Le déploiement d'un cadre de conformité au Règlement général sur la protection des données (RGPD) en tant que norme peut être plus simple sur le plan opérationnel pour les organisations mondiales et peut également aider à réduire le niveau de risque de confidentialité, y compris dans les pays non membres de l'UE, a déclaré un expert du secteur.
«Les exigences strictes du RGPD sur le traitement des violations de données sont bien connues, en particulier, l'obligation de signaler les violations de données personnelles aux régulateurs dans les 72 heures suivant leur connaissance (à moins que la violation n'entraîne peu de risques). Selon le niveau de risque, les violations peuvent également devoir être notifiées aux individus », a déclaré Joanna de Fonseka, associée principale pour la technologie et le commerce chez Baker McKenzie Habib Al Mulla. TechRadar Middle East.
Le RGPD a été introduit en mai 2018 et a eu un impact significatif sur la protection des données personnelles.
Selon le cabinet d'avocats DLA Piper, le GDPR a conduit à plus de 160000 notifications de violation de données à travers l'Europe et a infligé environ 126 millions de dollars d'amendes en vertu du régime GDPR jusqu'en janvier pour un large éventail d'infractions au RGPD, pas seulement pour les violations de données.
La France, l'Allemagne et l'Autriche arrivent en tête du classement pour la valeur totale des amendes imposées par le RGPD avec un peu plus de 5 millions de dollars, 26,80 millions de dollars et 19,7 millions de dollars respectivement.
Les Pays-Bas, l'Allemagne et le Royaume-Uni arrivent en tête pour le nombre de violations de données notifiées aux régulateurs avec respectivement 40 647, 37 636 et 22 181.
À ce jour, la plus grosse sanction du GDPR a été une amende de 55 millions de dollars infligée à Google.
En outre, Fonseka a déclaré que de nombreuses sociétés multinationales choisissent de plus en plus de suivre des normes de protection des données plus strictes, telles que le RGPD, à l'échelle mondiale.
Du point de vue des Émirats arabes unis, elle a déclaré qu'il n'y a actuellement aucune exigence équivalente, mais que les entreprises peuvent toujours avoir besoin de se conformer aux obligations de déclaration des violations du RGPD si leurs activités de traitement des données sont soumises au RGPD, en raison de sa large portée territoriale.
Sommaire
La loi des EAU sur la protection des données bientôt
Les autorités de régulation des EAU devraient annoncer prochainement plus de détails sur sa loi sur la protection des données personnelles.
«Une partie de la stratégie est que la confidentialité des données est cruciale pour le cyber et les Émirats arabes unis réglementent et rédigent une loi sur la protection des données. Nous examinerons les pratiques les plus performantes pratiquées dans le monde; Le RGPD en sera l'une des entrées. Nous voulons nous assurer que les réglementations mises en place sont faciles à mettre en œuvre dans différents secteurs », a déclaré récemment à TechRadar Middle East, Mohammad Al Zarooni, directeur des politiques et des programmes à la Telecommunications Regulatory Authority (TRA) des Émirats arabes unis.
Cependant, Fonseka a déclaré que les entreprises des EAU qui travaillent avec des clients de l'UE devront toujours se conformer dans la pratique même si elles-mêmes ne sont pas directement soumises au RGPD. Un client de l'UE cherchera normalement à transférer certaines obligations du RGPD contractuellement à ses fournisseurs de services hors UE, y compris en ce qui concerne la notification des violations.
«Il existe encore des avantages notables pour la réputation d'une gestion responsable des informations. Cela pourrait inclure la mise en œuvre de programmes de formation du personnel, la négociation de conditions de traitement des données solides avec les fournisseurs et le respect de bonnes pratiques de sécurité des informations, y compris le signalement des violations, le cas échéant.
«Le traitement responsable des données personnelles peut aider à promouvoir la confiance dans la marque d'une entreprise – en particulier pour les organisations en contact avec les consommateurs», a-t-elle déclaré.
Cependant, elle a déclaré que le RGPD a une application extraterritoriale et que les entreprises en dehors de l'UE devront toujours se conformer si elles offrent des biens ou des services à des particuliers dans l'UE ou surveillent le comportement des individus dans l'UE (par exemple, si elles vendent leur aux consommateurs de l'UE via un site Web destiné au marché de l'UE).
"Une entreprise des EAU pourrait donc encore être soumise à des amendes GDPR si ses activités sont prises en compte par le GDPR et qu'il ne s'y conforme pas", a-t-elle déclaré.
Lorsqu'on lui a demandé si une politique mondiale commune de confidentialité des données était meilleure ou individuelle au niveau des pays, elle a déclaré et ajouté qu'il ne faisait aucun doute que la conformité mondiale était un défi – de nouvelles lois sur la confidentialité continuent d'émerger dans le monde et leurs exigences ne s'alignaient pas toujours.
«Le RGPD est toujours l'une des normes les plus strictes au monde; nous constatons souvent que les multinationales préfèrent prendre le RGPD comme référence pour la conformité mondiale. Sur le plan opérationnel, il s'agit souvent de l'approche la plus simple et il est probable qu'il y ait également un avantage en termes de réputation », a-t-elle déclaré.
