| 7. Risques liés à la confidentialité des données personnelles | |||
|---|---|---|---|
| Élevé ✔ | Medium | Faible | |
Les activités de publicité et de communication impliquent le traitement d’un volume significatif de données à caractère personnel. La règlementation relative à la protection des données à caractère personnel est complexe et évolutive, diffère selon les pays et engendre des coûts importants et croissants de mise en conformité. Certaines de ces réglementations applicables au Groupe sont bien établies, d’autres, plus récemment introduites sont toujours en cours d’évolution. À titre d’exemple de réglementation établie, le règlement général relatif à la Protection des Données (UE) 2016/679 du 27 avril 2016 de l’Union européenne (RGPD) entré en vigueur le 25 mai 2018 a renforcé les obligations et la responsabilité des entreprises traitant des données à caractère personnel. Le RGPD a renforcé les droits des individus en leur accordant un contrôle accru sur leurs données à caractère personnel et a prévu des sanctions administratives pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial pour les violations les plus graves. Les autorités de contrôle européennes font preuve d’une vigilance accrue en ayant de plus en plus recours à ce mécanisme de sanction et en émettant des sanctions financières de plus en plus élevées. Plus récemment, en raison de décisions de régulateurs de l’Union européenne et à la suite du Brexit, des obligations supplémentaires liées aux transferts internationaux de données ont été mises en place. L’Union européenne a également introduit de nouvelles réglementations qui affectent le secteur du marketing et de la publicité avec l’ambition de faire évoluer l’Union européenne vers un marché numérique unique et de « créer un espace numérique plus sûr où les droits fondamentaux des utilisateurs sont protégés et d’établir des conditions de concurrence équitables pour les entreprises ». Il s’agit du Digital Services Act, du Digital Markets Act et de la réglementation ePrivacy.
À la suite du RGPD, de plus en plus d’États dans le monde adoptent une règlementation sur la protection des données personnelles. Aux États-Unis, en l’absence d’une réglementation fédérale, la Californie s’est dotée la première d’une réglementation dénommée California Consumer Privacy Act (CCPA) entrée en vigueur le 1er janvier 2020. Elle a été complétée en octobre 2020 par le California Privacy Rights Act (CPRA) qui entrera en vigueur le 1er janvier 2023 et sera appliqué à partir du 1er juillet 2023. Le CCPA exige la mise en place de mécanismes (opt-out) permettant à l’utilisateur de refuser la vente de ses données personnelles. Le CPRA élargit le régime actuel de protection des données du CCPA en renforçant les exigences relatives à la manière dont les entreprises sont autorisées à utiliser les informations personnelles des consommateurs en Californie et en créant une nouvelle agence gouvernementale chargée de faire respecter le CCPA. En mars 2021, l’État de Virginie s’est doté du Consumer Data Protection Act et en septembre 2021, c’est le Colorado qui a franchi le pas en adoptant le Colorado Privacy Act. Une dizaine d’autres États aux États-Unis sont en cours d’adopter leurs propres lois sur la protection des données personnelles, rendant la situation confuse avec un morcellement du paysage législatif.
En 2021, d’autres pays ont introduit de nouvelles lois sur la protection des données à caractère personnel. En août 2021, le Brésil s’est doté de la Lei Geral de Proteção de Dados Pessoais (LGPD) et en novembre 2021, la République populaire de Chine a adopté sa loi sur la protection des données personnelles.
Toute perte ou divulgation non autorisée de données à caractère personnel peut engendrer des dommages conséquents pour les personnes concernées, qui peuvent engager la responsabilité du Groupe. Le Groupe, qui traite de plus en plus de données à caractère personnel, pourrait faire l’objet d’une surveillance accrue de la part des autorités de contrôle. Toute atteinte aux réglementations applicables pourrait, en plus d’actions en responsabilité et de sanctions prononcées à l’encontre du Groupe, créer une perte de confiance des clients et avoir un impact défavorable sur la réputation et les activités du Groupe.
