C’est ce que l’augmentation des lois sur la protection des données signifie pour votre entreprise

  • La Chine a introduit de nouvelles lois sur la protection des données en 2022 ; plusieurs pays s’apprêtent à le faire en 2023, créant un patchwork de règles auxquelles les entreprises multinationales doivent se conformer.
  • Lorsqu’elles naviguent dans les lois sur la protection des données, les entreprises doivent comprendre que de nouvelles législations apparaissent dans le monde entier ; certaines d’entre elles ont des fondements géopolitiques, tandis que la protection de la propriété intellectuelle est une préoccupation croissante.
  • La réponse des entreprises au renforcement de la protection des données devrait englober une vision plus large de la question de savoir si l’entrée sur un marché répond à leurs objectifs stratégiques plus larges et à leur propre sécurité.

Les réglementations strictes de la Chine en matière de confidentialité des données de 2022 poussent de nombreuses organisations multinationales à se conformer ou à se réorganiser. Mais 2023 devrait être une année record pour la protection des données, car un certain nombre de pays proposent ou envisagent des initiatives, notamment l’Inde, le Brésil, la Russie et peut-être les États-Unis, où les États individuels créent un patchwork de règles.

Les impacts – comme l’indiquent les récentes mesures d’application de la loi de la Chine – s’étendront probablement au-delà de la conformité, aux ramifications géopolitiques et à la protection de la propriété intellectuelle (PI), entre autres préoccupations.

Les réglementations émergent à mesure que les entreprises, rendues possibles en partie par les progrès de l’analyse de l’intelligence artificielle, trouvent de plus en plus de façons d’utiliser les données qu’elles collectent : pour fonctionner plus efficacement, gérer leurs risques, améliorer les services clients, créer et prendre en charge de nouveaux modèles commerciaux, etc.

Mais les données déverrouillées doivent être protégées, ce avec quoi de nombreuses entreprises ont encore du mal. La moitié des chefs d’entreprise nous avons enquêté du monde entier ont déclaré ne pas avoir confiance dans la gouvernance et la sécurité des données de leur organisation.

Protection des données: Ce que nous voyons

Le règlement général sur la protection des données de l’UE et la loi californienne sur la protection des consommateurs (CCPA) ont fait des vagues lorsqu’ils sont apparus il y a plusieurs années. (Le CCPA a été modifié et élargi via le California Privacy Rights Act, prenant effet le 1er janvier 2023.)

Mais les organisations multinationales sont désormais confrontées à un flot de lois disparates sur la protection et la sécurité des données émanant de pays aux intérêts concurrents. Pour les parcourir avec succès, vous devez commencer à planifier dès maintenant, en tenant compte de plusieurs facteurs.

  • Des réglementations proliférantes comprennent jusqu’à présent la Chine Loi sur la sécurité des données et le Transfert de données transfrontalier (CBDT) en vertu de sa règle Loi sur la protection des renseignements personnels (PIPL). Cette règle rend déjà potentiellement difficile l’envoi ou l’accès à des données personnelles à travers les frontières chinoises. Il exige de réussir une évaluation de cybersécurité d’ici le 1er mars 2023, avec des sanctions en cas de non-conformité. L’Inde, le Brésil et la Russie envisagent également leurs propres lois sur la protection des données.
  • Agendas géopolitiques bouillonner sous la surface peut compliquer la situation pour les multinationales. Les décisions d’application peuvent parfois sembler arbitraires à mesure que les données deviennent plus importantes pour la compétitivité économique et la sécurité nationale (voir graphique).
  • IP est une préoccupation croissante, car les entreprises craignent que les audits puissent exposer des informations sensibles à des regards concurrents. En effet, à mesure que l’intelligence artificielle, qui s’améliore rapidement, analyse les vastes réserves de données qui se trouvaient auparavant dans des lacs de données, ces informations deviennent de plus en plus précieuses pour les entreprises privées et les gouvernements.

Pourquoi c’est important pour 2023

L’accent réglementaire sur les données, renforcé en 2022, devrait atteindre son paroxysme cette année. L’administration chinoise du cyberespace a récemment publié des exigences de certification de confidentialité et le gouvernement indien a publié un projet de loi sur la protection des données, qui sera probablement soumis à un vote en 2023.

Nous nous attendons à voir plus de ces deux pays et éventuellement des lois sur les données de la Russie, de l’Ukraine, du Brésil, du Japon et d’autres.

« 

Les organisations multinationales doivent considérer les règles de protection des données, de confidentialité et de cybersécurité dans le contexte plus large des nations affirmant des politiques, une diplomatie et d’autres outils qui favorisent leur compétitivité économique.

Considérations stratégiques clés

La bonne réponse à cette tendance va au-delà de l’amélioration de vos capacités de conformité, car la confidentialité est devenue une question établissement de la confiance.

Les organisations multinationales devraient considérer les règles de protection des données, de confidentialité et de cybersécurité dans le contexte plus large des nations affirmant des politiques, une diplomatie et d’autres outils qui favorisent leur compétitivité économique. Pour ces nations, la sécurité économique est la sécurité nationale.

Lorsque vous êtes confronté à une proposition de loi sur la protection des données, demandez :

  • Voulons-nous continuer à faire des affaires sur ce marché à notre niveau actuel ou pas du tout ?
  • Est-ce un risque à prendre ?
  • Voulons-nous réorganiser notre portefeuille, en déplaçant tout ou partie de notre concentration sur d’autres marchés ?
  • Sommes-nous inquiets que notre propriété intellectuelle soit vulnérable ?
  • Si oui, comment pouvons-nous le protéger ?

Agissez maintenant pour déterminer quels marchés sont les plus importants pour votre organisation. Renseignez-vous autant que possible sur les lois en cours ou proposées sur la confidentialité des données sur ces marchés et élaborez un plan de préparation et de réponse.

Si votre entreprise a besoin de localiser sa gestion des données, envisagez de réviser l’architecture de vos systèmes d’entreprise pour ajouter des contrôles de processus et segmenter vos systèmes.

Votre plan doit être intégré et conçu non seulement pour les fonctions cyber, technologiques et de confidentialité, mais pour l’entreprise dans son ensemble. La gouvernance, la propriété et la confidentialité des données dans le climat actuel ne sont pas seulement des problèmes de CISO (chef de la sécurité de l’information), CIO (chef de l’information) ou CCO (chef de la direction commerciale), mais des questions qui peuvent avoir des implications commerciales importantes.

La protection des données des clients et de l’entreprise et de la propriété intellectuelle de l’entreprise nécessite un effort concerté et souvent un investissement important qui nécessite la direction générale, des délibérations au niveau du conseil d’administration et l’adhésion.