Un projet de projet de loi fédéral bipartisan sur la protection de la vie privée a été publié le vendredi 3 juin. Ce projet de loi, intitulé « American Data Privacy and Protection Act », vise à « conférer aux consommateurs des droits fondamentaux à la vie privée, créer des mécanismes de surveillance solides et instaurer une application efficace ».
Le projet de loi contient une multitude de définitions, qui incluent un certain nombre de termes qui sont à la mode dans l’actualité en matière de confidentialité, tels que « informations biométriques », « informations génétiques » et « publicité ciblée ».
Divisé en quatre sections, droits des données des consommateurs inclurait le droit à :
- Accéder à certaines données d’une entité couverte ;
- Corriger les informations inexactes ou incomplètes contenues dans ces données ;
- Supprimer les données couvertes ; et
- Recevez ces données dans un format portable.
Le délai dont disposeront les entités couvertes pour répondre à une demande individuelle d’un consommateur dépendra de la taille de l’entité (par exemple, les « grands détenteurs de données » disposeront de 30 jours à compter de la vérification de la demande).
En outre, les entités couvertes devront également se conformer au droit du consommateur à consentir et/ou à s'opposer au traitement de données sensibles, et devront également fournir des mécanismes permettant aux consommateurs de se retirer des transferts de données couverts et de la publicité ciblée.
D’autres dispositions cruciales que l’on retrouve dans le titre II du projet de loi sont les suivantes :
- Protections spécifiques des données pour les enfants et les mineurs ;
- Obligations des entités tierces couvertes ;
- Instructions relatives aux avis et politiques de confidentialité ;
- Exigences relatives aux programmes de sécurité et de protection des données ; et
- Clauses relatives à la protection des droits civils et aux algorithmes, y compris la nécessité pour les entités couvertes de procéder à des évaluations d’impact des algorithmes.
Le Titre III du projet obligerait les entreprises et leurs dirigeants à certifier à la FTC qu'ils ont mis en place des contrôles raisonnables, conformément à la loi, et des structures de reporting garantissant le respect de ses dispositions. Parmi les exigences importantes pour les entités concernées figurent :
- La désignation d’au moins un responsable de la protection de la vie privée et d’un responsable de la sécurité des données ;
- La mise en œuvre d’un programme de confidentialité des données et d’un programme de sécurité des données ; et
- Établit des exigences supplémentaires pour les entités couvertes qui sont qualifiées de « grands détenteurs de données », qui sont définies dans le projet de loi.
Les entités qualifiées de grands détenteurs de données seraient également tenues de mener évaluations de l'impact sur la vie privée (« ÉIP ») qui prennent en compte les technologies émergentes, telles que la blockchain ou d’autres avancées « utilisées [par le grand détenteur de données] pour sécuriser les données couvertes ».
Selon le projet actuel, la FTC serait habilitée à faire appliquer la loi et serait tenue de créer un nouveau bureau pour l'aider dans sa mission au plus tard un an après la promulgation du projet de loi.
Le procureur général des États-Unis et les procureurs généraux des États (ou le responsable de la protection des consommateurs selon l'État) seraient également autorisés à engager des poursuites civiles contre les entités en infraction avec la loi, au nom de particuliers et/ou de résidents de leurs États respectifs. La FTC et le procureur général des États-Unis seraient tenus de verser le montant de toute sanction civile ou autre réparation connexe à un fonds nouvellement créé au sein du Département du Trésor américain, appelé « Fonds d'aide aux victimes de la vie privée et de la sécurité ».
Le projet prévoit également un droit d'action privé pour les poursuites individuelles ou les recours collectifs. Cependant, cette disposition particulière n'entrera en vigueur que quatre ans après la promulgation du projet de loi.
Il est à noter que la loi fédérale préempterait lois de l'État déjà couvert par ses dispositions, mais contient des exemptions pour un certain nombre de lois fédérales et étatiques relatives à la confidentialité et à la sécurité, y compris le droit d'intenter une action civile en cas de violation de la sécurité des informations personnelles (1798.150, Proposition 24, Sec. 16 (aka « CPRA » de Californie).
Auteur
