Par ailleurs, les principes de privacy by design et privacy by default obligent les entreprises à prendre en considération les mesures techniques et organisationnelles nécessaires à la protection des données à caractère personnel dès la conception de nouveaux produits et services. Le RGPD a également créé des obligations incombant aux responsables de traitement et à leurs sous-traitants dans le but de responsabiliser les entreprises. Parmi ces obligations figure celle de notifier aux autorités de contrôle, et dans certains cas, aux individus concernés, les violations de données à caractère personnel susceptibles de susciter un risque pour les droits des personnes concernées. Les entreprises traitant un volume important de données à caractère personnel, comme Publicis, sont également tenues de mettre en place un registre de leurs activités de traitement et désigner un délégué à la protection des données. Corrélativement au renforcement des obligations incombant aux entreprises, le RGPD crée et renforce les droits des individus, notamment s’agissant de leur droit d’information des traitements mis en œuvre. Le RGPD encadre également les transferts de données à caractère personnel en dehors de l’UE afin de s’assurer que les individus bénéficient d’un niveau de protection suffisant et approprié. Le RGPD prévoit des sanctions administratives dont le montant peut atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial dans les cas de violation les plus graves. Les autorités de contrôle européennes font preuve d’une vigilance accrue en ayant de plus en plus recours à ce mécanisme de sanction et en émettant des sanctions financières de plus en plus élevées. Outre la réglementation, les recommandations des organisations nationales chargées de contrôler le respect de ces règles ainsi que la jurisprudence peuvent influer de façon importante sur le niveau de protection requis et l’organisation à mettre en place. À titre d’exemples, les lignes directrices n° 2020-91 et la recommandation n° 2020-92 du 17 septembre 2020 de la CNIL en France en matière de pose de traceurs (cookies) et l’arrêt Schrems II C- 3111/18 du 16 juillet 2020 de la Cour de Justice de l’Union européenne en matière de transfert de données en dehors de l’Union européenne. Parallèlement à cette réglementation, la directive 2002/58/EC dite « ePrivacy », telle que modifiée, prévoit également des règles afin de garantir la protection de la vie privée des individus en matière de communications électroniques. Cette directive, ainsi que sa transposition en droit français par la loi n° 2004-575 pour la confiance dans l’économie numérique, impose notamment des obligations dans le cadre d’opérations de prospection commerciale et encadre l’utilisation de traceurs (cookies). La directive « ePrivacy » est toujours en cours de révision et devrait être remplacée par un règlement « ePrivacy » d’application directe au sein de l’UE.
À la suite du RGPD, de plus en plus d’États dans le monde adoptent une règlementation sur la protection des données personnelles. Aux États-Unis, en l’absence d’une réglementation fédérale, la Californie s’est dotée la première d’une réglementation dénommées California Consumer Privacy Act (CCPA) entrée en vigueur le 1er janvier 2020. Elle a été complétée en octobre 2020 par le California Privacy Rights Act (CPRA) qui entrera en vigueur le 1er janvier 2023 et sera appliqué à partir du 1er juillet 2023. Le CCPA exige la mise en place de mécanismes (opt-out) permettant à l’utilisateur de refuser la vente de ses données personnelles. Le CPRA élargit le régime actuel de protection des données du CCPA en renforçant les exigences relatives à la manière dont les entreprises sont autorisées à utiliser les informations personnelles des consommateurs en Californie et en créant une nouvelle agence gouvernementale chargée de faire respecter le CCPA. En mars 2021, l’État de Virginie s’est doté du Consumer data Protection Act et en septembre 2021, c’est le Colorado qui a franchi le pas en adoptant le Colorado Privacy Act. Une dizaine d’autres États aux États-Unis sont en cours d’adopter leurs propres lois sur la protection des données personnelles.
En 2021, d’autres pays ont introduit de nouvelles lois sur la protection des données à caractère personnel. En août 2021, le Brésil s’est doté de la Lei Geral de Proteção de Dados Pessoais (LGPD) et en novembre 2021, la République populaire de Chine a adopté sa loi sur la protection des données personnelles.
En raison du Brexit et de décisions de régulateurs de l’Union européenne, des obligations supplémentaires liées aux transferts internationaux de données ont été mises en place. L’Union européenne a également introduit de nouvelles réglementations qui affectent le secteur du marketing et de la publicité avec l’ambition de faire évoluer l’Union européenne vers un marché numérique unique et de « créer un espace numérique plus sûr où les droits fondamentaux des utilisateurs sont protégés et d’établir des conditions de concurrence équitables pour les entreprises ». Celles-ci s’articulent autour de deux règlements, qui seront d’application immédiate dans les États Membres de l’Union européenne : le Digital Market Act (DMA) et le Digital Services Act (DSA). Le DMA a pour objectif de réguler le comportement des plateformes ayant un impact significatif sur le marché européen, notamment au regard du droit de la concurrence. Il vise à assurer une concurrence saine et loyale entre opérateurs et ainsi favoriser l’innovation et l’arrivée de nouveaux acteurs offrant un choix plus large pour les consommateurs. Ce texte envisage des obligations relatives à l’utilisation des données personnelles à des fins de ciblage publicitaire. Le DSA vise à réguler le fonctionnement des plateformes, quelle que soit leur taille, et notamment les contenus publiés sur Internet. Il vise à mieux protéger les consommateurs et leurs droits fondamentaux en ligne. Le 24 mars 2022, le Parlement et le Conseil de l’Union Européenne se sont accordés sur une version finale du DMA dont la mise en application est estimée pour fin 2022. Le DSA est toujours en discussion, même si un accord sur un texte définitif pourrait être trouvé avant fin juin avec une mise en application estimée au premier semestre 2023.
