Le paysage des lois américaines sur la confidentialité des données
Tandis que confidentialité des données Bien qu’il s’agisse d’un catalyseur de changement, les États-Unis ont depuis longtemps un ensemble de réglementations qui évoluent continuellement d’un État à l’autre.
Vous trouverez ci-dessous un aperçu des réglementations actuelles et émergentes en matière de confidentialité et de protection des données aux États-Unis. Nous avons comparé plusieurs États ayant proposé, introduit, adopté ou signé une loi visant à protéger les données des consommateurs avec notre Tableau comparatif de la confidentialité des données État par État.
Historique de la confidentialité des données aux États-Unis
Loi sur la protection de la vie privée (1974)
La loi sur la protection de la vie privée de 1974 fut l'une des premières lois sur la protection de la vie privée aux États-Unis. Elle traite de la manière dont « données personnelles identifiables » sont collectées, utilisées et distribuées. Cette nouvelle politique ne concerne que les agences fédérales, ce qui signifie que les entreprises ne sont pas tenues de se conformer à cette réglementation.
FTC – Commission fédérale du commerce
La Federal Trades Commission (FTC) est un organisme indépendant chargé de l'application de la loi qui protège les consommateurs. L'article 5 de la loi FTC interdit aux entreprises toute activité considérée comme « trompeuse » ou « déloyale ». Pour que la FTC puisse prendre des mesures, il doit exister une violation manifeste de la politique commerciale ou une forte probabilité de préjudice grave pour un consommateur.
Lois sectorielles sur la protection de la vie privée
Les lois sectorielles sur la protection de la vie privée sont des réglementations détaillées qui portent principalement sur les informations relatives à un groupe ou à des individus au sein d'un secteur. Par exemple : la loi sur la protection de la vie privée des enfants en ligne (COPPA) limite la collecte de données sur les enfants de moins de 13 ans. En comparaison, Loi sur la portabilité et la responsabilité en matière d'assurance maladie (HIPAA) protège les données médicales et de santé des patients, ce qui nécessite des divulgations spécifiques et un consentement éclairé pour partager les informations.
Loi Gramm-Leach-Bliley (GLBA) (1999)
La loi Gramm-Leach-Bliley est une loi fédérale américaine qui régit la manière dont les institutions financières gèrent les données personnelles des personnes. Cette loi comprend trois volets : la règle de confidentialité financière, qui régit la manière dont les données financières personnelles sont divulguées et collectées; la règle de sauvegarde oblige les institutions financières à protéger les données en mettant en œuvre un programme de sécurité ; les dispositions relatives au prétexte interdisent l'utilisation de faux prétextes pour accéder aux données privées. Institutions financières En vertu de cette loi, ils sont également tenus de fournir aux clients un avis écrit expliquant leur processus et leurs pratiques de partage de données.
Loi sur les rapports de solvabilité équitables (FCRA)
La loi sur les rapports de solvabilité équitables protège les données stockées par les agences d'évaluation du crédit (sociétés d'information médicale, services de vérification des locataires et agences d'évaluation du crédit). Elle interdit également la communication des informations des rapports de solvabilité sans finalité spécifique. De plus, les consommateurs doivent être alertés lorsqu'une action défavorable est survenue suite à ces rapports, lorsque ces informations sont destinées à des fins d'assurance, de crédit ou d'emploi.
État des lois sur la confidentialité des données au niveau des États
Californie (CCPA)
En 2018, le Loi californienne sur la protection de la vie privée des consommateurs (« CCPA ») a été promulguée et est entrée en vigueur le 1er juillet 2020. Elle est considérée comme la réglementation la plus complète en matière de confidentialité des données aux États-Unis. La CCPA prévoit de nouvelles sanctions et responsabilités pour les informations personnelles collectées, vendues et divulguées. De plus, les consommateurs ont le droit d'accéder à leurs informations et de les supprimer en déposant une demande d'accès aux données.
Californie (CPRA)
Le CPRA, un amendement à la California Consumer Privacy Act de 2018 (CCPA), entrera en vigueur en janvier 2023, avec une surveillance rétroactive des pratiques de données d'une entreprise remontant jusqu'en janvier 2020. La CPRA modifie la CCPA Créer des droits supplémentaires en matière de protection de la vie privée des consommateurs, tels que le droit de rectification et le droit de limiter l'utilisation et la divulgation des informations personnelles sensibles. Elle crée également l'Agence californienne de protection de la vie privée (CPPA), transférant ainsi le pouvoir de réglementation et d'application du procureur général à la nouvelle agence de régulation de l'État.
Virginie (CDPA)
Loi sur la protection des données des consommateurs de Virginie (CDPA) La loi a été promulguée le 2 mars 2021 et entrera en vigueur le 1er janvier 2023. Elle exige un consentement explicite pour le traitement des données sensibles et leur utilisation par des tiers, des évaluations de la protection des données et le respect des droits des consommateurs (accès, rectification, portabilité, refus de vente et suppression). Le non-respect de la loi sur la confidentialité des données du VA peut également entraîner de lourdes amendes pour les entreprises.
Informations rapides sur la réglementation américaine en matière de confidentialité des données
- Actuellement, la Californie et la Virginie sont les deux seuls États à avoir adopté leurs propres lois sur la confidentialité des données.
- La Californie est le seul État qui disposera d’une agence de régulation UNIQUEMENT consacrée à la confidentialité.
- La CCPA prévoit des sanctions importantes en cas de non-conformité et de violation de la vie privée des consommateurs
- Les lois sur les notifications de violation de données sont communes aux 50 États américains. En cas de violation de données sensibles, les entreprises sont tenues de la signaler aux consommateurs des États concernés, ainsi qu'aux autorités réglementaires. Cependant, il convient de garder à l'esprit que les données sensibles sont définies différemment d'un État à l'autre, avec quelques points communs. Par exemple, dans certains États, le nom de jeune fille de votre mère est couvert, tandis que dans d'autres, il n'est pas considéré comme sensible.
- CPRA et le Loi sur le bouclier de New York exiger des processeurs de données à haut risque qu'ils effectuent des évaluations des risques et des audits de cybersécurité.
- La Californie et la Virginie exigent que les entreprises possèdent un inventaire de données et cartographient les flux commerciaux pour répondre à toute demandes de droits sur les données.
- Washington, le Maryland, New York, Hawaï, le Massachusetts, la Floride, le Colorado, le Texas et un nombre croissant d'États sont en train d'adopter leurs propres lois sur la confidentialité des données des consommateurs. La plupart d'entre eux se sont largement inspirés du RGPD et du CCPA pour élaborer leurs nouvelles lois.
Consultez une comparaison complète des réglementations américaines en matière de confidentialité ici - et obtenez une démo 1:1 pour apprendre à créer un programme de confidentialité à l'épreuve du temps pour s'adapter aux réglementations actuelles et émergentes en matière de confidentialité et de protection des données.
Auteur
