Skip to main content

News

La loi américaine sur les droits à la vie privée : Ce que vous devez savoir

 

4 Juin, 2024

Le 7 avril, nous avons reçu l’annonce inattendue d’un nouveau projet de loi fédérale sur la protection de la vie privée et la sécurité des données, l’American Privacy Rights Act (“APRA”). L’APRA suit les étapes de la loi américaine de 2022 sur la protection et la confidentialité des données (ADPPA), qui n’a pas été examinée par la Chambre des représentants ni par le Sénat.

 

L’objectif de ce projet de loi est de créer une norme unifiée, qui surmonte les charges résultant du paysage réglementaire fragmenté actuel. Avec 17 lois nationales sur la protection de la vie privée déjà approuvées et plusieurs autres à différents stades du processus législatif, l’APRA a été bien accueillie par les législateurs.

Parmi les avantages potentiels cités figurent la réduction des coûts pour les entreprises, une plus grande certitude réglementaire et la mise en place d’un plancher de protection pour les consommateurs des États, qui n’ont pas encore de lois sur la protection de la vie privée.

Scope

L’APRA s’appliquerait aux “entités couvertes” qui collectent ou traitent d’une autre manière des “données couvertes”.

 

Qu’est-ce qu’une “entité couverte” ?

 

Une entité couverte est une entreprise soumise à la FTC (Federal Trade Commission), un transporteur public ou un organisme à but non lucratif, qui détermine les finalités et les moyens du traitement des données couvertes.

Les “petites entreprises” sont exclues du champ d’application. Pour être considérée comme une petite entreprise, une société ne doit pas dépasser les seuils fixés par le code 518210 du système de classification des industries nord-américaines au cours des trois années précédentes ; elle ne doit pas collecter ou traiter les données couvertes de plus de 200 000 personnes par an (sauf à des fins de paiement) ; et elle ne doit pas transférer les données couvertes à un tiers en échange d’un revenu ou d’une autre compensation au cours des trois années précédentes.

 

En outre, l’APRA prévoit des exigences plus strictes pour les “grands détenteurs de données”, y compris la réalisation d’évaluations de l’impact sur la vie privée.

 

Qu’est-ce qu’une “donnée couverte” ?

Conformément aux lois nationales sur la protection de la vie privée, la définition des données couvertes fait référence aux informations “(…) qui identifient ou sont liées ou peuvent raisonnablement être liées, seules ou en combinaison avec d’autres informations, à une personne ou à un dispositif qui identifie ou est lié ou peut raisonnablement être lié à une ou plusieurs personnes”.

Il est important de noter que les données dépersonnalisées et les données relatives aux employés ne sont pas incluses dans ce concept. Sont également exclues les déductions faites exclusivement à partir de multiples sources indépendantes d’informations accessibles au public, si ces déductions ne révèlent pas de données sensibles couvertes et ne sont pas combinées avec celles-ci. Ce dernier point a été fortement critiqué par l’Agence californienne de protection de la vie privée (CCPA).

 

Dans le concept de données couvertes, certaines catégories d’informations font l’objet d’une protection accrue : les données couvertes sensibles, les informations biométriques et les informations génétiques. Le traitement de ces données nécessite généralement le “consentement explicite” du consommateur.

 

Bien que la notion de données sensibles couvertes soit assez large, elle a été critiquée pour avoir omis certaines catégories de données présentes dans les lois nationales sur la protection de la vie privée. C’est le cas de l’orientation sexuelle, de l’appartenance à un syndicat et du statut d’immigrant.

Concentrons-nous sur la minimisation des données :

La collecte ou le traitement des données couvertes est autorisé à des fins déterminées :

  • Pour fournir ou maintenir : (i) un produit ou un service demandé par le consommateur (par exemple, la facturation ou l’expédition) ou (ii) une communication raisonnablement attendue par le consommateur (à l’exclusion de la publicité) ; ou
  • Pour l’une des finalités énumérées et autorisées par l’APRA, y compris :

 

o le respect d’une obligation légale, l’exercice d’un droit légal ou le transfert à des autorités, des fusions ou des acquisitions ;

o Études de marché, dépersonnalisation des données couvertes pour l’amélioration des produits ou la recherche/analyse interne, ou fourniture de publicité de première partie ou de publicité contextuelle (à l’exception des données couvertes sensibles) ;

o protéger la sécurité des données, ou prévenir et traiter la fraude, le harcèlement ou les incidents de sécurité ; ou

o mener une recherche scientifique, historique ou statistique publique ou évaluée par les pairs.

La protection des personnes :

L’APRA établit un cadre protecteur pour les individus grâce à la reconnaissance de droits et à la mise en œuvre de principes de protection de la vie privée :

 

• Les personnes ont le droit d’accéder à leurs données, de les corriger, de les supprimer, ainsi que le droit à la portabilité de leurs données. En outre, elles ont la possibilité de refuser les transferts de données à des tiers et la publicité ciblée. L’APRA prévoit un droit d’action privé en cas de violation de ses dispositions.

• Un consentement explicite est requis dans certains cas, tels que le transfert d’informations sensibles couvertes.

• Le respect de la vie privée dès la conception, avec des politiques, des pratiques et des procédures obligatoires pour atténuer les risques en matière de protection de la vie privée.

• Transparence : les entités concernées et les prestataires de services sont tenus d’élaborer leurs propres politiques de protection de la vie privée et de les rendre accessibles au public ;

 

Malgré la possibilité que l’APRA assure un certain niveau de protection, plusieurs parties prenantes, dont une coalition de 15 procureurs généraux américains et l’Agence californienne de protection de la vie privée (CPPA), n’ont pas tardé à manifester leur désaccord sur différents points du projet :

Courtiers en données

Si l’APRA réglemente les courtiers en données, elle le fait d’une manière moins protectrice pour les consommateurs que la loi CCPA. En effet, l’APRA ne permet pas aux individus d’utiliser des tiers pour exercer leurs droits à l’encontre des courtiers en données. De plus, contrairement à la CCPA, la responsabilité des courtiers en données est plafonnée et aucune amende n’est prévue en cas de non-enregistrement ou d’absence de réponse aux demandes individuelles. L’ACPP a également souligné le manque de transparence concernant le type de données collectées par les courtiers en données, en particulier dans le cas des données relatives aux mineurs.

L’affaiblissement de l’application de la loi

L’approbation de l’APRA éliminerait l’ACPP, qui a été de plus en plus active dans l’application des lois sur la protection de la vie privée, en faveur d’une nouvelle autorité étatique. En outre, et malgré l’augmentation des pouvoirs de la FTC, l’ACCP considère que l’APRA affaiblirait l’application de la loi en offrant des zones de sécurité aux entreprises.

 

Effet sur d’autres lois et règlements relatifs à la protection de la vie privée

Le sujet le plus controversé est sans doute la large préemption qui s’étendra aux lois nationales sur la protection de la vie privée, à quelques exceptions près. L’ACPP a invité les législateurs à “envisager une législation fédérale complète sur la protection de la vie privée qui protège véritablement la vie privée des Américains en fixant un plancher et non un plafond” pour les droits à la vie privée, soulignant que l’APRA s’écarterait de la législation fédérale précédente sur la protection de la vie privée, qui “a fixé une base et permis aux États de mettre en place des protections plus fortes”.

Néanmoins, certaines lois, réglementations et dispositions ne seront pas affectées par la préemption :

•les lois fédérales et certaines de leurs réglementations.

• Certaines lois des États, telles que les lois générales sur la consommation ou les dispositions relatives aux informations sur la santé.

• Plusieurs dispositions clés relatives à la santé, aux soins de santé et à la recherche dans le domaine de la santé :

o HIPAA (Health Information Portability and Accountability), y compris les règlements promulgués en vertu de la section 246 (c) de HIPAA ;

o le CFR, y compris les règlements relatifs à la protection des sujets humains en vertu de la partie 46 du titre 45 du CFR ; 21 CFR Parties 6, 50 et 56, ou les données personnelles utilisées ou partagées dans le cadre d’une recherche menée conformément aux exigences énoncées dans le présent chapitre, ou d’une autre recherche menée conformément à la législation applicable ;

o les règlements et accords relatifs aux informations collectées dans le cadre de recherches menées conformément aux BPC.

o la règle de la FTC relative à la notification des violations (Breach Notification Rule).

Prochaines étapes

La sous-commission de l’énergie et du commerce de la Chambre des représentants chargée de l’innovation, des données et du commerce a voté en faveur du projet modifié et le texte a été transmis à la commission plénière de la Chambre des représentants pour examen. Toutefois, on ne sait pas encore si l’APRA sera approuvée avant les élections ou non, ni l’ampleur des changements qui pourraient être apportés au texte final.

AUTEUR:

Noelia Fernández Freire

Data Protection Lawyer

RELECTEUR:

Manon Darms

CIPP/US, Senior Data Protection Lawyer & Personal Development Lead