Messages les plus consultés

jeudi 28 mai 2015

Vers un renforcement de la réglementation en matière de protection des données personnelles aux Etats-Unis ?


Les Etats-Unis disposent de plusieurs lois sectorielles en matière de protection des données personnelles, mais pas de loi globale, équivalente à la directive européenne de 1995 ou à la loi informatique et libertés en France. Ce constat est valable tant au niveau fédéral qu’au niveau des états fédérés.

Ainsi, au fil des ans, le législateur fédéral a adopté plusieurs lois sur la protection des données personnelles telles que le Privacy Act (1974), concernant les traitements de données effectués par le gouvernement fédéral, et pour le secteur privé le Health Insurance Portability and Accountability Act (1996), le Children’s Online Privacy Protection Act (COPPA) (1998) et le Gramm-Leach Bliley Act (1999), visant respectivement la protection des données de santé, des mineurs et financières.

Par ailleurs, de nombreux états fédérés ont adopté, ou sont sur le point d’adopter, des lois imposant aux entreprises de notifier toute violation de données personnelles aux personnes concernées (consommateurs, internautes, abonnés), ou visant à assurer un niveau élevé de protection de la vie privée des élèves.

Face à la pression grandissante de la part de groupes de citoyens et consommateurs américains, notamment suite aux révélations d'Edward Snowden sur les pratiques mises en œuvre par la National Security Agency (NSA), mais également de la part de la Commission européenne, les uns et les autres exigeant un niveau global de protection de la vie privée plus élevé, le Congrès américain a récemment annoncé réfléchir sur une réforme de vaste ampleur visant à établir des normes fédérales en matière de protection de la vie privée. (1)

Nous donnons ci-après un aperçu des principales réglementations et des réformes législatives en cours au niveau des états fédérés, avant d'aborder les récentes initiatives de réglementation au niveau fédéral.


1. Des avancées significatives au niveau des états fédérés

Deux domaines ressortent principalement des législations des états fédérés : l'obligation de notification des violations de données personnelles et les règles relatives au respect de la vie privée des élèves.

    1.1  L’obligation de notification des violations de données personnelles

On entend généralement par violation de données personnelles toute violation de la sécurité (telle qu'une atteinte à un STAD) entraînant accidentellement ou de manière illicite la destruction, la perte, l'altération, la divulgation ou l'accès non autorisé à des données.

Depuis le début de l’année 2015, plusieurs états, dont le Wyoming et l'état de Washington, ont introduit des projets de loi ou des amendements à des lois existantes relatifs à l'obligation de notifier les violations des données personnelles. Hormis les états du Wyoming et de Washington, il en va notamment des états du Montana, de l’Alabama et du Connecticut. Ces différents textes, qui doivent entrer en vigueur dans les prochains mois, listent pour la plupart les catégories de données personnelles concernées par l’obligation de notification, les destinataires des notifications, les informations à fournir et le délai dans lequel cette notification doit avoir lieu. (2)

Les informations personnelles concernées par cette obligation de notification sont notamment les données de nature médicale, les données biométriques, l’état civil, le régime matrimonial, les numéros de sécurité sociale, de permis de conduire, etc.

Les destinataires de ces notifications sont les personnes dont les données ont été compromises, mais également, selon les états, le Bureau de protection des consommateurs du Procureur général lorsque la violation concerne plus de cinq cents résidents, ou encore le Commissaire aux assurances si l’organisme concerné est une compagnie d’assurance.

Ces textes législatifs enjoignent aux entreprises qu’elles fournissent une information claire et compréhensible aux destinataires de la notification. Les mentions obligatoires à communiquer comprennent notamment : une description générale de la violation, la date approximative de l’incident, les actions prises pour prévenir les violations à venir et des conseils sur les bonnes pratiques à adopter par les citoyens pour éviter la violation de leurs données. Dès lors que la notification est faite auprès du Procureur général, celle-ci doit inclure une copie de la notification adressée aux personnes concernées, la date de cette notification ainsi qu’une indication du nombre de résidents de l’état affectés par la violation de données.

Enfin, certains textes mentionnent le délai maximal dans lequel la notification doit être envoyée. Ce délai varie entre 30 et 45 jours, à compter de la découverte de l’incident.

    1.2  La protection de la vie privée des élèves

Les lois sur la vie privée des élèves, de l’école maternelle au lycée, se multiplient. On compte aujourd’hui huit états ayant adopté des lois sur la protection de la vie privée des élèves, et plus d’une centaine de projets de lois sont envisagés par 42 états. A ce titre, sept états (Californie, Caroline du Nord, Colorado, Idaho, Kentucky, Louisiane, et l'état de New-York) ont adopté en 2014 de nouveaux textes (lois ou amendements à des lois existantes) relatifs à la vie privée des écoliers.

Ainsi, les états de l’Idaho et de New-York ont promulgué des lois interdisant aux entreprises d’utiliser les données personnelles des élèves à des fins marketing, publicitaire et commerciale. Le Kentucky a voté une loi proscrivant aux fournisseurs de services de Cloud computing le traitement des données personnelles des élèves à des fins commerciales. (3)

La Californie a adopté le "Student Online Personal Information Protection Act" (SOPIPA). Cette loi, qui doit entrer en vigueur le 1er janvier 2016, interdit aux opérateurs sur internet de vendre et d’utiliser les données des élèves pour réaliser de la publicité ciblée via des sites internet et des applications mobiles. La Californie prévoit également de modifier les dispositions concernant la vie privée dans son "Business and Professions Code". Cet amendement interdira de manière générale l’utilisation des données des étudiants à des fins autres que la finalité initiale, à savoir, les buts inhérents à l’éducation, de l’école maternelle au lycée ("K-12 school purposes").

Enfin, en Géorgie, le "Student Data Privacy, Accessibility and Transparency Act", adopté le 6 mai 2015, crée un droit d’accès, pour les parents d’élèves qui en font la demande, aux dossiers scolaires de leurs enfants et aux données personnelles qu’ils contiennent. En pratique, les parents d’élèves ont désormais la possibilité de consulter ces dossiers et de modifier et/ou de supprimer les informations personnelles concernant leurs enfants.


2. Les prémices d’une harmonisation législative au niveau fédéral


Lors d'une allocution le 12 janvier 2015, le Président Obama a déclaré vouloir travailler avec le Congrès à l'élaboration de nouvelles lois visant à mieux encadrer la protection de la vie privée des Américains. Suite à cette déclaration les premières propositions de lois ont été élaborées dans trois domaines en particulier : notification des violations de données personnelles, protection de la vie privée des consommateurs et protection de la vie privée des élèves.

    2.1  La notification des violations de données personnelles

Une première proposition de loi a pour objectif d’imposer aux entreprises de notifier à leurs clients, dans un délai maximal de 30 jours, toute faille de sécurité ayant un impact sur leurs données. (4) Ce texte ne concernerait que les entreprises stockant des données sensibles personnelles ou financières de plus de 10.000 clients. Ces entreprises devront notifier les cas de violations de données aux personnes concernées. Au sens de ce texte, les "données sensibles" désignent toute information ou tout groupe d’informations sous forme électronique et incluant une adresse postale, un numéro de sécurité sociale non tronqué, un numéro de permis de conduire, un mot de passe, des données biométriques, etc.

L'objectif de cette initiative est d’harmoniser la réglementation au niveau fédéral. En effet, on compte actuellement 47 lois réglementant la question de la violation des données personnelles aux Etats-Unis. Ainsi par exemple, en fonction de l’état dans lequel il réside, un citoyen américain peut être averti ou non en cas de piratage de ses données.

    2.2  Le renforcement de la protection de la vie privée des consommateurs

La seconde proposition de loi fédérale concerne les droits des consommateurs. (5) Cette proposition devrait permettre aux consommateurs américains de connaître l’étendue du traitement de leurs données envisagé par le professionnel (conditions de collecte, d’utilisation, de partage, et de revente éventuelles des données).

Le projet de texte propose de fournir un corpus unique de normes fédérales remplaçant le patchwork des lois existantes. Il étendrait la protection actuellement offerte par les états et proposerait l'adhésion au programme "Safe Harbor" aux entreprises adoptant un code de conduite approuvé par la Federal Trade Commission (FTC) et conforme au texte de loi.

Pour rappel, le Safe Harbor désigne un ensemble de principes de protection des données personnelles, négociés entre les autorités américaines (US Department of Commerce) et la Commission européenne en 2000, sur la base de la directive européenne de 1995 sur la protection des données personnelles. Le système du Safe Harbor fonctionne sur le volontariat et est déclaratif pour les entreprises souhaitant y adhérer. Les principes du Safe Harbor permettent d’assurer un niveau de protection suffisant pour les transferts de données en provenance de l’Union européenne vers des entreprises établies aux Etats-Unis ayant adhéré au programme. (6)

    2.3  Le souci de garantir la protection des données personnelles des élèves

Enfin, la troisième série de textes fédéraux est spécifiquement consacrée aux élèves. Les législateurs réfléchissent au rôle des technologies dans le milieu scolaire. En effet la multiplication des données et de leurs modes de communication (notamment via les outils de collaboration entre élèves ou les outils multimédias) impose de définir des règles de sécurité et de protection de la vie privée. (7)

La première proposition vise à créer de nouvelles obligations liées à la collecte et au traitement des données des élèves. Ce texte interdirait notamment aux entreprises proposant des logiciels éducatifs de revendre les données qu'elles collectent auprès des élèves, ou d'utiliser ces données pour des publicités ciblées.

Le second texte, un amendement au Family Educational Rights and Privacy Act (FERPA - 1974), a pour objectif de créer un droit d’accès pour les parents d’élèves aux dossiers scolaires de leurs enfants. Les parents pourront ainsi consulter et corriger ou supprimer les données personnelles de leurs enfants, détenues par les écoles.


    Ces initiatives diverses, tant au niveau des états fédérés qu’au niveau fédéral, traduisent la volonté des Etats-Unis de pallier les lacunes de la réglementation en vigueur en matière de protection des données personnelles. Toutefois, ces propositions de lois et amendements se heurtent à une forte opposition de la part d'une partie des membres du Congrès. En outre, on constate que l'approche américaine reste orientée sur des textes spécifiques et/ou sectoriels et que les Etats-Unis ne se dirigent pas vers une grande loi fédérale de protection des données personnelles.

Par ailleurs, depuis l’affaire Snowden (ou "Prism"), le programme Safe Harbor est remis en cause notamment par les institutions européennes. Ainsi, en novembre 2013, la Commission européenne a publié 13 recommandations visant à rétablir la confiance dans les transferts de données entre l’Union européenne et les Etats-Unis. Face à l’inertie des Etats-Unis, le Parlement européen a émis, en mars 2014, une résolution réclamant la suspension immédiate du programme Safe Harbor. (8) Si le programme Safe Harbor devait réellement être dénoncé, cela aurait un impact significatif sur le commerce transatlantique, obligeant à revenir à un système d'autorisation préalable à l'exportation de données personnelles depuis l'Europe vers les Etats-Unis. L'impact serait particulièrement sensible pour les entreprises américaines exploitant des services en cloud computing vers l'Europe ou pour les services de réseaux sociaux.


                                                             * * * * * * * * * * * *

Betty SFEZ – Avocat
en collaboration avec Inès NUNGUET

Deleporte Wentz Avocat
www.dwavocat.com

Mai 2015


(1) L'une des questions posées cependant est de déterminer si les questions relatives à la réglementation de la protection de la vie privée relèvent du pouvoir fédéral ou du domaine législatif des états fédérés, ce qui explique en partie pourquoi les Etats-Unis ne disposent pas encore de loi "globale" sur le sujet.

 (2) Voir notamment : Wyoming: Enrolled Act no. 20 and 22, Senate – 63rd legislature of the state of Wyoming 2015 General Session ; Washington : Senate Bill 5047 State of Washington 64th Legislature, Prefiled 01/07/15. Act relating to enhancing the protection of consumer financial information.

(3) Voir notamment : Idaho : Idaho Code §33-133, Title 33 Education; Chapter 1 State Board of Education - 33-133, added 2014, ch. 281, sec. 3, p. 711 ; Kentucky : Ky. Rev. Stat. §365.734, Prohibited uses of personally identifiable student information by cloud computing service provider -- Administrative regulations - Created 2014 Ky. Acts ch. 84, sec. 2, effective July 15, 2014.

(4) Voir notamment : Bill of April 30, 2015 ("Consumer Privacy Protection Act of 2015"), introduced by Senator Patrick Leahy, introducing new data breach legislation.

(5) Consumer Privacy Bill of Rights Act of 2015.

(6) Directive 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel ; Le programme Safe Harbor est décrit sur le site du US Department of Commerce à http://export.gov/safeharbor/

(7) Voir : Family Educational Rights and Privacy Act (FERPA) et Student Digital Privacy and Parental Act of 2015 (Bill of April 29, 2015).

(8) Communiqué intitulé "La Commission européenne appelle les États-Unis à rétablir la confiance dans les transferts de données entre l’UE et les Etats-Unis", du 27 novembre 2013 ; Résolution du Parlement européen du 12 mars 2014 sur le programme de surveillance de la NSA, les organismes de surveillance dans divers États membres et les incidences sur les droits fondamentaux des citoyens européens et sur la coopération transatlantique en matière de justice et d'affaires intérieures.

Aucun commentaire:

Enregistrer un commentaire