Comparaison des approches et pratiques de protection des données personnelles en Russie et dans l'UE
En effet, avec toute action commise par l'utilisateur sur Internet, il y a d'une manière ou d'une autre la manipulation des données personnelles de l'utilisateur.
Nous ne payons pas pour de nombreux services que nous recevons sur Internet: pour rechercher des informations, pour des e-mails, pour stocker nos données dans le cloud, pour communiquer sur les réseaux sociaux, etc. Cependant, ces services ne sont que conditionnellement gratuits: nous les payons avec nos données que ces entreprises transforment ensuite en argent, principalement par la publicité.
Actuellement, les données sur le sexe, l'âge et le lieu de résidence, l'historique des recherches -
La fondation de l'industrie de la publicité en ligne, qui s'élève à des milliards de dollars et d'euros. Autrement dit, d'un point de vue juridique, les données personnelles sont des matériaux pour faire des affaires. En conséquence, les entreprises font de gros efforts et dépensent des fonds considérables pour obtenir et traiter des données personnelles. Les enquêtes menées en 2018 montrent que les utilisateurs, réalisant la valeur de leurs données personnelles, sont de plus en plus insatisfaits de la manière dont les entreprises traitent leurs données personnelles.
La réglementation dans le segment de l'utilisation des données des utilisateurs n'a pas encore pris forme et est à la traîne du développement des technologies non seulement en Russie mais dans le monde entier, par conséquent, l'équilibre des intérêts des consommateurs et des entreprises dans le modèle «argent - service - données - argent» est construit aujourd'hui par les régulateurs et les accords tacites entre la société et les entreprises. Les régulateurs restreignent les capacités des sociétés informatiques et étendent les droits des utilisateurs: ils introduisent de nouvelles lois qui donnent aux utilisateurs plus de contrôle sur les informations qu'ils fournissent.
Il est intéressant de comparer les approches des régulateurs des pays européens et de la Russie. En Russie, les principaux actes réglementaires régissant le traitement des données personnelles sont la loi fédérale sur la protection des données personnelles (152-FZ) plus le code des infractions administratives, qui établit directement le montant spécifique des amendes pour violation de la procédure de traitement des données personnelles. Les amendes administratives à compter du 1er juillet 2017 ont considérablement augmenté. Dans le même temps, de nouvelles amendes ont été fixées en fonction du type d'infraction commise. Ainsi, les fonctionnaires peuvent être condamnés à une amende de 3 000 à 20 000 roubles, les entrepreneurs individuels - de 5 000 à 20 000 roubles, les organisations - de 15 000 à 75 000 roubles. De plus, ils peuvent être tenus responsables de diverses infractions. En conséquence, pour différentes infractions, une même entreprise peut infliger plusieurs amendes différentes. Mais la responsabilité est prévue spécifiquement pour le non-respect des exigences formelles, par exemple, si les documents nécessaires sont manquants. Avec une véritable protection des informations, cela n'est pas toujours directement lié. Par exemple, une fuite en soi n'est pas une base de sanctions à moins que d'autres lois ne soient violées. Fait intéressant, un nombre important de violations identifiées dans le domaine du traitement des données personnelles contiennent la composition prévue à l'article 19.7 du Code des infractions administratives de la Fédération de Russie: «Défaut de soumission ou de soumission intempestive à l'organisme d'État (Roskomnadzor) - informations (informations), dont la fourniture est prescrite par la loi et est nécessaire à la mise en œuvre par cet organe ses activités légitimes .. ". Fait intéressant, une responsabilité beaucoup plus grande est prévue non pas pour violation de la procédure de traitement des données personnelles (comme mentionné ci-dessus, il s'agit en moyenne de 30 à 50 000 roubles), mais pour défaut de fournir (retard, présentation incomplète) des informations sur la procédure de traitement des données personnelles dans Roskomnadzor réclame une amende pouvant aller jusqu'à 200 000 roubles. C'est-à-dire dans la législation de la Russie et dans la pratique de son application, la tendance dominante est «l'essentiel de la poursuite» et les besoins de l'État ont été satisfaits. dans divers rapports. Les droits réels des utilisateurs et la sécurité de leurs données personnelles sur Internet sont mal protégés. Le même montant d'amendes ne correspond pas au montant des avantages perçus par certaines entreprises en cas de violation du traitement des données personnelles sur Internet et ne stimule pas le respect de ces règles.
L'UE a une image légèrement différente. Depuis mai 2018, en Europe, le travail avec les données personnelles est régi par les règles de traitement des données personnelles établies par le Règlement Général sur la Protection des Données (Règlement UE 2016/679 du 27 avril 2016 ou RGPD - Règlement Général sur la Protection des Données). Le règlement a un effet direct dans les 28 pays de l'UE. Le règlement offre aux résidents de l'UE la possibilité d'avoir un contrôle total sur leurs données personnelles. Selon le RGPD, de manière significative, les citoyens et résidents de l'UE ont des droits très étendus de contrôler leurs données personnelles. Les utilisateurs européens ont le droit de demander la confirmation du fait que leurs données ont été traitées, le lieu et la finalité du traitement, les catégories de données à caractère personnel en cours de traitement, auxquelles les données personnelles de tiers sont divulguées, la période pendant laquelle les données seront traitées, ainsi que de spécifier la source des données personnelles reçues par l'organisation et nécessitent leur correction. De plus, l'utilisateur a le droit d'exiger la fin du traitement de ses données.
Depuis mai 2018, la responsabilité sous forme d'amendes pour violation des règles de traitement des données personnelles: selon le RGPD, les amendes atteignent 20 millions d'euros (environ 1,5 milliard de roubles) soit 4% du revenu global annuel de l'entreprise.
La chose la plus importante est que tout fonctionne, les entreprises violant les droits des utilisateurs sont tenues pour responsables et très sérieuses. Par exemple, le 21 janvier 2019, la Commission nationale de l'informatique et des droits civils (CNIL) a décidé de condamner la société américaine GOOGLE LLC à une amende de 50 millions d'euros pour violation du RGPD. Le montant de l'amende est très important. Cela illustre clairement la menace de non-conformité aux exigences du RGPD. Pourquoi a-t-on été puni? La commission française a déterminé que lors de la configuration initiale d'un appareil mobile utilisant le système d'exploitation Android (Google), l'utilisateur ne reçoit pas toutes les informations sur ce que Google fait avec ses données personnelles. La société n'a pas respecté son obligation de garantir la transparence dans le traitement des données personnelles et les informations des entités (articles 12 et 13 du RGPD). Les périodes de stockage des données des utilisateurs ne sont pas réglementées avec précision. L'entreprise ne disposait pas de la base juridique nécessaire au traitement des données (article 6 du RGPD). Google a également été accusé d'avoir incorrectement obtenu le consentement de l'utilisateur pour traiter ses données afin de personnaliser les publicités.
Autres exemples: amende du régulateur allemand de LfDI, application de chat de rencontres Knuddels - 20 000 euros, l'hôpital portugais de Barreiro a été accusé d'avoir mal géré l'accès aux données personnelles critiques (une amende de 300 milliers d'euros) et de violation de la sécurité et de l'intégrité des données (100 000 euros supplémentaires) ) Les autorités britanniques ont envoyé un avertissement à une société canadienne de recherche analytique. L'entreprise a dû cesser de traiter les données personnelles des citoyens, faute de quoi elle s'exposerait à une amende de 20 millions d'euros. La société canadienne AggregateIQ, qui s'occupe de marketing numérique et de développement de logiciels, s'est vu imposer une amende de 17 000 000 livres. Des cafés autrichiens ont été condamnés à une amende de 5 280 € pour surveillance vidéo illégale (la caméra a saisi une partie du trottoir). C'est-à-dire toute organisation couverte par le RGPD ne devrait pas se limiter, selon la tradition russe, à l'élaboration de la documentation réglementaire.
Soit dit en passant, la particularité du RGPD est que son effet est appliqué à toutes les entreprises qui traitent les données personnelles des résidents et des citoyens de l'UE, quel que soit l'emplacement d'une telle entreprise.Par conséquent, les entreprises russes devraient examiner attentivement ces règlements si leurs services sont axés sur le marché européen.