Ce à quoi on peut s'attendre en 2023 : Tendances en matière de cybersécurité et de confidentialité des données

La nouvelle année bat son plein et il est temps d'examiner les principales tendances en matière de cybersécurité et de confidentialité des données que notre équipe prévoit pour 2023. Cette année s'annonce passionnante en raison de la multitude de nouvelles lois qui entreront en vigueur, et les organisations devront mettre à jour leurs programmes mondiaux de cybersécurité et de confidentialité des données en conséquence. Que ce soit au niveau national, fédéral ou international, ces évolutions sont susceptibles d'avoir un impact sur les entreprises de tous les secteurs au cours des prochains mois :

Lois étatiques sur la protection de la vie privée des consommateurs

La Californie, la Virginie, le Colorado, le Connecticut et l'Utah sont les cinq États qui ont promulgué des lois exhaustives sur la protection de la vie privée des consommateurs. La California Privacy Rights Act (CPRA) et la Virginia Consumer Data Protection Act (VCDPA) sont entrées en vigueur le 1er janvier, tandis que celles du Colorado, du Connecticut et de l'Utah entreront en vigueur plus tard dans l'année.

Bien que la CPRA soit déjà en vigueur, la première série de règlements ne devrait pas être finalisée avant avril 2023. En outre, les règlements actuels ne comprennent pas de dispositions relatives à l'intelligence artificielle (IA), aux audits de cybersécurité ou aux évaluations des risques liés à la confidentialité, et l'Agence californienne de protection de la vie privée (CPPA) a récemment entamé le processus d'élaboration de règlements sur ces sujets. De plus, la CPRA est actuellement la seule loi qui s'applique aux informations relatives à l'emploi et aux relations interentreprises, car la CPPA n'a pas indiqué qu'elle prévoyait d'étendre l'exception partielle et temporaire prévue par la loi californienne sur la protection de la vie privée des consommateurs (CCPA).

Le Colorado est le seul autre État à avoir publié des réglementations relatives à sa loi sur la protection de la vie privée des consommateurs. Le procureur général du Colorado a récemment publié un projet de réglementationsur la loi relative à la protection de la vie privée des consommateurs (CPA) et commencera à organiser des réunions avec les parties prenantes en 2023. Bien que la CPA n'entre en vigueur que le 1er juillet, les organisations devraient commencer à évaluer l'impact de la CPA et du projet de réglementation sur leur programme global de protection de la vie privée.

De nombreux autres États envisagent également d'adopter des lois exhaustives sur la protection de la vie privée des consommateurs, ce qui obligera les organisations à adapter en permanence leurs programmes de protection des données. Plus précisément, les organisations devront répertorier les données personnelles qu'elles utilisent, la manière dont elles les collectent, les personnes qui y ont accès et l'endroit où elles sont stockées. Elles devront notamment évaluer si leur utilisation des données et leurs pratiques publicitaires sont conformes à ces nouvelles exigences. Les organisations doivent également revoir leurs politiques de confidentialité et les avis connexes lors de la collecte afin de s'assurer que les informations nécessaires sont communiquées aux consommateurs, aux employés/candidats et aux contacts interentreprises, le cas échéant. Étant donné que les lois sont en constante évolution, les organisations doivent également suivre les développements au sein des législatures des États et d'autres juridictions mondiales applicables.

Réglementations relatives à l'IA et au traitement automatisé

En 2023, les organisations seront soumises à de nouvelles obligations en matière d'IA et de traitement automatisé en vertu de quatre nouvelles lois étatiques sur la protection de la vie privée des consommateurs. Si les organisations soumises au règlement général sur la protection des données (RGPD) connaissent probablement les exigences légales relatives à l'IA et au traitement automatisé, le paysage réglementaire aux États-Unis reste incertain et il n'est pas clair s'il y aura un chevauchement significatif entre le RGPD et les lois étatiques sur la protection de la vie privée. Les nouvelles lois sur la protection de la vie privée des consommateurs en Californie, au Colorado, dans le Connecticut et en Virginie comportent des exigences liées à l'IA et au traitement automatisé, telles que des évaluations d'impact sur les traitements à haut risque et des droits de refus, mais des questions subsistent quant à la manière dont les États traiteront les préjudices causés aux consommateurs et les demandes de suppression, et quant au type d'informations que les organisations devraient fournir aux consommateurs en matière de traitement automatisé. Au cours de l'année, les organisations qui utilisent l'IA ou les technologies de traitement automatisé doivent garder à l'esprit que de nouvelles exigences sont susceptibles d'apparaître, car le processus d'élaboration de la réglementation est en cours en Californie et le Colorado a publié des propositions de réglementation.

Confidentialité des enfants

Le gouvernement continue de se concentrer sur la protection de la vie privée des enfants. La Californie a récemment promulgué la loi California Age-Appropriate Design Code Act(CAADCA), qui entrera en vigueur le 1er juillet 2024. La CAADCA vise à protéger le bien-être, les données et la vie privée des enfants qui utilisent des plateformes en ligne et s'inspire du Age Appropriate Design Code récemment promulgué au Royaume-Uni. Au niveau fédéral, la Federal Trade Commission (FTC) continue d'appliquer de manière stricte la loi sur la protection de la vie privée des enfants en ligne (COPPA) en infligeant de lourdes amendes. Les entreprises qui proposent des services en ligne destinés aux enfants ou qui ont des raisons de savoir que des enfants de moins de 13 ans utilisent leurs services doivent se conformer à la COPPA et aux lois des États.

Cadre de protection des données UE-États-Unis

L'UE et les États-Unis se sont mis d'accord l'année dernière sur un régime de transfert de données et l'UE a récemment publié son projet de décision d'adéquation concernant le cadre de protection des données entre l'UE et les États-Unis (DPF). Si elle est adoptée, cette décision préliminaire établira que les États-Unis offrent des garanties appropriées aux consommateurs européens et assurent un niveau de protection adéquat pour les données personnelles transférées de l'UE vers des organisations américaines. Bien que le DPF ait été salué par les responsables européens et américains, les régulateurs européens envisagent déjà de le contester, estimant qu'il ne répond pas au niveau de protection requis par le RGPD.

Mesures coercitives et litiges intensifiés

L'année 2022 a marqué la première mise en applicationde la loi californienne sur la protection de la vie privée des consommateurs (CCPA), et l'on s'attend à ce que les régulateurs nationaux et internationaux redoublent d'efforts pour identifier et prendre des mesures coercitives à l'encontre des entités qu'ils estiment enfreindre les lois sur la confidentialité et la sécurité des données.

Dans le même temps, l'avocat général de l'UE a indiqué que les personnes concernées ne peuvent pas prétendre automatiquement à une indemnisation pour des violations techniques du RGPD sans préjudice matériel ou immatériel, mais peuvent uniquement être indemnisées pour un préjudice réel. Cela pourrait réduire le nombre de plaintes privées au titre du RGPD.

Programmes de cybersécurité et plans d'intervention en cas d'incident

La cybersécurité reste une priorité absolue pour les organisations, car les cyberattaques, notamment les ransomwares et les cyber-extorsions, continuent d'augmenter d'année en année. Selon le rapport d'enquête sur les violations de données de Verizon, les attaques par ransomware ont augmenté de 13 % l'année dernière et devraient encore augmenter en 2023. Même les organisations les plus importantes et les plus sophistiquées peuvent être victimes de violations de données à la suite de cyberattaques. Les organisations doivent donc surveiller de manière proactive les risques et mettre à jour leurs programmes de cybersécurité et leurs plans d'intervention en cas d'incident afin de se défendre et de réagir efficacement aux cyberattaques.

Une multitude de nouvelles lois sont proposées pour cette année, telles que la réglementation sur la cybersécurité du Département des services financiers de New York (NYDFS), les exigences de divulgation en matière de cybersécurité de la Securities and Exchange Commission (SEC) pour les entreprises publiques et la loi sur la notification des incidents de cybersécurité pour les infrastructures critiques (CISA) qui pourrait entrer en vigueur. Les organisations doivent donc rester attentives à ces développements lorsqu'elles élaborent leurs programmes de cybersécurité et leurs plans d'intervention en cas d'incident.

Lois nationales sur la notification des violations de données

De plus, les lois étatiques relatives à la notification des violations de données évoluent constamment et imposent des exigences nouvelles et différentes. Les organisations doivent se faire un devoir de suivre ces changements afin de comprendre leurs obligations en cas de violation de données et de mettre à jour leurs plans d'intervention en conséquence. Pour en savoir plus sur les lois étatiques relatives à la notification des violations de données et leur évolution, veuillez consulter le tableau de Foley sur la notification des violations de données par État ici.

Pour plus d'informations sur la conformité aux lois relatives à la cybersécurité et à la confidentialité des données et sur la mise en place d'un programme efficace, veuillez contacter l'un des associés ou conseillers juridiques principaux de l'équipe Cybersécurité et confidentialité des données de Foley.