Il a fallu la magie d'une éclipse aux États-Unis pour que les législatures américaines progressent enfin dans l'élaboration d'une réglementation fédérale sur la confidentialité des données. L'American Privacy Rights Act (APRA) est surprenant, mais pas choquant, étant donné qu'il est en préparation depuis plusieurs années. L'APRA a commencé à s'orienter plus facilement vers la réalité récemment. décrets exécutifs Les mesures relatives aux transferts de données et à la fourniture et au développement de l’IA seraient difficiles à mettre en œuvre sans une loi nationale.
Qu'est-ce que l'American Privacy Rights Act (APRA) ?
L'American Privacy Rights Act de 2024 est actuellement à l'état de projet de discussion, fournissant un cadre national de confidentialité et de sécurité des données, définissant les droits des consommateurs et les exigences en matière de gestion des données. En vertu de l'APRA, les entreprises seraient tenues de limiter les types de données des consommateurs qu'elles collectent, conservent et utilisent, en n'autorisant que les données nécessaires au fonctionnement de leurs services.
Pourquoi l’APRA est-elle importante ?
La nouvelle législation complète les éléments du puzzle de la protection de la confidentialité des données et s'adapte aux nouvelles complexités de la cybersécurité et aux avancées technologiques, telles que Intelligence artificielle (IA)Elle répond aux défis constants en matière de confidentialité des données et propose une approche plus unifiée pour accorder aux consommateurs des droits spécifiques sur leurs données personnelles. L'ARPA donne aux Américains davantage de contrôle sur leur vie privée en ligne, notamment le droit de se retirer des publicités ciblées et intenter une action en justice pour violer leurs droits à la vie privée.
Ce que vous devez savoir sur l'APRA
Le projet de l’APRA est une version évoluée de la Loi américaine sur la confidentialité et la protection des données (ADPPA)Les deux législations accordaient des droits à la vie privée aux consommateurs, exigeaient la minimisation des données, des mesures de sécurité avancées et établissaient des règles par le Commission fédérale du commerce (FTC). Cependant, bien que les deux soient similaires, plusieurs changements importants nécessitent une attention particulière :
Exclusions
L'APRA exclut les petites entreprises, uniquement si :
- Le chiffre d’affaires annuel est inférieur à 40 millions de dollars.
- Le traitement des données concerne plus de 200 000 personnes, avec exceptions.
- Aucun revenu n’est tiré du transfert de données à des tiers.
Responsabilité des dirigeants
L'ARPA exige un responsable désigné de la confidentialité ou de la sécurité des données, mais il n'est pas nécessaire qu'il s'agisse d'un poste autonome ou d'une nouvelle embauche.
Transparence des données
- Les politiques de confidentialité doivent inclure des informations spécifiques, notamment les catégories de données collectées, traitées ou conservées ; la finalité du traitement des données, la durée des données conservées, les pratiques de sécurité des données, la liste des tiers et les noms de tout courtier en données qui transfère.
- La politique de confidentialité doit également détailler comment les consommateurs peuvent exercer leurs droits.
- Les modifications importantes apportées à la politique de confidentialité nécessitent un préavis et des moyens de désinscription.
Minimisation des données
L'accent est mis sur minimisation des données qui restreint les données collectées et utilisées à des fins jugées nécessaires et limitées, avec un traitement et un consentement spéciaux pour informations biométriques et génétiques.
Sécurité et protection des données
L'APRA exige des organisations qu'elles établissent des normes de sécurité des données adaptées à leur taille, à la nature et à l'étendue de la gestion des données, au volume et à la sensibilité des données, ainsi qu'aux technologies utilisées pour les protéger. Les organisations doivent également évaluer les vulnérabilités et atténuer les risques pour les données des consommateurs.
Droit privé d'action
L'APRA a instauré un droit d'action privé. Ce droit permettra aux consommateurs d'intenter des poursuites et d'obtenir réparation contre les entreprises qui respectent leurs droits en matière de confidentialité des données, comme les demandes de suppression de données, ou qui utilisent des données personnelles sans consentement.
Évaluations de l'impact sur la vie privée
L'APRA exige des évaluations d'impact sur la vie privée pour les algorithmes couverts qui présentent un « risque consécutif », en particulier lorsqu'ils concernent :
- Enfants et mineurs
- Logement, éducation, emploi, soins de santé, assurance ou crédit
- Hébergements publics fondés sur des caractéristiques protégées ;
- Race, couleur, religion et sexe
- Inscription et affiliation à un parti politique.
Fournisseurs de services et tiers
- L'APRA exige que les organisations fassent preuve de diligence raisonnable lors de la sélection d'un fournisseur de services et du partage de données avec des tiers.
- Les prestataires de services doivent se conformer aux instructions d’une entité couverte et remplir les obligations prévues par l’APRA.
Droits des consommateurs de l'APRA
En vertu de l’APRA, les consommateurs ont le droit de :
- Accéder à leurs données collectées, traitées ou conservées après avoir soumis une demande vérifiée
- Connaître le nom de tout tiers ou fournisseur de services auquel les données ont été transférées et le but du transfert
- Corriger les données inexactes ou incomplètes concernant une personne
- Supprimer les données d'un individu
- Exporter des données relatives à un individu
- Ne pas subir de représailles pour avoir exercé ses droits de consommateur
- Désactivation des transferts de données et de la publicité ciblée
- Désactivation des algorithmes pour les décisions importantes liées à l'emploi, aux soins de santé, à l'éducation, au logement, au crédit ou aux assurances
Les organisations doivent respecter les droits individuels à la confidentialité des données dans les délais impartis. Elles peuvent refuser une demande si elle nécessite l'accès aux données d'une autre personne, interfère avec une procédure judiciaire ou enfreint d'autres lois.
Comment l’ARPA affecte-t-elle la législation des États nouveaux et émergents ?
Même si l’ARPA sera appliquée à l’échelle nationale, les lois individuelles des États pourraient ne plus être applicables, mais resteront pertinentes sur des questions spécifiques telles que la protection des consommateurs, les droits civils, la santé et les données financières.
La législation est similaire aux lois existantes des États, telles que CCPA/CPRA, qui comprennent des dispositions similaires concernant la protection des données génétiques et biométriques.
Comment BigID aide les organisations à se démarquer auprès de l'APRA
Quel que soit le résultat du nouvel APRA, BigID est prêt à aider les organisations à se conformer à l'évolution des réglementations en matière de confidentialité et à s'adapter au paysage de la confidentialité des données en constante évolution en mettant en œuvre un programme de confidentialité complet.
Tirez parti de la gestion automatisée de la confidentialité des données et de l'identité de BigID, basée sur l'IA, pour les risques et la conformité, afin d'aller au-delà des politiques et des processus pour :
- Découvrez vos données : Découvrez et cataloguez vos données sensibles, y compris structurées, semi-structurées et non structurées, dans des environnements sur site et dans le cloud.
- Cartographiez vos données : Automatiquement mapper les PII et les PI aux identités, entités et résidences pour visualiser les données sur les systèmes.
- Appliquer les politiques de protection de la vie privée : Assurer l'alignement et l'application des politiques de données conformément aux mandats de protection de la vie privée afin de satisfaire aux exigences de conformité réglementaire.
- Automatiser la gestion des droits sur les données : Automatiser les demandes de respect des droits des individus et des données personnelles, depuis l'accès et les mises à jour jusqu'aux appels et à la suppression.
- Suivi des violations et de l'éthique de l'IA : Évaluez et surveillez la technologie et l’utilisation de l’IA dans l’ensemble de l’organisation pour protéger les données personnelles et remédier aux risques.
- Surveiller les transferts de données transfrontaliers : Appliquez la résidence aux sources de données et aux données personnelles individuelles avec des politiques pour déclencher des alertes sur les violations de transfert de données transfrontalières.
- Évaluer les risques liés à la confidentialité : Initiez, gérez, documentez et réalisez diverses évaluations, notamment PIA, DPIA, fournisseur, IA, TIA, LIA, etc. pour la conformité et la réduction des risques.
- Accélérer l'analyse et la réponse aux violations : Déterminez avec précision l’étendue d’une violation de données et informez les personnes et entités appropriées conformément aux exigences réglementaires.
- Rationalisez la gestion du cycle de vie des données : Appliquez une approche basée sur des politiques pour automatiser la gestion du cycle de vie des données à travers la collecte, la conservation et la suppression.
Obtenir une démonstration 1:1 pour voir comment BigID permet aux entreprises d'automatiser et d'opérationnaliser leurs programmes de confidentialité pour se conformer à l'APRA.
Auteur
