California Consumer Privacy Act: Will It Prompt Federal Data Privacy - Protection Laws in the U.S.?

Michael Magrath, mai 4, 2020

Adoptée à l’unanimité et introduite le 1er janvier de cette année, la California Consumer Privacy Act (CCPA) est la première législation globale qui met l’accent sur les données des consommateurs et la protection de la vie privée aux États-Unis. À l’instar du Règlement général de l’UE sur la protection des données (RGPD), la CCPA a forcé la plupart des entreprises opérant dans l’État à apporter des changements structurels à leurs programmes de protection de la vie privée. Les résidents de la Californie ont maintenant de nouveaux droits sur leurs données, y compris la visibilité sur les sociétés de données ont recueilli sur eux, ainsi que la possibilité de faire supprimer ces données, ou d’empêcher leurs données d’être vendus à des tiers.

L’ACCP a déjà déclenché un certain nombre d’autres règlements sur la sécurité des données et la protection de la vie privée au niveau des États, mais combien de temps faudra-t-il avant que nous voyons les lois fédérales sur la protection des données mises en œuvre aux États-Unis?

L’impact de l’ACCP sur d’autres États

L’ACCP a eu une grande influence sur la position législative d’un certain nombre d’autres États sur la protection de la vie privée. Cette année, nous sommes susceptibles de voir plusieurs autres États suivre l’exemple de la Californie et mettre en œuvre de nouvelles lois sur la protection des données et les politiques de confidentialité des consommateurs. Jusqu’à présent, New York, le New Hampshire et Washington ne sont qu’un certain nombre d’États qui ont présenté un projet de loi.  Le projet de loi de Washington sur la Loi sur la protection des renseignements personnels de l’État est décédé par la suite.

Le projet de loi du New Hampshire, qui traite de la façon dont les renseignements personnels sont recueillis par les entreprises, a été rédigé presque en conformité avec la loi californienne, avec seulement des différences mineures dans le projet de loi initial. S’il reçoit le feu vert, il entrera en vigueur au début du mois de janvier de l’année prochaine et sera appliqué dès le 1er juillet 2021.

La New York Privacy Act (NYPA) diffère de la CCPA en ce qui concerne la portée des entreprises qui exercent leurs activités à New York. L’ACCP se limite aux entreprises qui font des affaires en Californie ou aux entreprises dont le chiffre d’affaires annuel brut est d’au moins 25 millions de dollars ou qui traitent des renseignements personnels de 50 000 consommateurs ou plus. La législation de New York s’appliquerait à toute entité opérant dans l’État, quelle que soit sa taille. Le projet de loi, tel qu’il est rédigé, obligerait les entreprises à indiquer comment les renseignements personnels sont désidentités (anonymisés), à permettre aux consommateurs de savoir exactement avec qui leurs renseignements sont partagés et à mettre en œuvre des « garanties spéciales » en matière de partage de données.

Bien qu’en vertu de la loi proposée, le procureur général de l’État puisse intenter des poursuites, le projet de loi contient également une disposition appelée « droit d’action privé », qui donne aux consommateurs individuels le droit de poursuivre une entreprise qui a violé les termes de la loi. Un argument contre la nouvelle législation est que les violations conduisant à un droit d’action privé pourraient appauvrir de nombreuses petites entreprises financièrement.

L’article no 1102 de la NYPA comprend une disposition « fiduciaire des données » exigeant des organisations qu’elles « agissent dans le meilleur intérêt du consommateur, sans tenir compte des intérêts de l’entité, du contrôleur ou du courtier en données, d’une manière attendue par un consommateur raisonnable dans les circonstances ».

Aller dans la bonne direction : COPRA - Loi sur la protection des renseignements personnels en ligne

Bien que chaque État ait pris ces mesures afin de protéger la confidentialité et la sécurité des données des citoyens, 50 lois distinctes sur la protection des renseignements personnels des consommateurs créeront le chaos pour les organisations de se conformer. Une loi complète sur la protection de la vie privée et des données des consommateurs est nécessaire au niveau fédéral, qui contient les exigences minimales de sécurité que les organisations doivent mettre en œuvre afin de protéger les données de leurs clients.

La Consumer Online Privacy Act(COPRA)a été présentée au Sénat en décembre de l’année dernière et présente de nombreuses similitudes avec le GDPR et l’ACPA à l’égard de la demande des entreprises qui fournissent un dossier des données recueillies sur une personne lorsqu’elles en font la demande. Dans de nombreux cas, les individus demanderont que leurs données soient supprimées, mais dans certains cas, les individus peuvent corriger toute inexactitude des données stockées. LA COPRA intègre également des données biométriques, qui comprennent la reconnaissance faciale et la géolocalisation comme informations sensibles.

L’année dernière a également été présentée par la Loi sur la protection des renseignements personnels en ligne à la Chambre des représentants des États-Unis. Ce projet de loi présentait de nombreuses similitudes avec le projet de loi du Sénat et comprend la création d’une Agence de protection de la vie privée numérique. L’APD deviendra un organisme fédéral indépendant pour la protection de la vie privée et toute mauvaise gestion alléguée. Tel qu’il est écrit, le projet de loi comprend également des sanctions et des détails d’application pour toute violation, que les procureurs de l’État auront le pouvoir d’appliquer. De plus, à l’insœurs de la Loi sur la protection des renseignements personnels de New York, les consommateurs concernés pourront intenter des recours collectifs contre des organisations.

Quand verrons-nous une loi fédérale sur la protection des données?

Alors que nous vivons la pandémie coVID-19, la confidentialité des données et la protection des données sont encore plus importantes. Cette année, nous verrons encore plus d’États se joindre à la Californie dans l’introduction de leurs propres lois sur la sécurité des données et la protection de la vie privée, qui sera un moteur clé pour des lois similaires ayant une portée nationale. Bien qu’il soit peu probable que la COPRA devienne une loi fédérale cette année, nous allons voir les législateurs prendre de grandes mesures vers une législation nationale qui est conçu pour protéger la confidentialité des données des consommateurs et la sécurité, grâce aux premières mesures prises par l’État de Californie introduisant CCPA.

Conformité réglementaire

Conformité réglementaire

Découvrez pourquoi les principales banques du monde font confiance à OneSpan pour répondre à des exigences complexes en matière de conformité.

En savoir plus

Ce blog, écrit par Michael Magrath, directeur, Global Standards - Regulations at OneSpan, a été publié à l’origine le DataProtectionMagazine.com le 15 avril 2020.

Michael Magrath est chargé d'aligner la feuille de route de la solution OneSpan sur les normes et les exigences réglementaires à l'échelle mondiale. Il est coprésident du groupe de travail sur le déploiement gouvernemental de l'Alliance FIDO et siège au conseil d'administration de l'Electronic Signature and Records Association (ESRA).