Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial DEMO

Loi de protection des données de 2018

Accueil Glossaire Loi sur la protection des données de 2018

Qu’est-ce que la Loi sur la protection des données ? La Loi sur la protection des données de 2018 est la loi sur la vie privée des données qui s’applique au Royaume-Uni.

De nombreuses instances législatives dans le monde ont adopté des réglementations sur la vie privée des données. La Loi sur la protection des données de 2018 équivaut à celles-ci pour le Royaume-Uni. Elle s’applique à toutes les entreprises ou organisations collectant des informations personnelles non publiques (NPI) auprès des résidents du Royaume-Uni.

Loi de protection des données de 2018

Ce qui a donné lieu à la Loi sur la protection des données

Avant 2018, la loi régissant la protection des données au Royaume-Uni était la Loi sur la protection des données de 1998. Au cours des années qui ont suivi, il y a eu de nombreuses avancées technologiques dans le domaine numérique qui ont fortement influencé la manière dont les organisations collectent et traitent les données personnelles. Cela a entraîné des violations très médiatisées, ainsi que d’autres moins graves, des informations personnellement identifiables (IPI), mettant ainsi en danger les entreprises et les consommateurs.

Des pays européens, tels que le Royaume-Uni et la France, ont commencé à discuter de la mise à jour de leurs régimes de protection des données par le biais de l’adoption de réglementations individuelles en matière de conformité à la protection des données. Pendant ce temps, l’Union européenne a adopté le Règlement général sur la protection des données (RGPD). En avançant rapidement jusqu’en 2018, le Royaume-Uni a voté en faveur de sa sortie de l’UE par le biais du célèbre processus du Brexit. Cependant, le Royaume-Uni avait besoin d’une loi pour garantir que les protocoles du RGPD continueraient à s’appliquer aux résidents du Royaume-Uni.

Le résultat a été l’adoption de la Loi sur la protection des données en 2018. En plus du RGPD, la Loi sur la protection des données est similaire en termes de portée à la Loi sur la protection des renseignements personnels et des documents électroniques (PIPEDA) au Canada et à la Loi californienne sur la protection de la vie privée des consommateurs (CCPA).

Données Personnelles telles que Définies dans la Loi

La Loi sur la protection des données définit les données personnelles comme toute information pouvant être utilisée pour identifier une personne vivante, que ce soit en totalité ou en partie.

Données de Catégorie Spéciale

La Loi définit les données de catégorie spéciale comme des données personnelles sensibles, ce qui nécessite un niveau encore plus élevé de confidentialité et de protection. Cela inclut des données telles que :

  • Biométriques
  • Race
  • Orientation sexuelle
  • Croyances religieuses
  • Opinions politiques
  • État de santé physique et mental
  • Vie sexuelle et orientation sexuelle

Données Confidentielles

Les données confidentielles sont toutes les données partagées en toute confiance entre deux parties. Elles peuvent être d’ordre personnel ou non. Cependant, tant qu’elles ne sont pas dans le domaine public, elles sont protégées par la Loi sur la protection des données.

Différences Entre la Loi sur la Protection des Données et le RGPD

La Loi sur la protection des données étend les mêmes protections que le RGPD aux résidents de l’UE. Elle hérite principalement de tous les principes du RGPD avec seulement quelques différences, principalement pour clarifier les problèmes spécifiques à chaque pays. Une différence clé est que la Loi sur la protection des données prévoit des amendes illimitées pour les entreprises et les individus qui accèdent à des données anonymisées et tentent de les identifier.

Une autre différence est que la Loi sur la protection des données va plus loin et prévoit certaines exceptions permettant le traitement de données personnelles sans consentement de l’utilisateur. Il s’agit principalement des questions liées à la sécurité nationale, à l’immigration et aux services de renseignement.

Une autre différence notable concerne l’âge du consentement valide pour le traitement de données personnelles. Dans le RGPD de l’UE, l’âge est de 16 ans, tandis qu’il est de 13 ans dans la Loi sur la protection des données.

Comment Se Conformer à la Loi sur la Protection des Données

La question la plus cruciale pour les entreprises collectant des données auprès des résidents du Royaume-Uni est de savoir comment se conformer à toutes les dispositions de la Loi sur la protection des données.

Tout comme c’est le cas avec d’autres lois sur la vie privée dans le monde, la conformité n’est pas facile, surtout lorsque les pratiques de gestion des risques liés à la cybersécurité d’une organisation ne sont pas robustes. Voici quelques-unes des principales exigences de la Loi sur la protection des données :

Publier une Politique de Confidentialité

Pour garantir la conformité réglementaire, une politique de confidentialité partagée publiquement avec les utilisateurs d’une entreprise est obligatoire. Elle doit être rédigée en langage clair pour décrire les activités de collecte et de traitement des données.

Indiquer la Base Légale pour le Traitement des Données Personnelles

Conformément à la Loi sur la protection des données, il existe plusieurs bases légales pour le traitement des données personnelles. Elles sont les mêmes que celles du RGPD :

  • Consentement de l’utilisateur (raison la plus courante pour laquelle les entreprises traitent des données personnelles)
  • Exécution d’un contrat
  • Obligation légale
  • Intérêt public
  • Intérêt légitime
  • Intérêt vital

La raison commerciale de collecter et de traiter des données personnelles identifiables (DPI) doit relever de l’une de ces bases pour être conforme à la loi.

Consentement pour la Collecte et le Traitement

Après avoir établi une base légale, la prochaine étape consiste à obtenir le consentement de l’utilisateur pour la collecte et le traitement de ses données. Pour que le consentement soit légal au Royaume-Uni, il doit être :

  • Donné librement
  • Explicite
  • Non équivoque
  • Informé
  • Enregistré

Pour répondre à ces critères, les organisations doivent informer les utilisateurs des droits que nous avons précédemment mentionnés et les respecter.

Nommer un Délégué à la Protection des Données

La Loi sur la Protection des Données exige que vous nommiez un Délégué à la Protection des Données si vous êtes un organisme public ou si votre entreprise effectue une collecte et un traitement systématiques à grande échelle de données personnelles.

Le nom et les coordonnées du Délégué à la Protection des Données doivent être clairement affichés dans votre politique de confidentialité.

Établir des Protocoles en Cas de Violation de Données

En cas de violation de données entraînant la divulgation de DPI appartenant à des résidents du Royaume-Uni, la Loi sur la Protection des Données oblige les organisations à informer l’Information Commissioner’s Office au Royaume-Uni dans les 72 heures. Les personnes affectées doivent également être informées de la violation et des mesures prises pour protéger leurs données.

Mettre en Place la Collecte et la Conservation des Données

Pour garantir la conformité à la Loi sur la Protection des Données, il est impératif que les organisations limitent la collecte et la conservation des données uniquement aux raisons les plus nécessaires. Conserver des données personnelles inutilisées ou les traiter au-delà de ce qui a été initialement consenti constitue une violation de la loi, pouvant entraîner une amende.

Créer la Confidentialité par Conception

La confidentialité par conception est un élément important de toutes les lois sur la vie privée. Il s’agit d’une politique de cybersécurité, ce qui signifie que tous les processus, systèmes, infrastructures et personnes traitant des DPI doivent avoir une approche axée sur la confidentialité dès le départ.

Les Sept Principes de la Loi sur la Protection des Données

Pour les organisations traitant des DPI de résidents au Royaume-Uni, la compréhension des sept principes de la Loi sur la Protection des Données est la clé de la conformité à cette loi. Ces principes devraient être les valeurs directrices et le socle d’une organisation lors de la collecte et du traitement de toutes les données personnelles.

En parcourant ces principes, les lecteurs constateront qu’ils s’appliquent à plusieurs lois sur la protection des données et à plusieurs juridictions. Dans une large mesure, ces principes s’appliquent au RGPD, au PIPEDA, au CCPA, à la loi sur la portabilité et la responsabilité en matière d’assurance maladie (HIPAA), à la loi sur l’amélioration de la collecte des dettes (DCIA) et à la loi japonaise sur la protection des informations personnelles (APPI).

Légalité, Équité et Transparence

Ce principe stipule que l’utilisation des données personnelles doit être légale et équitable, et que les utilisateurs doivent comprendre ce à quoi ils s’engagent. La Loi sur la Protection des Données exige que les organisations utilisent un langage clair, simple et précis dans leurs politiques de gestion des données.

Limitation de la Finalité

Ce principe stipule que les DPI ne doivent être utilisées que pour la finalité spécifique pour laquelle elles ont été prévues et pour laquelle l’utilisateur a été dûment informé et a compris. Le principe vise à réduire les cas où les données personnelles collectées à des fins initiales sont traitées de manière irrégulière à d’autres fins en dehors de la finalité initiale.

Minimisation des Données

Ce principe limite la capacité d’une organisation à collecter des données à une échelle dépassant leur utilisation légale. Il stipule que les organisations doivent collecter des données pertinentes et limitées à leur finalité prévue.

Exactitude

Il s’agit d’un principe bien connu de la plupart des lois sur la protection de la vie privée. Il signifie simplement que toutes les données personnelles doivent être exactes, et que les organisations ont la responsabilité de mettre à jour les données inexactes sur demande d’un utilisateur.

Limitation du Stockage

À moins d’être justifiée, les organisations ne devraient pas stocker indéfiniment des données personnelles.

Intégrité et Confidentialité

C’est peut-être le principe autour duquel la plupart des organisations luttent lorsque des violations de données personnelles se produisent. Ce principe exige que des mesures appropriées soient prises pour sécuriser les données personnelles au moyen de contrôles physiques et numériques.

Responsabilité

Le dernier principe exige que les organisations tiennent des dossiers appropriés pour démontrer leur conformité à la Loi sur la Protection des Données.

Droits Individuels des Utilisateurs en Vertu de la Loi sur la Protection des Données

En plus des sept principes, la Loi sur la Protection des Données énonce les droits individuels des citoyens que les organisations doivent respecter. Les principes et les droits respectifs constituent la majeure partie de la Loi sur la Protection des Données. Les organisations doivent se conformer aux éléments suivants pour respecter la Loi sur la Protection des Données :

Droit d’Être Informé

Les utilisateurs ont le droit d’être informés lorsque leurs données personnelles sont collectées, traitées, utilisées et partagées. Les organisations sont responsables de communiquer la finalité prévue de la collecte et du traitement de ces données et de solliciter un consentement éclairé.

Droit d’Accès

Les utilisateurs ont le droit de demander l’accès à toutes leurs données détenues par une organisation.

Droit de Rectification

Cela correspond au principe de l’exactitude que nous avons abordé dans la section précédente. Les utilisateurs ou les sujets de données, tels que définis dans la Loi sur la Protection des Données, ont le droit de demander la rectification de leurs données personnelles.

Droit à l’Oubli

C’est le célèbre droit à l’oubli que de nombreuses grandes entreprises ont tenté de contester devant les tribunaux. Il donne aux sujets de données le droit de demander la suppression de leurs données personnelles. Cela s’applique lorsque l’individu estime qu’il n’y a aucune raison pour une organisation de continuer à détenir et à traiter ses données.

Droit à la Limitation du Traitement

Les sujets de données ont le droit de bloquer ou de supprimer le traitement de leurs données personnelles en raison de données inexactes ou en attendant une objection légale.

Droit à la Portabilité des Données

Les utilisateurs ont le droit de s’assurer que leurs données personnelles sont accessibles dans un format permettant la réutilisation de ces données sans avoir à les soumettre à plusieurs reprises.

Droit d’Opposition

Dans certaines circonstances, les individus ont le droit de s’opposer au traitement de leurs données personnelles. Les organisations ont l’obligation d’informer les sujets de données de ce droit.

Droit de Contester la Décision Automatisée et le Profilage

Les individus ont le droit de s’opposer à la prise de décision automatisée en ce qui concerne leurs données personnelles et à tout profilage effectué par un processus automatisé. Ils ont le droit de demander une révision par un être humain.

Sanctions en Cas de Non-Conformité

La Loi sur la Protection des Données énonce les sanctions en cas de non-conformité, notamment une amende maximale de 17,5 millions de livres sterling ou 4 % du chiffre d’affaires mondial de l’année financière précédente pour les cas de non-conformité les plus graves. En cas de défaut de notification à l’Information Commissioner’s Office du Royaume-Uni d’une violation et d’autres infractions, l’amende maximale est de 8,7 millions de livres sterling ou 2 % du chiffre d’affaires mondial de l’entreprise. D’autres sanctions, telles que définies dans la Loi sur la Protection des Données, comprennent une interdiction temporaire ou permanente de collecte et de traitement de données.

Conformité aux Communications de Contenu Sensible

Les organisations ont besoin d’une approche complète de la vie privée et de la conformité pour les communications de contenu sensible. La conformité réglementaire à la Loi sur la Protection des Données exige que les organisations suivent, contrôlent et sécurisent les communications privées de DPI, à la fois internes et externes, et soient en mesure de démontrer une piste d’audit basée sur la manière dont elles sont sécurisées en transit et au repos, qui y accède, avec qui elles sont partagées et quels appareils ont été utilisés.

Comme les organisations utilisent souvent de multiples canaux de communication, notamment l’e-mail, le partage de fichiers, le transfert de fichiers sécurisé, le transfert de fichiers géré, les formulaires web et les interfaces de programmation d’applications (API), une approche unifiée est nécessaire. Cependant, la plupart des organisations utilisent plus de quatre outils pour gérer les communications de contenu sensible, ce qui crée de la complexité et un risque accru.

La plateforme Kiteworks permet aux organisations de créer des Réseaux de Contenu Privé utilisés pour la gouvernance, la conformité et la protection des communications de contenu sensible. Planifiez une démonstration personnalisée de la plateforme Kiteworks pour découvrir comment elle unifie, suit, contrôle et sécurise les DPI et aide les organisations à se conformer à la Loi sur la Protection des Données et à d’autres réglementations.

 

Retour au Glossaire de la Gestion des Risques et de la Conformité

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

See Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN
Partagez
Tweetez
Partagez
Get A Demo