Lois sur la confidentialité des données par État : Différentes approches de la protection de la vie privée

Alors que la protection de la data privacy est devenue une priorité pour les individus, les gouvernements à tous les niveaux ont promulgué une variété de lois sur les droits à la vie privée pour contrôler la manière dont les organisations collectent, stockent et traitent les informations personnelles, telles que les noms, adresses, données de santé, dossiers financiers et informations de crédit.

En savoir plus sur les lois de protection de la vie privée aux États-Unis, ainsi que sur les changements et autres développements à prévoir pour les lois existantes régissant les données personnelles

Comment la confidentialité des données est-elle appliquée aux États-Unis ?

La nécessité de répondre aux problèmes de confidentialité modernes et de protéger les droits à la protection des données est une tendance mondiale. Un moment déterminant a eu lieu en mai 2018, lorsque l'UE a mis en œuvre le Règlement Général sur la Protection des Données (GDPR), un texte législatif étendu qui s'applique non seulement aux États membres de l'UE, mais à toute organisation qui collecte ou traite les données des résidents européens.

En termes simples, les États-Unis n'ont pas d'équivalent au GDPR de l'UE. En effet, à partir de 2021, les États-Unis sont l'une des seules démocraties et le seul membre de l'Organisation de coopération et de développement économiques qui n'a pas d'agence fédérale de protection des données, bien que la sénatrice Kirsten Gillibrand et d'autres aient proposé la création d'une telle agence. Sans loi globale de protection des données au niveau fédéral, les États-Unis continuent de réglementer la confidentialité des données à travers un ensemble de lois adoptées aux niveaux étatique et fédéral.

Les entreprises doivent être conscientes de toute la législation pertinente avant de commencer à collecter ou à traiter des données pouvant être considérées comme des « informations personnelles ». Ne pas respecter les lois applicables sur la protection des données peut entraîner des poursuites judiciaires et des amendes.

Les lois fédérales sur la vie privée aux États-Unis et leur application

Les lois fédérales considérées comme des lois sur la protection des données incluent :

• Loi Gramm-Leach-Bliley (GLBA) : Également connue sous le nom de Loi sur la Modernisation Financière de 1999, la GLBA oblige les corporations financières à expliquer comment elles protègent et partagent les données sensibles des clients
• Health Insurance Portability and Accountability Act (HIPAA) : Cette loi fédérale réglemente la divulgation et l'utilisation des informations de santé protégées (PHI).
• Children’s Online Privacy Protection Act (COPPA) : Cette loi restreint la collecte d'informations personnelles concernant les enfants de moins de 13 ans.
• Family Educational Rights and Privacy Act (FERPA) : Cette loi fédérale protège la confidentialité des dossiers étudiants et s'applique à toutes les écoles qui reçoivent des fonds du département de l'Éducation des États-Unis.
• Fair Credit Reporting Act (FCRA) : Régit la collecte et l'utilisation des informations des consommateurs

Au niveau fédéral, la Federal Trade Commission (FTC) a une large juridiction sur les entités commerciales pour prévenir les « pratiques commerciales trompeuses », ce qui peut inclure les problèmes de confidentialité des données. La FTC a le pouvoir de faire respecter les lois sur la vie privée, d'émettre des réglementations et de prendre des mesures pour protéger les consommateurs. En particulier, la FTC peut agir contre les entreprises qui :

• Échec de la création, de la mise en œuvre et du maintien de mesures raisonnables de Data Security en cas de violation
• Enfreindre les droits à la vie privée des consommateurs en collectant, traitant ou partageant des informations les concernant sans leur consentement
• Publiez et établissez des politiques de confidentialité et de sécurité inexactes ou déroutantes pour les consommateurs sur les sites Web et les applications
• Collectez, traitez, transférez ou partagez des informations personnelles d'une manière qui n'est pas divulguée dans la politique de confidentialité

Lois sur la confidentialité des données au niveau des États aux États-Unis

De nombreux États américains disposent également de leurs propres lois sur la confidentialité et la sécurité des données. Les bureaux des procureurs généraux des États sont responsables de la supervision de ces lois.

Les réglementations au niveau des États ont souvent des dispositions qui se chevauchent ou sont incompatibles. Par exemple, les 50 États américains ont adopté des lois de notification de data breach, mais il existe des différences dans la définition des données personnelles et même dans ce qui constitue une violation de données. De même, au moins 35 États (et Porto Rico) ont promulgué une forme de réglementation sur l'élimination des données, de nombreuses lois abordant spécifiquement les données numériques.

Voici les principales lois sur la confidentialité des données par État qui ont été promulguées :

California Consumer Privacy Act

Date d'effet : 1er janvier 2020

Dispositions: Cette loi californienne sur la protection des données personnelles a été initiée par un projet de loi populaire en réponse à l'inquiétude croissante du public concernant la quantité de données privées que les entreprises numériques et technologiques de la Silicon Valley collectent et vendent en secret depuis des décennies. La loi californienne intègre les principes fondamentaux des exigences de protection et de confidentialité des données du Règlement général sur la protection des données (GDPR) de l'Union européenne.

Le CCPA régit la collecte, la vente et la divulgation des informations personnelles des résidents de Californie. Il s'applique aux activités des entreprises, des prestataires de services qui travaillent pour les entreprises et des tiers (qui peuvent être des individus ou des organisations). L'un des termes clés de la loi est que les entreprises doivent répondre rapidement aux demandes des consommateurs californiens concernant les données personnelles collectées à leur sujet et si elles sont vendues ou divulguées. La loi interdit toute discrimination à l'encontre des consommateurs qui exercent leurs droits ; les consommateurs doivent recevoir la même qualité de service même s'ils s'opposent à une activité particulière, comme la vente de leurs données. Les prestataires de services ne peuvent utiliser les données des consommateurs que sur directive de l'entreprise qu'ils servent et doivent supprimer les informations personnelles d'un consommateur de leurs dossiers sur demande.

Portée: Le CCPA s'applique à toutes les entreprises à but lucratif opérant en Californie qui répondent à certaines conditions, telles qu'un seuil de revenu. Il a un effet extraterritorial, car il couvre les entreprises non californiennes qui opèrent en Californie.

Autres faits clés :

• Certaines données sensibles sont exemptées des exigences du CCPA, y compris les informations de santé protégées (PHI) déjà couvertes par la Health Insurance Portability & Accountability Act (HIPAA), les informations médicales déjà couvertes par la California Confidentiality of Medical Information Act, et certaines informations couvertes par le Gramm-Leach-Bliley Act (GLBA).
• La loi exige actuellement que les entreprises étendent les droits fournis par le CCPA à leurs employés. Cependant, il existe un projet de loi en attente qui modifierait cette loi pour exclure les employés de la définition de « consommateur ».
• Lorsqu'une entreprise reçoit une demande de renseignements sur les informations collectées et stockées concernant une personne, elle doit vérifier que la personne qui fait la demande est bien celle qu'elle prétend être avant de répondre.

Pénalités pour infractions: La loi donne aux entreprises 30 jours pour « corriger » les infractions. Le défaut de remédier à une infraction entraîne une pénalité civile allant jusqu'à 7 500 $ US pour chaque violation intentionnelle et 2 500 $ US pour chaque violation non intentionnelle.

California Privacy Rights Act (CPRA)

Nom officiel : Proposition 24

Date d'effet : 1er janvier 2023, mais ne sera appliquée qu'à partir du 1er juillet 2023

Dispositions : Cette loi californienne accorde de nouveaux droits aux consommateurs, tels que le droit de :

• Corrigez les informations inexactes.
• Ayez des informations personnelles collectées sous réserve de limitations de finalité et de minimisation des données.
• Recevez des notifications de la part des entreprises prévoyant d'utiliser des informations personnelles sensibles et demandez-leur d'arrêter. Cela inclut les informations biométriques, les données génétiques et toute information concernant la santé, l'orientation sexuelle ou la vie sexuelle d'une personne.

Portée : Cette loi a une portée plus large que le CCPA puisqu'elle offre les droits élargis suivants aux consommateurs :

• Le droit d'intenter une action en justice contre les entreprises lorsqu'elles exposent des mots de passe et des noms d'utilisateur : La CPRA élargit la définition du « renseignement personnel » de la CCPA pour inclure les noms d'utilisateur et les mots de passe.
• Le droit de refuser le partage d'informations avec des tiers : Sous le CCPA, ce point était débattu car « vendre » n'incluait pas explicitement le partage. Avec le CPRA, les consommateurs peuvent désormais refuser la vente et le partage de leurs informations personnelles à des tiers.
• Le droit d'accéder à plus d'informations : Les consommateurs peuvent demander l'accès à toute information personnelle recueillie par une entreprise, et pas seulement aux informations collectées durant les 12 mois précédents.

Autres faits clés : Cette loi crée également une nouvelle agence de confidentialité, la California Privacy Protection Agency (CPPA), qui sera chargée de l'application.

Pénalités pour infractions : Les amendes peuvent varier de 2 500 $ à 7 500 $, selon que vous êtes une entreprise ou un particulier. Il existe également des amendes automatiques de 7 500 $ pour les violations des données des mineurs (toute personne de moins de 16 ans).

Colorado Privacy Act (CPA)

Nom officiel : SB 21-190

Date d'effet : 1er juillet 2023

Dispositions : La CPA s'applique aux « contrôleurs » qui opèrent dans le Colorado ou fournissent des produits ou services ciblés aux résidents du Colorado qui :

• Contrôlez ou traitez les données personnelles de 100 000 consommateurs ou plus en un an
• Obtenez des revenus ou bénéficiez de réductions sur le prix des services ou des biens en vendant, en traitant ou en contrôlant les données personnelles de 25 000 consommateurs ou plus

À partir du 1er juillet 2024, les contrôleurs répondant aux exigences ci-dessus devront respecter les désinscriptions pour les ventes ciblées et la publicité. La CPA accorde également aux résidents du Colorado le droit d'accéder, de corriger et de supprimer leurs données personnelles, en plus du droit à la portabilité des données. Les contrôleurs auront 45 jours pour répondre aux demandes.

Portée : Contrairement au California Consumer Privacy Act de 2018, le CPA n'a pas de seuil monétaire pour son applicabilité. Cela signifie que chaque entreprise doit prendre en compte cette loi. Toutefois, elle ne s'applique pas aux institutions suivantes :

• Les institutions financières soumises à la GLBA
• Divers types de données liées à la santé
• Données régies par FERPA

Contrairement aux lois de Californie, le CPA n'exclut pas les organisations à but non lucratif.

Autres faits clés : Le CPA rend nécessaire pour les contrôleurs de conclure des accords de traitement des données (DPAs) avec les processeurs. Les contrôleurs devront également réaliser et consigner des évaluations de la protection des données.

Sanctions pour infractions : Il n'existe pas de droit d'action privé, donc le procureur général du Colorado et les procureurs de district appliqueront le CPA. Ils peuvent demander des dommages-intérêts ou une injonction. Cependant, avant d'agir, le procureur général et les procureurs de district doivent émettre un avis de violation et permettre aux entreprises ou aux individus 60 jours pour remédier à la violation alléguée. Après janvier 2025, ce « droit de remédier » sera remplacé par le droit du contrôleur de demander des orientations au bureau du procureur général.

Loi sur la protection des données des consommateurs de Virginie (CDPA)

Nom officiel : SB-1392

Date d'effet : 1er janvier 2023

Dispositions : La CDPA accorde aux consommateurs six droits :

• Droit de rectification
• Droit d'accès
• Droit à la portabilité des données
• Droit à l'effacement
• Droit de se désinscrire
• Droit de recours

Portée : Cette loi s'applique aux entités qui font des affaires en Virginie ou créent des services ou des produits ciblant les résidents de Virginie qui :

• Contrôlez ou traitez les données personnelles de plus de 100 000 consommateurs pendant une année
• Contrôlez ou traitez les données personnelles de plus de 25 000 consommateurs et tirez au moins la moitié de vos revenus bruts de la vente de données personnelles

Comme la CPA du Colorado, la CPDA de Virginie n'a pas de seuil de revenu. Cela signifie que les entreprises de toutes tailles doivent prêter attention à cette loi.

La définition de « consommateur » n'inclut pas une personne agissant dans un contexte d'emploi ou commercial. Cela la distingue de la CPRA, qui inclut les données des employés. Par conséquent, les entreprises n'auront pas à prendre en compte les données des employés lorsqu'elles déterminent si la CPDA leur est applicable.

Autres faits clés : Comme le RGPD de l'UE et le CCPA de Californie, le CDPA contient une disposition limitant la collecte de données à ce qui est « adéquat, pertinent et raisonnablement nécessaire par rapport aux finalités pour lesquelles les données sont traitées. »

Sanctions pour infractions : Comme le CPA du Colorado, le CDPA de Virginie n'offre pas de droit d'action privé. L'application relève de la responsabilité du procureur général. Le responsable du traitement dispose de 30 jours pour remédier à l'infraction après que le procureur général l'ait informé qu'une action serait entreprise. Si le responsable ne corrige pas l'infraction dans ce délai, le procureur général peut lui infliger une amende allant jusqu'à 7 500 $ par infraction.

Projet de loi sur la confidentialité sur Internet du Nevada (SB260)

Nom officiel : BDR-52-253

Date d'effet : 1er octobre 2021

Dispositions : Cette loi offrira aux résidents du Nevada un droit plus étendu de se désinscrire de la vente de leurs informations personnelles. Elle crée également de nouvelles exigences pour les « courtiers en données », qui sont définis comme des entités dont le principal moyen d'affaires est la vente d'informations sur les consommateurs provenant d'opérateurs ou d'autres courtiers en données. Les courtiers en données doivent établir une adresse désignée par laquelle les consommateurs peuvent demander au courtier en données de cesser de vendre leurs informations. Le courtier en données devra répondre dans les 60 jours suivant la réception.

Portée : La loi élargit la portée du droit de retrait, mais la portée des « informations couvertes » est plus étroite que les « informations personnelles » définies par des lois similaires.

« Les informations couvertes » se limitent à :

• Prénoms et noms de famille
• Adresses physiques/domiciles
• Adresse e-mail
• Numéros de téléphone
• Numéros de sécurité sociale
• Identifiants permettant de contacter la personne en personne ou en ligne

Autres faits clés : Le projet de loi modifie les statuts de notification de confidentialité en ligne du Nevada, tels que NRS 603A.300-360.

Pénalités pour infractions : Le procureur général du Nevada est chargé de faire appliquer cette loi. Le tribunal émettra une injonction temporaire ou permanente ou une amende civile allant jusqu'à 5 000 $ par infraction.

Loi sur la protection des données du Massachusetts

Nom officiel: Normes pour la protection des informations personnelles des résidents du Commonwealth (201 CMR 17.00)

Date d'effet: 1 mars 2010

Dispositions: Cette loi établit des exigences pour protéger les résidents du Massachusetts contre le vol d'identité et la fraude.

Portée: Toute organisation qui licence, stocke ou maintient des données personnelles concernant des résidents du Massachusetts doit mettre en œuvre un programme complet de sécurité de l'information.

Autres faits clés :

• La loi exige que les entreprises disposent d'une personne dédiée pour gérer un programme de sécurité des données et mener régulièrement des formations pour les employés.
• La loi exige également que les entreprises prennent des « mesures raisonnables » pour vérifier que les prestataires de services tiers ayant accès aux informations personnelles peuvent protéger ces informations.
• La loi protège la sécurité et la confidentialité des informations personnelles des consommateurs et des employés, ce qui inclut le prénom, le nom de famille, le numéro de sécurité sociale, le numéro de permis de conduire, le numéro de carte d'identité délivrée par l'État, le numéro de compte financier, le numéro de carte de crédit ou de débit, et tout code d'accès permettant d'accéder aux informations financières d'une personne. Cependant, elle exclut les informations obtenues à partir de sources publiquement disponibles.
• Le Massachusetts travaille également sur une réglementation de la confidentialité des données similaire à la CCPA. Si elle est adoptée, la SD.341 « An Act Relative to Consumer Data Privacy », devrait entrer en vigueur le 1er janvier 2023.

Pénalités pour infractions: L'Office of Consumer Affairs and Business Regulation est responsable de l'application. Chaque violation intentionnelle de la loi peut entraîner une pénalité civile allant jusqu'à 5 000 dollars américains, plus les « coûts raisonnables d'enquête et de litige de cette violation, y compris les honoraires raisonnables d'avocats. »

Loi sur la protection des données du Minnesota

Nom officiel: Loi sur les pratiques en matière de données du gouvernement du Minnesota (MGDPA) (Minn. Stat. § 13)

Date d'effet: 1979

Dispositions: Cette loi du Minnesota protège le droit des individus à accéder aux données gouvernementales et contrôle la collecte, le stockage, l'utilisation et la diffusion des données privées. Elle établit un système de classification pour différencier les différents types d'informations, telles que les données éducatives et les données des forces de l'ordre. De plus, les données concernant les individus sont étiquetées comme publiques ou non publiques, tandis que les données ne concernant pas les individus sont étiquetées comme non publiques ou protégées non publiques.

Portée: La loi s'applique à toute entité gouvernementale du Minnesota.

Autres faits clés :

• La loi exige que chaque agence d'État nomme une « autorité responsable » qui établira des procédures pour garantir que les demandes de données soient « reçues et traitées de manière appropriée et rapide. » Si une entité gouvernementale souhaite collecter des données privées ou confidentielles d'un individu, elle doit fournir à cette personne un avis de confidentialité appelé un « Tennessen »
• En cas de litige entre une entité gouvernementale et une personne concernant les pratiques de données, la personne peut demander un avis consultatif auprès du Commissaire à l'Administration.

Sanctions pour violations: Les sanctions peuvent inclure une action civile pour une violation délibérée, ou des honoraires d'avocat si l'entité gouvernementale ne suit pas l'avis consultatif. Pour les violations délibérées, le tribunal peut également imposer des sanctions pénales aux employés publics, les suspendre sans salaire ou les licencier.

Lois proposées sur la confidentialité des données par les États américains

Toutes les lois sur la protection des données ci-dessus ont été promulguées, mais il y a des lois en cours de discussion. Elles incluent les suivantes :

Loi sur la protection de la vie privée personnelle de l'Ohio (OPPA)

Nom officiel: House Bill 376

Description : Ce projet de loi est similaire à la législation établie en Californie, en Virginie et au Colorado. S'il est adopté, il accordera aux habitants de l'Ohio certains droits numériques et imposera des obligations à toute entreprise qui collecte les données personnelles des consommateurs de l'Ohio.

Loi sur la protection de la vie privée des consommateurs de Caroline du Nord (CPA)

Nom officiel: Senate Bill 569

Description : Si elle est promulguée, cette loi accorderait aux consommateurs de Caroline du Nord les droits suivants :

• Droit à la connaissance et à l'accès
• Droit de rectification
• Droit à l'effacement
• Droit de se désinscrire
• Droit d'action privé

Cela s'appliquera à toutes les entreprises qui ciblent leurs services et produits aux résidents de Caroline du Nord et qui :

• Traitez ou contrôlez les données personnelles de 100 000 consommateurs ou plus par an
• Traitez ou contrôlez les données personnelles d'au moins 25 000 consommateurs et tirez plus de la moitié des revenus bruts de la vente de ces données personnelles.

Loi sur la transparence des données et la protection de la vie privée de Rhode Island

Nom officiel: HB 5959

Description : Ce projet de loi décrit les pratiques de partage d'informations et exige de la transparence dans la manière dont les données des consommateurs sont collectées, obligeant certaines entreprises à fournir des divulgations de politique de confidentialité. Si adoptée, la loi aidera les consommateurs à identifier les informations personnelles collectées, partagées ou vendues à des tiers par les fournisseurs de services en ligne et les sites web commerciaux.

Loi sur la protection de la vie privée des consommateurs de Pennsylvanie

Nom officiel: House Bill 1126

Description : Cet acte s'appliquerait aux entreprises à but lucratif qui répondent à tous les critères suivants :

• Faites des affaires en Pennsylvanie
• Collecter, partager ou vendre les informations personnelles des consommateurs
• Déterminez seul ou avec d'autres les finalités et les moyens du traitement des informations personnelles des consommateurs
• Répondez à l'une des exigences suivantes :
  • Tirent la moitié de leurs revenus annuels de la vente des informations personnelles des consommateurs
  • Achetez, partagez ou vendez annuellement (seul ou avec d'autres) les informations personnelles de 50 000 consommateurs, appareils ou foyers
  • Avoir un revenu brut annuel d'au moins 10 millions de dollars

New Jersey — Trois projets de loi sur la confidentialité des données

Noms officiels : A5448, A3283, et A3255

Description :

A5448 et A3255 ont des objectifs similaires : Ils exigeraient des entreprises qu'elles informent les consommateurs de la collecte et de la divulgation d'informations personnelles identifiables et permettent aux consommateurs de se désinscrire.

A3283, la loi sur la divulgation et la transparence en matière de responsabilité du New Jersey (NJ DaTA), établirait des exigences pour la divulgation et le traitement des informations personnellement identifiables. Le projet de loi créerait également un Bureau de la protection des données et de l'utilisation responsable au sein de la Division des affaires des consommateurs.

Massachusetts Information Privacy Act (MIPA)

Nom officiel: S.46

Description : Ce projet de loi est une version modifiée de la People’s Privacy Act de l'État de Washington. Il protégerait les consommateurs contre la collecte, l'utilisation et la monétisation non autorisées de leurs informations personnelles, y compris les données de localisation et biométriques ; interdirait la discrimination basée sur les informations personnelles, et protégerait les travailleurs contre la surveillance électronique injustifiée sur le lieu de travail.

Loi sur la protection de la vie privée des consommateurs d'Hawaï

Nom officiel: SB 418

Description : Ce projet de loi proposé accordera aux consommateurs le droit d'accéder, de supprimer et de refuser la vente de leurs informations personnelles. Comme le CCPA, il possède une définition large de « l'information personnelle ». Il a les mêmes protections et droits majeurs que le CCPA, mais il ne définit pas ce qu'est une « entreprise », donc il n'exclut pas les entreprises en fonction de leur taille.

Loi sur la protection de la vie privée des consommateurs de New York (NYPA)

Nom officiel : Senate Bill S567

Description : Cette proposition de loi sur la protection des données à New York est très similaire au CCPA. Elle permettrait aux individus de savoir quelles données une entreprise a collectées à leur sujet et avec qui elles ont été partagées, de demander à l'entreprise de corriger ou de supprimer les données, et de refuser que leurs données soient partagées avec ou vendues à des tiers. Le NYPA compléterait la loi existante de New York sur la notification en cas de violation de données en élargissant la protection des informations personnelles.

Le projet de loi propose des normes élevées de protection de la vie privée des données, telles que les suivantes :

• Il impose des obligations fiduciaires à toute entité juridique qui collecte, vend ou concède sous licence des données personnelles, et définit ces obligations de manière large. Les entreprises doivent sécuriser les données personnelles des consommateurs contre tout risque qui les affecte. De plus, il est dit que la responsabilité du fiduciaire des données prévaut sur « toute obligation envers les propriétaires ou actionnaires. »
• Elle est plus stricte que les autres lois des États en ce qu'elle exige des entreprises qu'elles placent la vie privée de leurs clients avant leurs propres profits. Cette législation sur la vie privée contient une ligne très controversée qui dit que les organisations devraient « agir dans le meilleur intérêt du consommateur ». Elle n'explique cependant pas ce que les entreprises devraient réellement comprendre sur les intérêts des New-Yorkais et des autres clients.
• Il offre un droit d'action privé — donnant aux consommateurs le droit de poursuivre directement les entreprises pour violations de la vie privée plutôt que de laisser l'application à l'Attorney General de l'État.

Conclusion

Les États américains promulguent leurs propres réglementations en matière de confidentialité des données et de cybersécurité car, contrairement à l'UE, les États-Unis n'ont pas encore adopté de loi fédérale globale sur la confidentialité des données. La situation va continuer à se complexifier à mesure que de nouvelles lois étatiques entreront en vigueur dans les mois et les années à venir. Pour éviter de lourdes pénalités, des poursuites judiciaires et d'autres conséquences liées aux manquements à la conformité, les organisations devraient examiner attentivement les lois sur la confidentialité des données aux États-Unis et s'assurer qu'elles répondent à toutes les exigences applicables.

F.A.Q.

Quelles lois américaines imposent des exigences pour la sécurisation de la confidentialité des données ?

En l'absence d'une législation fédérale globale régissant la confidentialité des données, les États-Unis sont régis par des lois spécifiques à chaque secteur et à chaque État qui contrôlent le partage de types particuliers de données personnelles. Ces lois comprennent :

• Loi sur la protection de la vie privée de 1974 — Protège les informations personnelles détenues par les agences fédérales
• Health Insurance Portability and Accountability Act (HIPAA) et Health Information Technology for Economic and Clinical Health Act (HITECH) — Protège les informations personnelles sur la santé (PHI)
• Gramm–Leach–Bliley Act (GLBA) — Protège les informations financières
• Children’s Online Privacy Protection Act (COPPA) — Protège la vie privée des enfants
• Family Educational Rights and Privacy Act (FERPA) — Protège les informations personnelles des étudiants
• California Consumer Privacy Act (CCPA) — Protège les droits à la vie privée des résidents de Californie
• La loi SHIELD de New York — Protège les informations personnelles et privées des résidents de l'État de New York

Quels types de données sont couverts par les lois américaines sur la vie privée ?

Les informations considérées comme sensibles par les lois américaines comprennent :

• Informations personnellement identifiables (PII) — Informations qui pourraient être utilisées pour identifier, contacter ou localiser une personne ou pour distinguer une personne d'une autre, telles que le nom, l'adresse et le numéro de sécurité sociale
• Informations personnelles sur la santé (PHI) — Informations sur l'état de santé, les antécédents médicaux, les informations d'assurance et autres données privées qui sont collectées par les prestataires de soins de santé et pourraient être associées à une certaine personne
• Informations financières personnellement identifiables (PIFI) — Numéros de carte de crédit, détails de compte bancaire ou autres données concernant les finances d'une personne
• Dossiers des étudiants — Les notes, relevés de notes, emplois du temps, détails de facturation et autres dossiers éducatifs d'un individu

Qu'est-ce qui est protégé par le Privacy Act de 1974 ?

La loi sur la protection de la vie privée de 1974 régit la manière dont les dossiers fédéraux des individus sont gérés par les agences fédérales et exige que ces agences suivent diverses exigences strictes en matière de tenue de dossiers. Elle permet aux individus d'accéder aux dossiers les concernant, de savoir si ces dossiers ont été divulgués et de demander des corrections ou des modifications à ces dossiers, à moins que les dossiers ne soient légalement exemptés.

Combien d'États américains ont des lois sur la confidentialité des données ?

Au moins 16 États ont des lois sur la confidentialité des données et trois d'entre eux ont des lois complètes sur la confidentialité des données des consommateurs. La Californie a établi la célèbre California Consumer Privacy Act (CCPA), qui a incité à une législation similaire au Colorado et en Virginie.

Les lois fédérales et d'État américaines sur la vie privée s'appliquent-elles aux entreprises étrangères ?

Cela dépend de plusieurs facteurs, y compris l'impact sur les individus, l'impact sur le commerce américain, et si l'entreprise possède une filiale aux États-Unis. Les entreprises étrangères peuvent être soumises aux lois américaines si elles collectent, traitent ou partagent les informations personnelles des résidents américains. Par exemple, si une entreprise étrangère fait des affaires en Californie et collecte les informations personnelles des résidents californiens pendant que les consommateurs sont en Californie, elle est soumise à la CCPA.

Comment les lois sur la vie privée aux États-Unis diffèrent-elles du RGPD de l'UE ?

Le RGPD est un mandat complet sur la confidentialité des données qui s'applique à tous les États membres et à toute entreprise dans le monde qui collecte ou traite les données des résidents de l'UE. Les États-Unis ne disposent d'aucune loi équivalente ; au lieu de cela, la confidentialité des données est régie par un ensemble de lois fédérales spécifiques à chaque secteur et diverses lois étatiques.

Un droit spécifique protégé par le RGPD mérite d'être mentionné : le right to be forgotten, qui est le droit de demander que les informations personnelles d'une personne soient retirées des registres d'une organisation. Ce droit est souvent considéré comme incompatible avec le droit à la liberté d'expression, consacré dans le Premier Amendement de la Constitution des États-Unis, car forcer le retrait d'informations peut être perçu comme une restriction de la liberté d'expression et comporter un risque de censure. Néanmoins, plusieurs lois aux États-Unis offrent une certaine forme du droit à l'oubli. Par exemple, la COPPA donne aux parents le pouvoir de consulter et de supprimer les informations de leurs enfants, et la CCPA permet aux résidents de Californie de demander la suppression de leurs dossiers, avec certaines limitations.