Protection des données | Réglementation | Lois | Cadres d'application
Le Data & More Compliance Service (DMCS) prend en charge un large éventail de cadres juridiques. Du GDPR européen au PIPEDE canadien en passant par le PIPL chinois. Au cœur de la confidentialité des données se trouve la supposition que les données appartiennent aux individus et que les organisations ne sont que les gardiennes de ces données. Dans cette optique, il devient évident que toutes les données personnelles doivent avoir une période de conservation - et doivent être supprimées avant qu'il ne devienne illégal de les conserver.
Le GDPR a été la première législation majeure en matière de protection des données qui, en raison de sa portée générale, a eu un impact sur la quasi-totalité de la législation mondiale en matière de protection des données. Toutefois, comme indiqué ci-dessous, il est essentiel de noter que le GDPR est ancré dans la Charte des droits fondamentaux de l'Union européenne.
Nous présentons ci-dessous dix cadres de rétention des régulateurs que le DMCS prend en charge dès le départ.
1. UE : Règlement général sur la protection des données (RGPD) :
Dans le cadre du GDPR, la conservation des données est un aspect essentiel de la mise en conformité. Les organisations doivent établir des politiques claires de conservation des données qui déterminent la période pendant laquelle les données personnelles peuvent être stockées. Le principe de minimisation des données est mis en avant, ce qui signifie que les données à caractère personnel ne doivent être conservées que pendant la durée nécessaire à la réalisation de l'objectif spécifié. Les organisations doivent documenter leurs périodes de conservation et informer les personnes de la durée de conservation de leurs données. Le GDPR exige également que les organisations mettent en œuvre des mesures de sécurité appropriées pour protéger les données conservées pendant leur stockage.
2. ÉTATS-UNIS : California Consumer Privacy Act (CCPA) :
La CCPA accorde aux consommateurs le droit de demander la suppression de leurs informations personnelles détenues par les entreprises. En conséquence, les organisations doivent mettre en place des politiques de conservation des données conformes à ces droits. Bien que la CCPA ne précise pas de période de conservation spécifique, elle souligne la nécessité pour les organisations d'informer les personnes de leurs pratiques en matière de conservation des données. Les entreprises doivent divulguer les catégories d'informations personnelles collectées, l'objectif de la collecte et la durée de conservation des données. Le respect des politiques de conservation des données et la suppression en temps voulu des données sur demande sont essentiels pour répondre aux exigences de la CCPA.
https://oag.ca.gov/privacy/ccpa
3. Le Canada : Loi sur la protection des renseignements personnels et les documents électroniques (PIPEDA) :
La PIPEDA exige des organisations qu'elles se dotent de politiques claires et raisonnables de conservation des données. Elle souligne l'importance de limiter la conservation des informations à caractère personnel à ce qui est nécessaire pour atteindre les objectifs identifiés. Les organisations doivent préciser comment les données à caractère personnel sont collectées et conservées et communiquer ces objectifs aux personnes concernées. En outre, la PIPEDA impose aux organisations de disposer de lignes directrices et de procédures pour la destruction ou l'anonymisation des informations à caractère personnel lorsqu'elles ne sont plus nécessaires pour les finalités identifiées.
4. Brésil : Loi générale sur la protection des données (LGPD) :
La LGPD reconnaît l'importance des politiques de conservation des données pour garantir la protection et la confidentialité des données à caractère personnel. Elle exige des organisations qu'elles définissent des finalités spécifiques pour le traitement des données et qu'elles conservent les données pendant la durée nécessaire à la réalisation de ces finalités. Les organisations doivent informer les personnes de la période de conservation et des critères utilisés pour déterminer la durée de stockage des données. En outre, la LGPD insiste sur la nécessité de prendre des mesures de sécurité appropriées pour protéger les données conservées et empêcher tout accès ou toute divulgation non autorisés.
http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709compilado.htm
5. Singapour : Loi sur la protection des données personnelles (PDPA) :
En vertu de la LPDP, les organisations doivent établir des politiques de conservation des données qui correspondent à la finalité de la collecte. Les données à caractère personnel ne doivent pas être conservées plus longtemps que nécessaire pour atteindre les objectifs fixés, et les organisations doivent documenter leurs périodes de conservation. La LPDP souligne également l'importance de mettre en œuvre des mesures de sécurité appropriées pour protéger les données conservées contre l'accès non autorisé, la divulgation ou la perte.
https://www.pdpc.gov.sg/Overview-of-PDPA/The-Legislation/Personal-Data-Protection-Act
6. Loi australienne sur la protection de la vie privée : (APA)
Bien que la loi australienne sur la protection de la vie privée ne définisse pas explicitement des périodes spécifiques de conservation des données, elle met l'accent sur le principe de minimisation des données. Les organisations sont censées établir des politiques de conservation des données qui garantissent que les informations personnelles ne sont conservées que le temps nécessaire à la réalisation des objectifs identifiés. En outre, la loi souligne la nécessité pour les organisations de mettre en œuvre des mesures de sécurité appropriées pour protéger les données conservées contre l'accès non autorisé, l'utilisation abusive, l'interférence, la perte ou la divulgation.
https://www.oaic.gov.au/privacy/privacy-legislation/the-privacy-act
7. Loi américaine sur la portabilité et la responsabilité en matière d'assurance maladie (HIPAA) :
L'HIPAA comprend des dispositions relatives à la conservation des données dans le secteur des soins de santé. Les entités couvertes et les associés commerciaux sont tenus de conserver les informations de santé protégées (PHI) pendant des périodes déterminées afin de répondre aux exigences légales et commerciales. L'HIPAA ne prévoit pas de période de conservation spécifique, mais insiste sur la nécessité de mettre en œuvre des politiques et des procédures de conservation et d'élimination des données. Les organisations doivent tenir compte des lois nationales et fédérales lorsqu'elles établissent des politiques de conservation des données pour les PHI.
https://www.hhs.gov/hipaa/index.html
8. ROYAUME-UNI : Loi sur la protection des données :
La loi sur la protection des données de 2018, en conjonction avec le GDPR, exige des organisations qu'elles mettent en place des politiques de conservation des données. Les données à caractère personnel ne doivent être conservées que pendant la durée nécessaire aux fins spécifiées. La loi souligne la nécessité pour les organisations d'informer les individus des périodes de conservation et des critères utilisés pour déterminer la durée de stockage des données. En outre, des mesures de sécurité appropriées doivent être mises en œuvre pour protéger les données conservées.
9. Chine : Loi sur la protection des informations personnelles (PIPL) :
En Chine, la loi sur la protection des données personnelles oblige les organisations à établir des politiques de conservation des données à des fins de traitement des données. Les informations personnelles ne doivent être conservées qu'aussi longtemps que nécessaire pour atteindre les objectifs spécifiés. Les organisations doivent informer les individus de la période de conservation et des critères utilisés pour déterminer la durée de stockage des données. La loi exige également que les organisations mettent en œuvre des mesures de sécurité pour protéger les données conservées contre l'accès non autorisé, la divulgation ou la perte.
http://en.npc.gov.cn.cdurl.cn/2021-12/29/c_694559.htm
Inde : Projet de loi sur la protection des données personnelles (PDPB) :
Le PDPB proposé en Inde souligne l'importance des politiques de conservation des données. Les organisations doivent établir des périodes de conservation en fonction des finalités du traitement des données. Les données à caractère personnel ne doivent pas être conservées plus longtemps que nécessaire pour atteindre les objectifs spécifiés. Le PDPB exige des organisations qu'elles informent les personnes des périodes de conservation et qu'elles mettent en œuvre des mesures de sécurité appropriées pour protéger les données conservées.
Comme toujours, lisez les sources