Contrairement aux idées reçues, les États-Unis ont effectivement des lois sur la confidentialité des données. Certes, il n’existe pas de loi fédérale centrale sur la protection de la vie privée, comme le RGPD de l’UE. Il existe plutôt plusieurs lois fédérales sur la protection de la vie privée axées verticalement, ainsi qu’une nouvelle génération de lois sur la protection de la vie privée axées sur les consommateurs provenant des États.
faisons un tour des lois américaines sur la protection de la vie privée et ressentons le paysage., Si vous souhaitez en savoir plus sur le paysage juridique américain, téléchargez notre incroyable Guide the Essential to US Data Protection Compliance and Regulations.
obtenez le guide essentiel gratuit sur la conformité et les réglementations américaines en matière de Protection des données
- UE vs., Lois américaines sur la confidentialité
- Californie
- Massachussets
- New York
- Hawaii
- Maryland
- Dakota du Nord
US Privacy Act de 1974
au siècle dernier, lorsque les bases de données étaient à l’apogée de la technologie informatique, le congrès et d’autres s’inquiétaient (à juste titre) de l’utilisation abusive potentielle des données personnelles détenues par le gouvernement., Le Congrès a adopté la loi historique sur la protection de la vie privée des États-Unis de 1974, qui contenait des droits et des restrictions importants sur les données détenues par les agences gouvernementales américaines, et devrait sembler très familier aux professionnels des données dans l’année 2019. Je vais les énumérer ici parce que ce sont les premières références que je connais à tout ce qui a suivi:
- droit des citoyens américains d’accéder à toutes les données détenues par les agences gouvernementales. Et un droit de copier ces données.,
- droit des citoyens de corriger toute erreur d’information
- Les agences devraient suivre les principes de minimisation des données lors de la collecte de données – moins d’informations « pertinentes et nécessaires” pour atteindre ses objectifs.
- l’accès aux données est limité sur la base du besoin de savoir – par exemple, les employés qui ont besoin des enregistrements pour leur rôle professionnel.,
- Le partage d’informations entre d’autres agences fédérales (et non fédérales) est limité et n’est autorisé que sous certaines conditions
points supplémentaires si vous avez remarqué les principes de confidentialité dès la conception intégrés dans cette loi innovante sur la protection de la vie privée des années 70!
HIPAA
adoptée en 1996, La Health Insurance Portability and Accountability Act (HIPAA) a été une législation historique pour réglementer l’assurance maladie. C’est une loi très complexe avec beaucoup de pièces mobiles, mais qui comprenait à la fois des sections de confidentialité et de sécurité des données. La partie protection des données de HIPAA se trouve dans la règle de sécurité., HIPAA a également établi des exigences de confidentialité des données qui peuvent être trouvées dans, attendez-le, La règle de confidentialité.
Si vous avez déjà rempli un formulaire au bureau de votre médecin permettant aux conjoints et aux autres membres de la famille d’examiner ou de voir vos informations sur la santé — ce que HIPAA appelle des informations sur la santé protégées (PHI) — vous avez vu la règle de confidentialité en action.
la règle de confidentialité contient une liste alambiquée de règles sur qui peut voir PHI., Mais en bref, un fournisseur de soins de santé ou une” entité couverte « a plus ou moins la permission d’utiliser les données des patients si elles sont liées au » traitement, au paiement et aux opérations de soins de santé. »Cependant, l’utilisation des données à des fins de marketing ou de vente du PHI nécessite une autorisation explicite.
L’exigence minimale nécessaire de HIPAA est un bon exemple des principes de PbD appliqués au partage des PHI. Il dit que les entités couvertes qui partagent des données à des fins de marketing autres que celles mentionnées ci-dessus devraient limiter qui peut les voir., Les organismes de santé sont censés évaluer leurs données et leurs pratiques, et mettre en place des mesures de protection pour limiter l’accès « inutile ou inapproprié” à L’ISP. En effet, l’accès basé sur les rôles pour PHI.
COPPA
aux débuts D’Internet, vers 2000, la Loi sur la protection de la vie privée en ligne des enfants (COPPA) a pris une première mesure pour réglementer les renseignements personnels recueillis auprès des mineurs. La loi interdit spécifiquement aux entreprises en ligne de demander des PII aux enfants de 12 ans et moins, à moins qu’il n’y ait un consentement parental vérifiable.,
Les mises à jour des règles réglementaires de la COPPA il y a quelques années ont effectivement élargi la portée de la loi et élargi le type de renseignements personnels à protéger, y compris les noms d’écran, les adresses électroniques, les noms de chat vidéo, ainsi que les photographies, les fichiers audio et les coordonnées géographiques au niveau de la rue.
ces mises à jour étendent également la protection de la vie privée et de la sécurité aux tiers qui utilisent les données des enfants. L’exploitant du site web d’origine doit prendre « des mesures raisonnables pour divulguer les renseignements personnels des enfants uniquement aux entreprises qui sont capables de les garder en sécurité et confidentiels., »
GLBA
Une autre loi de la fin des années 90, Gramm-Leach-Bliley Act (GLBA) est une énorme dalle de Droit Bancaire et financier qui a enterré en elle des exigences importantes de confidentialité et de sécurité des données. Sa protection des informations personnelles est une amélioration majeure par rapport aux lois précédentes sur les données financières des consommateurs — voir la Fair Credit Reporting Act (FCRA).,
dans l’ensemble, la loi Gramm – Leach-Bliley protège les renseignements personnels non publics (IPN), qui sont définis comme toute « information recueillie sur une personne dans le cadre de la fourniture d’un produit ou d’un service financier, à moins que ces renseignements ne soient autrement accessibles au public” — essentiellement les IPI, à l’exception de toute information financière,
Vous avez peut-être remarqué que les banques envoient périodiquement des notifications de confidentialité des données, expliquant les catégories d’IPN qui sont collectées et partagées ainsi que des instructions spéciales de désactivation. Cela est dû aux protections de la vie privée quelque peu limitées de GLBA. Les consommateurs peuvent se désinscrire s’ils ne souhaitent pas que ces informations soient envoyées à un tiers « non affilié”.
Cependant, pour les sociétés tierces affiliées à la banque ou à la compagnie d’assurance-qui font partie de la « famille d’entreprises”, tough, — les consommateurs n’ont aucun contrôle légal sur la confidentialité en vertu de GLBA pour restreindre le partage de L’IPN., C’est une échappatoire assez importante, et GLBA n’est en aucun cas un modèle pour une loi sur la protection de la vie privée à L’ère D’Internet.
comment la confidentialité sur Internet est-elle gérée?
la réponse courte est que ce n’est pas le cas! En dehors des lois fédérales américaines axées sur l’industrie décrites ci-dessus, Internet est un territoire déréglementé où les entreprises de technologie et de médias sociaux, en particulier, ont pratiqué une philosophie de tout. Les États américains, cependant, interviennent enfin (voir ci-dessous) avec leurs propres lois sur la confidentialité des données, la Californie prenant les devants.,
vous vous demandez peut-être en vertu de quelles lois, s’il n’y a pas de lois générales sur la confidentialité (et la sécurité) des consommateurs, le gouvernement américain a-t-il pu infliger d’énormes amendes à Facebook, Uber et PayPal?
bonne question!
et la réponse nous amène, drumroll s’il vous plait, à la Federal Trade Commission ou à la FTC. En bref, en vertu de la loi FTC de 1914, qui a créé cette agence gouvernementale, il est interdit aux entreprises de se livrer à des « actes ou pratiques déloyaux ou trompeurs” en vertu de ses pouvoirs en vertu de l’article 5., Il était une fois dans L’Amérique du milieu du siècle, la FTC a commencé à prendre-et cela peut choquer certains — publicité hardiment fausse ou trompeuse par certaines des principales marques de consommation américaines.
c’est un court pas de là pour que la FTC examine les « représentations” trompeuses faites par les principales entreprises de technologie et de médias sociaux sur la confidentialité des données des consommateurs qu’elle recueille. Comme par exemple, Facebook, et la façon très audacieuse dont il a dit aux utilisateurs dans ses applications et avis de confidentialité qu’il ne vendra pas leurs données ou que les utilisateurs pourraient restreindre l’accès aux données s’ils cliquent sur certaines cases.,
en fait, c’était le contraire et la FTC a déposé une plainte de huit chefs d’accusation en 2012 contre Facebook, qu’elle a accepté de régler. Cette plainte a été suivie par la plainte plus récente et plus médiatisée de la FTC — pour certaines des mêmes violations — dans laquelle Facebook a accepté un règlement de 5 milliards de dollars. Vous ne pouvez pas faire ce genre de choses.
le lecteur d’alerte a peut-être réalisé que si une entreprise ne mentionne rien sur la confidentialité des données sur son site web, dans ses produits ou dans sa publicité, alors la FTC ne peut rien faire, du moins en vertu de ses pouvoirs” pratiques ou actes trompeurs ». Et que serait le droit!,
c’est une autre façon de dire qu’une loi fédérale générale sur la protection de la vie privée, comme ce qui est considéré ici, forcerait les entreprises à avoir des politiques de confidentialité et à s’y conformer, plutôt que de passer par le mécanisme indirect (et imparfait) d’application de la vie privée de la FTC.
EU vs. US Privacy Laws
Pour rappel, les États-Unis n’ont pas (encore) de loi générale sur la confidentialité des données des consommateurs au niveau fédéral, et encore moins de loi sur la sécurité des données. L’UE avec son règlement général sur la Protection des données (RGPD) a les deux! Nous ne pouvons donc pas vraiment comparer les deux.,
cependant, la loi californienne sur la protection de la vie privée des consommateurs (CCPA) est proche de traiter de la confidentialité des données des consommateurs, au moins pour les résidents de Californie, et c’est un excellent exercice de comparaison et de contraste avec le RGPD, comme ce que nous faisons ci-dessous.
en bref, le CCPA et le RGPD donnent aux consommateurs le droit d’accès, le droit de suppression et le droit de refuser le traitement à tout moment. Ils diffèrent en ce que le GDPR accorde aux consommateurs un droit de corriger ou de rectifier des données personnelles incorrectes alors que le CCPA ne le fait pas., Le RGPD exige également un consentement explicite-voir L’article 7 « condition de consentement” du RGPD — au moment où les consommateurs remettent leurs données. En revanche, L’ACCP demande seulement qu’un avis de confidentialité soit mis à disposition sur le site web pour informer les consommateurs qu’ils ont le droit de refuser certaines collectes de données.
Si ce qui précède chatouille votre aigle juridique intérieur, alors référez-vous à ce tableau comparatif complet GDPR vs. CCPA assemblé par le cabinet D’avocats BakerHostetler. Ou découvrez notre propre escapade à travers les différences vues par L’incroyable Sarah Hospelhorn de Varonis!,
nouvelles lois sur la confidentialité des données des États américains
avec le manque de direction à Washington, il n’est pas surprenant que d’autres États se soient inspirés de la Californie et aient rédigé leurs propres lois sur la confidentialité. Avant d’examiner les lois « imitatrices” individuelles de la CCPA de New York, du Massachusetts et d’autres États, examinons d’abord la Loi sur la protection de la vie privée de la Californie, qui fait l’envie de la nation.
California Consumer Privacy Act
En 2018, La California Consumer Privacy Act (CCPA) a été promulguée. Son objectif est d’étendre la protection de la vie privée des consommateurs à internet., Il n’est pas exagéré de dire que la CCPA est la législation sur la confidentialité des données la plus complète axée sur internet aux États-Unis, et sans équivalent au niveau fédéral.
en vertu de la CCPA, les consommateurs ont le droit d’accéder, par le biais d’une demande D’accès aux personnes concernées (DSAR), aux catégories et aux renseignements personnels spécifiques détenus par les entreprises visées. Les entreprises ne peuvent pas vendre les renseignements personnels des consommateurs sans fournir un avis web (« un lien propre et visible”) et leur donner la possibilité de se désinscrire.,
comme le RGPD, il existe également un « droit de suppression” — avec quelques exceptions — des informations personnelles des consommateurs sur demande. La CCPA donne également aux consommateurs un droit limité d’action en justice s’ils sont victimes d’une violation de données. Il y a une capacité plus générale pour le Procureur général de l’état de poursuivre au nom des résidents. Une législation est en préparation pour élargir le droit d’action privé des consommateurs de poursuivre pour d’autres motifs.,
Une autre innovation frappante au sein de L’ACCP est sa définition très large des renseignements personnels: « les renseignements qui identifient, se rapportent, décrivent, peuvent être associés ou pourraient raisonnablement être liés, directement ou indirectement, à un consommateur ou à un ménage particulier. »Cela couvre beaucoup de terrain et est similaire à la vision expansive du RGPD sur les données personnelles.,
pour le ramener à la « loi de la lettre noire”, L’ACCP contient également une longue liste d’identificateurs qu’elle considère comme des renseignements personnels, y compris biométrique, géolocalisation, courriel, historique de navigation, données des employés, et plus encore.
l’ACCP introduit également des « identificateurs probabilistes”. Les avocats débattront de ce que cela signifie, Mais il semble que les données qui donnent plus de 50% de chances d’identifier quelqu’un seront traitées de la même manière qu’un identifiant déterministe. Peut-être qu’une combinaison, disons, de L’historique de visionnage Netflix et des données de géolocalisation peut suffire à faire pencher la balance., En passant, d’autres États ont repris le terme probabiliste dans leurs lois (ci-dessous).
alors que l’Accent — et à juste titre —a été mis sur de nouveaux droits à la vie privée pour les consommateurs, il y a aussi un élément de sécurité des données dans la CCPA. La loi demande aux entreprises de » mettre en œuvre et de maintenir des procédures de sécurité raisonnables”. Qu’est-ce que ça veut dire?, Personne n’est sûr, bien qu’il y ait de fortes indications que le gouvernement californien se tourne vers le centre des 20 principaux contrôles de la sécurité Internet et le cadre de sécurité des infrastructures critiques (CIS) du NIST comme lignes de base.
sans réponse fédérale au RGPD à l’horizon, plusieurs autres États prennent une page du livre de la Californie en rédigeant leurs propres règlements pour donner aux citoyens un contrôle accru sur leurs données personnelles. Bien que la plupart de ces projets de loi utilisent L’ACCP comme cadre, il existe des différences. Nous avons même mis en place une feuille de triche à la fin pour comparer les différentes lois de l’état proposées., Regardons d’abord deux de confidentialité difficiles propositions issues de New York et du Massachusetts
le Massachusetts Loi
Le projet de Loi (S-120) actions d’une beaucoup de l’ACCP langue. Accès des consommateurs aux renseignements personnels? Vérifier. Droit de suppression? Vérifier. Notification explicite des droits à la vie privée et possibilité de refuser la vente de données par des tiers? Vérifier. Une définition large des renseignements personnels y compris les identificateurs probabilistes? Vérifier.,
Il existe quelques divergences importantes par rapport à la CCPA, notamment le droit pour les consommateurs de poursuivre en justice pour toute violation de la loi proposée du Massachusetts. Les consommateurs” n’ont pas besoin de subir une perte d’argent ou de biens à la suite de la violation » pour intenter une action.
Les Avocats soulignent qu’il existe une énorme exposition potentielle des entreprises du Massachusetts aux poursuites en recours collectif: les plaignants peuvent récupérer jusqu’à 750 per par consommateur. Par exemple, en 2017, près de 400 000 masses., les résidents ont été touchés par des violations de données, conduisant à une exposition possible, si la loi avait été en vigueur, de près de 300 millions de dollars pour cette année.
New York Privacy Act
Le projet de loi s5642 de New York (actuellement en attente) contient certaines des caractéristiques de L’ACCP. Il y a un droit de supprimer et de demander des informations personnelles. La définition des renseignements personnels — ” toute information liée à une personne identifiée ou identifiable » – comprend une liste très étendue d’identificateurs: biométriques, adresses électroniques, informations sur le réseau, etc.,
contrairement à la Californie et similaire au Massachusetts, la loi de New York a un droit d’action privé pour toute violation de la loi! Et la loi s’applique à toutes les entreprises sans seuil de revenus, ce qui diffère de la Californie et d’autres États. Cela rend la loi proposée de New York assez stricte.
cependant, le projet de loi de New York exige seulement que les entreprises divulguent aux consommateurs les grandes catégories d’informations partagées avec des tiers. Dans certaines circonstances, les consommateurs auraient le droit de demander des copies d’informations spécifiques partagées.,
Une autre différence clé est que la loi proposée de New York impose le rôle de fiduciaire des données”, obligeant toutes les entreprises NYS à être légalement responsables des données des consommateurs qu’elles détiennent. La loi de New York adopte une vision très large: « exercer le devoir de diligence, de loyauté et de confidentialité attendu d’un fiduciaire en ce qui concerne la sécurisation des données personnelles d’un consommateur contre un risque de confidentialité; et agir dans le meilleur intérêt du consommateur, sans égard aux intérêts de l’entité, du contrôleur ou du courtier de données”. En bref: les consommateurs sont propriétaires des données.,
la loi de New York donne également aux consommateurs la possibilité de corriger des informations inexactes, ce qui les rapproche de l’esprit du RPGD de l’UE. Aucun des autres clones, y compris la Californie, ne va aussi loin!
Hawaii Consumer Privacy Protection Act
Le SB 418 D’Hawaï est similaire à la CCPA, offrant tous les mêmes droits et protections majeurs (potentiellement plus, selon le libellé actuel du projet de loi). Alors que la CCPA s’applique explicitement aux sites Web qui font des affaires dans l’état de Californie, le projet de loi SB 418 D’Hawaï n’a pas de clause similaire., En théorie, les sites web basés n’importe où dans le monde pourraient violer la loi s’ils n’offrent pas une protection adéquate comme indiqué dans le projet de loi. Cependant, le projet de loi sera probablement modifié dans un projet ultérieur pour se concentrer uniquement sur les sites Web Hawaïens.
Maryland Online Consumer Protection Act
Le projet de loi SB 613 du Maryland est un autre projet de loi qui pourrait élargir la portée de la CCPA dans certains domaines. Cependant, les entreprises auront des obligations similaires de divulguer l’utilisation de l’information, dans une moindre mesure que dans le cadre de la CCPA., Et comme la Californie et le Massachusetts, il y a aussi l’utilisation d’un « identifiant probabiliste” pour désigner un certain type d’informations personnelles. Allez Dans Le Maryland!
cependant, ce projet de loi va au-delà de la portée de L’ACCP lorsqu’il s’agit de divulguer la participation de tiers. En vertu de la CCPA, les entreprises ne doivent divulguer que si les informations des consommateurs sont vendues à un tiers, mais conformément au SB 613 du Maryland, les entreprises devraient divulguer toute information transmise à des tiers, même si ces données sont transférées gratuitement., Ce projet de loi interdit également aux sites Web de divulguer sciemment des renseignements personnels recueillis sur des enfants.
Dakota du Nord
HB 1485 du Dakota du Nord, qui est actuellement à la Chambre des représentants de l’état, est le projet de loi le plus léger sur cette liste. La seule clause importante de HB 1485 empêcherait complètement les sites Web de transmettre des informations à des tiers sans le consentement des utilisateurs. Il n’y a aucun droit de faire supprimer ou supprimer des informations une fois que le consentement a été accordé.,
US State Privacy Law Comparison
| State | Right to Delete? | Right to Access? | Right to Correct? | Private Right of Private Action? | Broad Definition of PII?,4f »>Revenues over $25 million | In effect : 1/1/2020 | |
| New York | Yes | Yes | Yes | $750/consumer | Yes | All | Pending |
| Maryland | Yes | Yes | No | No., (Seulement à travers l’AG.,div id= »e783018f4f »>All | Pending | ||
| North Dakota | No | Yes | No | Limited | No | Over $25 million | Pending |
Micro Data Privacy FAQ and Cheat Sheet
The most cocktail-worthy privacy chitchat from this post compressed into four questions!,
Q: Les États-Unis ont-ils une loi unique sur la protection de la vie privée des consommateurs de style GDPR?
r: Non. Les États – Unis ont plutôt des lois fédérales sur la confidentialité des données axées verticalement pour les finances (GLBA), les soins de santé (GLBA), les données sur les enfants (COPPA), ainsi qu’une nouvelle vague de lois sur la confidentialité des états, la California Consumer Privacy Act (CCPA) étant la plus importante.
Les raisons de ce patchwork sont enracinées dans les décisions politiques américaines visant à favoriser l’innovation — « cassez — la et voyez ce qui se passe » – dans la technologie plutôt que dans d’autres considérations., Mais dans « nos laboratoires de démocratie », les lois des États rattrapent enfin la réalité et finiront par agiter le chien fédéral.
Q: Quels États ont des lois sur la protection de la vie privée?
A: très peu — trois au total! Bien sûr, tous les 50 États ont maintenant une règle de notification de violation de données appelant généralement également à une sécurité raisonnable des données. Mais à ce jour, seuls la Californie, le Nevada et le Maine ont des lois sur la vie privée en vigueur. Plusieurs États (voir ci-dessus) ont des lois sur la protection de la vie privée qui font leur chemin à travers les législatures., Pour un aperçu actuel de l’état de ces lois d’état proposées, L’Association Internationale des professionnels de la vie privée (IAPP) tient à jour un tableau de bord.
Q: Qu’est-ce qui est protégé par la Privacy Act de 1974?
r: beaucoup de gens supposent que lorsque la Loi sur la protection des renseignements personnels a été adoptée dans les années 1970, elle protège les données des consommateurs aux États-Unis. Rien ne peut être plus éloigné de la vérité! Alors que la loi américaine sur la protection de la vie privée était une législation innovante, incorporant des idées telles que la minimisation des données, le droit d’accès et le droit de corriger — elle est limitée aux données collectées par le gouvernement américain auprès de ses citoyens., Il n’a aucun impact sur l’industrie privée ou en particulier sur les données collectées sur Internet par les entreprises.
Q: Les lois fédérales et étatiques américaines sur la protection de la vie privée ont-elles un impact sur les sociétés étrangères?
r: dans la mesure où des sociétés étrangères incorporent des filiales aux États-Unis, elles seraient soumises à toutes les lois américaines, y compris bien sûr nos lois sur la sécurité des données et la confidentialité. La vraie question Est de savoir si les États-Unis ont un aspect extraterritorial à leurs lois sur la sécurité et la vie privée comme le RGPD de l’UE qui tendrait la main aux organisations en dehors de ses frontières. Et la réponse est non.,
réflexions sur la protection de la vie privée et L’avenir des lois sur la protection des données
Les États prenant sur eux d’innover dans ce domaine, ce n’est peut-être qu’une question de temps avant qu’une loi fédérale ne soit introduite pour créer des conditions de concurrence équitables.
En attendant, il y a trois leçons à tirer des expériences d’état:
- les PII seront définis de manière à aller au-delà des identifiants ordinaires pour englober les identificateurs probabilistes (ou quasi-PII) qui peuvent être utilisés pour identifier indirectement les consommateurs.
- le droit de supprimer deviendra un élément essentiel des lois sur la protection de la vie privée., Que cela s’étende à un « droit à l’oubli” plus large est moins probable
- Les régulateurs comprennent maintenant que les consommateurs veulent connaître toutes les informations dont disposent les entreprises à leur sujet, accompagnées du droit de consulter et éventuellement de corriger ces données.
Où est tout ce titre?, Si je devais pronostiquer, je dirais que quelque chose de proche des lois sur la protection de la vie privée récemment proposées par la députée Eschoo ou le sénateur Cantwell deviendra la loi du pays.
et c’est-à-dire qu’une future loi américaine sur la protection de la vie privée reflétera certaines des idées clés de L’ACCP. Mais comme nous l’avons vu en Californie, il y aura probablement des exemptions et un assouplissement des exigences concernant les droits à la vie privée des employés, les demandes d’accès et de suppression, et enfin, des pénalités et des amendes.
intrigué, préoccupé ou carrément paniqué par ce qui se passe sur la route de la vie privée?, Demandez une démonstration de nos solutions de confidentialité et de sécurité des données pour savoir comment nous pouvons vous aider!
