des lois sur la protection de la vie privée. Il est dans l’intérêt de toutes les organisations de s’informer sur les modifications éventuelles de ces lois. La protection des données des clients sera non seulement un élément essentiel de la fidélisation et de la confiance, mais également une obligation à remplir pour éviter de lourdes amendes ».
L’OTA organisera un webinaire public portant sur les conclusions de son enquête, le jeudi 26 septembre à 13 h, heure de l’Est /17 h UTC. Visitez https://www.internetsociety.org/privacystatements pour obtenir de plus amples informations.
À propos d’OTA
L’Online Trust Alliance (OTA) est une initiative d’Internet Society dont l’objectif est d’identifier et de promouvoir les meilleures pratiques en matière de sécurité et de protection de la vie privée renforçant la confiance des utilisateurs dans Internet. Les principales organisations publiques et privées, fournisseurs, chercheurs et décideurs, contribuent et respectent les directives de l’OTA, dans l’optique de rendre les transactions en ligne plus sûres et de mieux protéger les données des utilisateurs. Internet Society est une organisation internationale à but non lucratif dont la mission est de garantir un Internet ouvert, connecté et sécurisé à tous les utilisateurs.
Contact :
Ashley Mann
Voxus PR (Pour OTA)
+1 253 444 5955
[email protected]