Au milieu des cyberattaques en cours entraînant des fuites de données personnelles, la plus récente impliquant des personnalités publiques internationales, les conversations autour des mesures de protection des données continuent d'être au premier plan.
L'industrie de la technologie (tech) s'appuie fortement sur les données pour soutenir l'innovation et répondre aux besoins des utilisateurs finaux. Le potentiel infini des données est l'une des promesses de la technologie, et la réalisation de ce fait a encouragé le développement d'une technologie d'analyse de données hautement sophistiquée.
Cependant, si le Épisode de Cambridge Analytica n'a appris aucune leçon, c'est que les données peuvent être violées avec des conséquences dévastatrices. Cela est encore plus vrai pour les entreprises technologiques opérant dans le secteur des services financiers. Quand en 2017, Equifax, Inc a subi une violation de données, les informations financières et les données personnelles d'environ 147 millions de personnes ont été divulguées, ce qui a entraîné un vol d'identité généralisé et une compromission des cartes de crédit, et le potentiel d'événements similaires est énorme. Les données sont collectées auprès des utilisateurs finaux, analysées et, dans certains cas, échangées.
Dans de nombreux cas, les données sont échangées dans le but de faciliter la numérisation Publicité ciblée. Certaines entreprises technologiques partagent les données des utilisateurs avec des annonceurs qui utilisent des informations telles que les traits de comportement profilés, les préférences personnelles et, dans certains cas, l'emplacement dans le but de diriger des publicités ciblées (annonces).
Fintech Les entreprises, en particulier, stockent une grande quantité de données sur les habitudes financières et les habitudes de dépenses des clients, qui peuvent être exploitées pour exposer les utilisateurs à des produits très spécifiques. Les publicités ciblées soulèvent de graves problèmes de confidentialité, et dans le cas où les données des utilisateurs seraient collectées, stockées et partagées sans se conformer aux réglementations en vigueur, de graves conséquences juridiques s'ensuivraient naturellement, en particulier en cas de violation.
Le règlement nigérian sur la protection des données
La Règlement nigérian sur la protection des données (NDPR ou Réglementation) est ancré sur le principe clé de la confidentialité des données. En vertu du NDPR, les données ne peuvent être collectées et traitées qu'avec le consentement de la personne concernée.
Le but pour lequel les données sont traitées doit être consenti par la personne concernée, sauf s'il est dans l'intérêt public ou à des fins historiques ou scientifiques. Dans le cadre de la publicité ciblée, cela implique que les entreprises en possession de données client/utilisateur doivent obtenir le consentement préalable de la personne concernée avant de collecter les données, et ne peuvent pas les partager avec des annonceurs ou toute autre personne sans le consentement du client.
Lorsque des informations personnelles sont partagées en violation de ces dispositions, cela équivaut à une violation de la NDPR et à une violation des droits à la vie privée qui peuvent exposer l'entreprise à des sanctions réglementaires et à une responsabilité légale. Même lorsque le consentement a été dûment demandé, le NDPR stipule que si les données doivent être partagées avec un tiers, un contrat de traitement de données de tiers (TPC) doit être exécuté.
Le TPC contiendrait généralement des clauses de protection et de confidentialité et indiquerait la finalité pour laquelle les données doivent être traitées en termes spécifiques. Le défi auquel sont confrontées la plupart des entreprises technologiques réside dans les dispositions très rigides de la NDPR et le coût accru de la mise en conformité.
Soyez le plus intelligent de la pièce
Essayez-le, vous pouvez vous désinscrire à tout moment. Politique de confidentialité.
Cependant, il est essentiel que les entreprises, en particulier les entreprises fintech, respectent religieusement ces dispositions pour éviter toute responsabilité légale qui pourrait menacer leurs opérations. Un conseiller juridique peut être sollicité pour assurer la conformité.
Protection des données des utilisateurs
Les données des utilisateurs sont collectées par divers moyens, le plus courant étant l'utilisation de cookies et de Json Web Tokens.
Le NDPR exige que tous les moyens par lesquels les données des utilisateurs sont collectées doivent être expressément indiqués dans la politique de données de l'entreprise, et les entreprises doivent développer des mesures de sécurité compétentes pour empêcher la violation des données. En outre, les contrôleurs de données sont tenus par le Règlement de procéder à un audit périodique de leurs processus de collecte et de traitement des données, et d'envoyer les rapports d'audit à l'Agence nationale de développement des technologies de l'information (NITDA).
On constate qu'il existe une problème de conformité avec la NDPR parmi les entreprises nigérianes. En décembre 2019, le NITDA émis un avis de non-conformité aux dispositions du NDPR à une centaine d'entreprises, dont certaines dans le secteur sensible des Fintech.
Rappelons qu'il y a quelques années, le Conseil des praticiens de la publicité du Nigéria (APCON) a promulgué le Règlement sur Code des pratiques publicitaires, des ventes, des promotions et autres droits et restriction de la pratique qui est rendu applicable à la publicité sur Internet. Comme le NDPR, le Code met également l'accent sur le droit à la vie privée par l'article 11 qui stipule que le droit des individus à la vie privée doit être respecté. Ces dispositions viennent consolider l'article 37 de la Constitution de 1999 qui garantit en tant que droit de l'homme, « la vie privée des citoyens, leur domicile, leur correspondance, leurs conversations téléphoniques et leurs communications télégraphiques ».
Besoin d'une conformité accrue
Bien que le niveau de conformité avec la NDPR se soit amélioré depuis décembre 2019, de nombreuses entreprises ont commencé à mettre en place des mécanismes pour garantir la conformité avec sensibilisation accrue, le fait est que la grande majorité des entreprises restent encore non conformes.
Cela est évident dans le fait que depuis janvier 2020, le Nigéria a enregistré des violations de données de haut niveau.
Peut-être qu'un bon endroit pour commencer le voyage vers la conformité est que les entreprises élaborent une politique complète de confidentialité des données conformément à la NDPR. La politique détaillerait les procédures d'obtention du consentement, les méthodes de collecte des informations personnelles des personnes concernées et les recours en cas de violation. Pour garantir le respect religieux de la politique de confidentialité et des dispositions générales du NDPR, un délégué à la protection des données doit être nommé.
Les entreprises doivent également être en mesure de déterminer elles-mêmes si elles sont éligibles en tant que contrôleurs de données ou administrateurs/processeurs de données. Cette distinction est importante car un responsable du traitement est chargé d'obtenir le consentement de la personne concernée sans recours à la force, à la tromperie ou à la fausse déclaration. Le contrôleur de données est principalement responsable en vertu du NDPR pour toute violation de données par le processeur de données. C'est pour cette raison que l'on ne saurait trop insister sur l'importance du Contrat de Tiers-Traitement. Les startups dont les opérations impliquent la collecte et le traitement des données personnelles des clients doivent également envisager d'intégrer ces mesures dès le début.
Aujourd'hui, les entreprises doivent être circonspectes, faire preuve de prudence et décider avec qui elles partagent des informations sur leurs clients. Dans le but d'étendre et de développer leurs activités commerciales, de nombreuses entreprises sont connues pour contracter des agences de publicité et des analystes de données avec lesquels elles partagent des informations sensibles sur les utilisateurs.
Comme le montrent les paragraphes précédents, une grande attention doit être portée au respect de la NDPR lors du partage de telles informations afin d'éviter une responsabilité légale et des sanctions réglementaires paralysantes pour l'entreprise.
Pour en savoir plus, visitez le site notre site Web.
L'image sélectionnée: Contenu visuel Flickr via Compfight cc.
