Skip to main content
News

La loi américaine sur le droit à la vie privée: ce que vous devez savoir

Actualités

La loi américaine sur le droit à la vie privée: ce que vous devez savoir

4 Juin, 2024

Le 7 avril, nous avons reçu l’annonce inattendue d’un nouveau projet de loi fédéral complet sur la confidentialité et la sécurité des données: l’American Privacy Rights Act (« APRA »). L’APRA s’inscrit dans la lignée de l’American Data Privacy and Protection Act (ADPPA) de 2022, qui n’a pas été adopté par la Chambre des représentants ni par le Sénat.

L’objectif de ce projet de loi est de créer une norme unifiée permettant de surmonter les obstacles résultant de la fragmentation actuelle du paysage réglementaire. Avec 17 lois étatiques sur la confidentialité déjà approuvées et plusieurs autres à différents stades du processus législatif, l’APRA a été saluée par les législateurs.

Parmi les avantages potentiels cités figurent la réduction des coûts pour les entreprises, une plus grande certitude réglementaire et la mise en œuvre d’un niveau de protection minimum pour les consommateurs des États qui n’ont pas encore de lois sur la protection de la vie privée en vigueur.

Champ

L’APRA s’appliquerait aux « entités couvertes » qui collectent ou traitent des « données couvertes ».

Qu’est-ce qu’une « entité couverte » ?

Une entité couverte est une entreprise soumise à la FTC (Federal Trade Commission), un transporteur public ou un organisme à but non lucratif, qui détermine les finalités et les moyens du traitement des données couvertes.

Sont exclues du champ d’application les « petites entreprises ». Pour être considérée comme une petite entreprise, une entreprise ne doit pas dépasser les seuils fixés par le code 518210 du Système de classification des industries de l’Amérique du Nord au cours des trois années précédentes; ne pas collecter ni traiter les données couvertes de plus de 200 000 personnes par an (sauf à des fins de paiement); et ne pas transférer les données couvertes à un tiers pour obtenir un revenu ou une autre rémunération au cours des trois années précédentes.

En outre, l’APRA prévoit des exigences plus strictes pour les « grands détenteurs de données », notamment la réalisation d’évaluations d’impact sur la vie privée.

Que sont les « données couvertes »?
Conformément aux lois sur la protection de la vie privée des États, la définition des données couvertes fait référence aux informations « (…) qui identifient ou sont liées ou raisonnablement rattachables, seules ou en combinaison avec d’autres informations, à une personne ou à un appareil qui identifie ou est lié ou raisonnablement rattachable à une ou plusieurs personnes. »

Il est important de noter que les données anonymisées et les données des employés ne sont pas incluses dans ce concept. Sont également exclues les inférences tirées exclusivement de multiples sources indépendantes d’informations accessibles au public, si ces inférences ne révèlent pas de données sensibles couvertes et ne sont pas combinées avec des données couvertes. Cette dernière a été vivement critiquée par l’Agence californienne de protection de la vie privée (CCPA).

Le concept de données couvertes englobe certaines catégories d’informations soumises à une protection renforcée : les données sensibles couvertes, les informations biométriques et les informations génétiques. Le traitement de ces données requiert généralement le consentement exprès et affirmatif du consommateur.

Bien que le concept de données sensibles couvertes soit assez large, il a été critiqué pour avoir omis certaines catégories de données figurant dans les lois sur la protection de la vie privée des États, comme l’orientation sexuelle, l’appartenance syndicale et le statut d’immigration.

Priorité à la minimisation des données:

La collecte ou le traitement des données concernées est autorisé à des fins déterminées:

  • Pour fournir ou maintenir: (i) un produit ou un service demandé par le consommateur (par exemple, facturation ou expédition) ou (ii) une communication raisonnablement attendue par le consommateur (à l’exclusion de la publicité); ou
  • Pour l’une des finalités énumérées et autorisées par l’APRA, notamment:

o Respect d’une obligation légale, exercice d’un recours en justice, transfert aux autorités, fusions ou acquisitions;
o Études de marché, anonymisation des données concernées pour l’amélioration des produits ou recherches/analyses internes, ou diffusion de publicités internes ou contextuelles (à l’exception des données sensibles);
o Protection de la sécurité des données, ou prévention et traitement de la fraude, du harcèlement ou des incidents de sécurité; ou
o Réalisation d’une recherche scientifique, historique ou statistique publique ou évaluée par des pairs.

Protection des personnes:

L’APRA établit un cadre de protection des personnes par la reconnaissance des droits et la mise en œuvre des principes de confidentialité:

  • Les personnes disposent d’un droit d’accès, de rectification, de suppression et de portabilité de leurs données. Elles ont également la possibilité de refuser les transferts de données à des tiers et la publicité ciblée. De plus, l’APRA prévoit un droit d’action privé en cas de violation de ses dispositions.
  • Un consentement exprès et explicite est requis dans certains cas, comme le transfert d’informations sensibles.
  • Respect de la vie privée dès la conception, avec des politiques, pratiques et procédures obligatoires pour atténuer les risques liés à la confidentialité.
  • Transparence, exigeant des entités et prestataires de services concernés qu’ils rédigent leurs propres politiques de confidentialité et les rendent publiques.

Malgré la possibilité que l’APRA offre un certain niveau de protection, plusieurs parties prenantes, dont une coalition de 15 procureurs généraux des États-Unis et l’Agence californienne de protection de la vie privée (CPPA), ont rapidement exprimé leur désaccord avec différents points du projet:

Courtiers en données

Si l’APRA réglemente les courtiers en données, elle le fait d’une manière moins protectrice pour les consommateurs que la loi californienne sur la protection de la vie privée des consommateurs (CCPA). En effet, l’APRA n’autorise pas les particuliers à recourir à des tiers pour exercer leurs droits contre les courtiers en données. De plus, contrairement à la CCPA, la responsabilité des courtiers en données est limitée, sans amende en cas de non-enregistrement ou de non-réponse aux demandes individuelles. La CPPA a également souligné le manque de transparence concernant le type de données collectées par les courtiers en données, notamment celles des mineurs.

Affaissement de l’application des lois

L’approbation de l’APRA éliminerait la CPPA, de plus en plus active dans l’application des lois sur la protection de la vie privée, au profit d’une nouvelle autorité étatique. De plus, et malgré les pouvoirs accrus de la FTC, la CCPPA considère que l’APRA affaiblirait l’application des lois en offrant des « safe harbors » aux entreprises.

Incidence sur d’autres lois et réglementations relatives à la protection de la vie privée

Le sujet le plus controversé est peut-être la préemption générale qui s’étendra aux lois étatiques sur la protection de la vie privée, à quelques exceptions près. La CPPA a invité les législateurs à « envisager une législation fédérale complète sur la protection de la vie privée qui protège véritablement la vie privée des Américains en fixant un seuil, et non un plafond » aux droits à la vie privée, soulignant que l’APRA s’écarterait de la précédente législation fédérale sur la protection de la vie privée, qui « a établi une base de référence et permis aux États de développer des protections plus solides ».

Néanmoins, certaines lois, réglementations et dispositions ne seront pas affectées par la préemption:

  • Lois fédérales et certaines de leurs réglementations connexes;
  • Certaines lois des États, telles que les lois générales sur la consommation ou les dispositions relatives aux informations de santé;
  • Plusieurs dispositions clés relatives à la santé, aux soins de santé et à la recherche en santé:

o HIPAA (Health Information Portability and Accountability), y compris les réglementations promulguées en vertu de l’article 246 (c) de la HIPAA;
o CFR, y compris les réglementations relatives à la protection des personnes humaines en vertu de la partie 46 du titre 45 CFR ; 21 CFR Parties 6, 50 et 56, ou les données personnelles utilisées ou partagées dans le cadre de recherches menées conformément aux exigences énoncées dans le présent chapitre, ou d’autres recherches menées conformément à la loi applicable;
o Réglementations et accords relatifs aux informations collectées dans le cadre de recherches menées conformément aux BPC;
o Règle de notification des violations de la FTC.

Prochaines étapes

La sous-commission de l’énergie et du commerce de la Chambre des représentants chargée de l’innovation, des données et du commerce a voté en faveur du projet modifié, et le texte a été transmis à l’ensemble de la commission de la Chambre pour examen. L’approbation de l’APRA avant les élections, ainsi que l’ampleur des modifications qui pourraient être apportées au texte final, restent toutefois incertaines.

AUTEUR:

Noelia Fernández Freire

Data Protection Lawyer

REVISEUR:

Manon Darms

CIPP/US, Senior Data Protection Lawyer & Personal Development Lead

Related Posts

News Essais cliniques en Espagne: L’AEPD remet-elle en cause le code de conduite du RGPD?

Essais cliniques en Espagne: L’AEPD remet-elle en cause le code de conduite du RGPD?

rumeysa
rumeysa8 avril 2025
News L’avis de l’EDPB sur l’IA et le RGPD – Êtes-vous conforme?

L’avis de l’EDPB sur l’IA et le RGPD – Êtes-vous conforme?

mathilde
mathilde7 avril 2025
News L’Espace européen des données de santé (EHDS) entre en vigueur: une nouvelle ère pour la santé en Europe

L’Espace européen des données de santé (EHDS) entre en vigueur: une nouvelle ère pour la santé en Europe

rumeysa
rumeysa28 mars 2025
Close Menu