En 2023, une série de nouveaux règlements sur la protection de la vie privée a été adoptée, tandis que d’autres, instaurés antérieurement, sont entrés en application. L’année 2024 verra l’émergence de nouvelles lois, ou la mise en œuvre de celles déjà établies. Ces réglementations, particulièrement significatives pour les grandes entreprises technologiques, auront des répercussions sur la protection des données, affectant également les tiers qui utilisent leurs plateformes et services pour atteindre le public, accéder à des données et générer des revenus.
La régulation de l’intelligence artificielle sera vraisemblablement renforcée. L’intérêt croissant pour cette technologie a joué un rôle clé dans la sensibilisation des consommateurs à l’accès et à l’utilisation de leurs données personnelles. Ces changements réglementaires, ainsi que les exigences accrues des entreprises, se traduiront par de multiples avantages pour les consommateurs, notamment une plus grande transparence, une meilleure concurrence, des innovations accrues et un éventail de choix élargi.
Examinons de plus près certaines des avancées attendues en 2024 en matière de protection des données.
2024 : Règlements et évolution des entreprises en matière de protection des données
En 2023, plusieurs lois adoptées aux États-Unis ont été promulguées et sont prévues pour entrer en vigueur en 2024. Cette évolution marquera une augmentation significative du nombre d’États américains dotés de règlements en matière de protection des données, accompagnée de nouvelles obligations pour les entreprises qui traitent des données personnelles.
Par ailleurs, 2024 devrait voir la finalisation de plusieurs importants règlements mondiaux en matière de confidentialité. Ces mesures visent à étendre ou à renforcer la protection des données pour un plus grand nombre d’utilisateurs, notamment dans des régions telles que l’Union européenne.
Les technologies visant à soutenir et à améliorer la protection de la vie privée, connues sous le nom de technologies d’amélioration de la confidentialité (PET), devraient également être au centre des préoccupations. La politique de confidentialité d’un site web sera perçue comme un élément clé pour renforcer la confiance des utilisateurs, promouvoir la transparence et s’aligner sur les responsabilités sociales de l’entreprise.
L’adoption de nouvelles lois, telles que le Digital Markets Act (DMA), entraînera vraisemblablement des modifications rapides et significatives dans les opérations des grandes entreprises technologiques, ainsi que pour les petites sociétés qui dépendent de leurs plateformes. Les protections en matière de confidentialité sont en passe de couvrir une plus grande partie de la population mondiale que jamais auparavant. Reste à voir si, comme le prévoit Gartner, elles concerneront 75 % des utilisateurs d’ici la fin de l’année.
Protection des données aux États-Unis
Huit États américains ont adopté des lois sur la protection des données en 2023, parmi lesquelles cinq seront effectivement appliquées à partir de 2024 :
- Montana Consumer Data Privacy Act (MTCDPA)
- Florida Digital Bill of Rights (FDBR)
- Texas Data Privacy and Security Act (TDPSA)
- Oregon Consumer Privacy Act (OCPA)
- Delaware Personal Data Privacy Act (DPDPA)
Actuellement, des réglementations relatives à la protection des données ont été instaurées dans 14 États sur les 50 que compte le pays, bien que 40 États aient remis la question à plus tard, certains le faisant de manière récurrente. Il est prévu que de nouvelles lois sur la confidentialité soient soumises à l’approbation des gouverneurs en 2024.
Aux États-Unis, les avancées dans ce domaine demeurent lentes, voire stagnantes. Néanmoins, des développements tels que l’intelligence artificielle générative suscitent un vif intérêt, particulièrement en ce qui concerne la protection des données. Ces sujets connexes pourraient potentiellement accélérer l’instauration d’une loi fédérale plus étendue sur la confidentialité aux États-Unis.
Protection des données au Canada
La loi C-27 présente la Loi de 2022 sur la mise en œuvre de la Charte Numérique, instaurant ainsi un nouveau cadre de gouvernance pour l’accès et l’utilisation des informations personnelles dans le secteur privé. Actuellement en phase d’examen par le comité, ce projet de loi pourrait être adopté en 2024, marquant ainsi l’entrée en vigueur de la loi sur la protection de la vie privée des consommateurs (CPPA) et remplaçant le règlement PIPEDA, en vigueur depuis plus de 20 ans.
La loi sur la mise en œuvre de la Charte Numérique engloberait également la Loi sur le Tribunal de la protection des renseignements personnels et des données, établissant ainsi un tribunal administratif chargé d’examiner certaines décisions du commissariat à la protection de la vie privée du Canada et d’imposer des sanctions en cas de violation de la loi CPPA.
Cette législation vise également à faire face à la croissance de l’influence et de l’utilisation de l’intelligence artificielle, en introduisant la Loi sur l’intelligence artificielle et les données (AIDA). Cette dernière proposerait une régulation du commerce dans les systèmes d’IA, adoptant une approche basée sur les risques. Tout nouvel ensemble de réglementations ou cadre réglementaire concernant l’IA devrait mettre l’accent sur la protection des données, en particulier celles des consommateurs
Protection des données en Australie
Le Privacy Act est en vigueur en Australie au niveau fédéral depuis 1988, complété par d’autres lois fédérales et territoriales. Bien qu’ayant été modifié pour la dernière fois en 2022, une révision est attendue depuis un certain temps. En février 2023, le Privacy Act Review Report, comprenant 116 propositions, avait été publié. Les incidents de violations de données à grande échelle des dernières années augmentent probablement la nécessité de renforcer la protection des données et des citoyens australiens. De nouveaux changements sont donc attendus en 2024.
Règlement ePrivacy dans l’UE
Au sein de l’Union européenne, la directive ePrivacy (ePD) est en vigueur depuis 2018, donc depuis aussi longtemps que le règlement général sur la protection des données (RGPD). Cependant, le règlement ePrivacy (ePR), destiné à remplacer l’ePD, accuse un certain retard. Au cours des dernières années, l’UE a adopté d’autres lois relatives à la protection des données, notamment la Législation sur les marchés numériques (Digital Markets Act, DMA), et la loi sur l’intelligence artificielle, qui devrait être adoptée début 2024.
L’ePR établirait, entre autres, des directives plus claires sur l’utilisation des cookies et régulerait les nouveaux services de communication électronique non couverts par l’ePD, tels que WhatsApp ou Facebook Messenger, entre autres. Toutefois, avec une période de transition de 24 mois, il ne devrait pas entrer pleinement en vigueur avant 2026 s’il est finalisé en 2024.
Règlements relatifs à l’intelligence artificielle (IA)
La loi sur l’IA de l’Union européenne, attendue pour le début de l’année 2024, sera la première de son genre. Celle-ci prévoit d’introduire de nouvelles règles, directives et interdictions concernant le développement et l’utilisation de l’IA au sein de l’UE. Elle pourrait également exercer une influence significative sur l’élaboration de lois similaires dans d’autres pays, comme le RGPD l’avait fait lors de son entrée en vigueur.
Le président des États-Unis, Joe Biden, a également signé un décret présidentiel pour une utilisation plus sûre de l’IA en octobre 2023, qui influencera également les progrès dans ce domaine.
Lois du Digital Services Act Package
Dans notre récapitulatif de 2023, nous avions déjà évoqué l’ensemble des lois du Digital Services Act Package, qui comprend le Digital Services Act (DSA) et le Digital Markets Act (DMA). Certaines de leurs exigences ont commencé à être mises en œuvre dès 2023, mais elles entreront pleinement en vigueur au début de 2024.
Ces législations imposent des exigences de conformité aux grandes entreprises technologiques désignées, qui, à leur tour, devront veiller à la conformité de leurs clients et partenaires tiers. Elles pourraient donc avoir un impact bien plus marqué que des réglementations telles que le RGPD sur la conformité en matière de protection de la vie privée, en particulier pour les petites entreprises, surtout dans l’UE. Un exemple en est l’obligation de Google d’utiliser une plateforme de gestion des consentements certifiée et prenant en charge le TCF 2.2 ainsi que le mode Consentement.
Restez attentifs aux changements importants qui débuteront en 2024 et affecteront les options des consommateurs, les opérations commerciales et la compétitivité sur les marchés numériques, comme par exemple l’adoption de plateformes de gestion des consentements (CMP) pour assurer la conformité de votre site web en matière de protection de la vie privée et de consentement.
Quel avenir pour le système « Pay or Okay » ?
Confrontée aux défis constants en matière de protection des données, l’Union européenne a réagi à la loi sur les marchés numériques (Digital Markets Act, DMA) qui la désigne comme « contrôleur d’accès ». En réponse, Meta, la société mère de Facebook et Instagram, a annoncé son intention de mettre en place un nouveau modèle d’abonnement appelé « Pay or Okay » (payer ou accepter), permettant aux utilisateurs de payer un abonnement mensuel pour accéder à Facebook et Instagram sans publicité.
Dans l’Union européenne, l’Espace économique européen (EEE) et en Suisse, les utilisateurs de Facebook et Instagram auront la possibilité de souscrire un abonnement payant mensuel pour éviter de recevoir des publicités. Les utilisateurs qui auront choisi de ne pas payer continueront de recevoir des publicités, et leurs données personnelles seront collectées et utilisées, notamment pour des annonces ciblées.
Toutefois, à la fin de 2023, plusieurs groupes, dont le Bureau européen des unions de consommateurs (BEUC), ont déposé plainte contre Meta concernant son projet d’abonnement, jugé abusif et perçu comme une autre tentative de contourner les lois de l’UE. Cette question devrait évoluer en 2024 et susciter une attention particulière de la part d’autres grandes entreprises technologiques.
Conclusions sur l’engagement pour la protection des données
Le meilleur mot pour définir le secteur de la protection des données en 2024 est probablement “accélération”. En effet, de nombreux changements initiés en 2023 se poursuivront cette année, influençant de nouvelles lois, exigences commerciales, technologies et attentes des consommateurs.
La protection des données prend de plus en plus d’importance pour les activités commerciales et la préservation de l’image d’une marque, ainsi que son chiffre d’affaires. Les entreprises sont de plus en plus attentives aux risques de non-conformité et aux opportunités liées à la protection des données et au respect de la vie privée des utilisateurs. Il est probable que la protection des données dans le secteur mobile, par exemple, gagne encore en importance en 2024.
Dans certaines régions, les entreprises constatent qu’elles doivent se conformer à de multiples réglementations, un défi particulièrement ardu pour les PME aux ressources limitées. Toutefois, ne vous laissez pas intimider par cette nouvelle norme : Usercentrics est là pour vous apporter son soutien. Nous nous efforçons de concevoir des solutions fiables et accessibles pour soutenir la croissance de votre entreprise face à l’évolution constante de la technologie et des réglementations.
Usercentrics (Cookiebot™) ne fournit pas de conseils juridiques, et les informations sont fournies uniquement à des fins pédagogiques. Nous recommandons toujours de faire appel à un conseiller juridique qualifié ou à des spécialistes de la protection de la vie privée en ce qui concerne les questions et les opérations relatives à la confidentialité et à la protection des données.