Les problèmes de confidentialité des données et les réglementations correspondantes sont parmi les plus grands défis auxquels les entreprises sont confrontées aujourd'hui. Alors que les entreprises touchées par la RGPD ont ressenti la première vague d'amendes, d'exigences et de normes, la protection de la vie privée est désormais un problème international.
Les États-Unis ont déjà commencé à évoluer vers une réglementation révolutionnaire de la confidentialité. Avec des lois adoptées en Californie et au Nevada et des projets de loi prévus dans de nombreux autres États, les entreprises devraient s'attendre à être touchées dans les mois à venir.
Cet article détaille les parties cruciales de la loi/du projet de loi sur la protection de la vie privée de chaque État - y compris qui elles couvrent, quand elles entrent en vigueur, sanctions, comment assurer la conformité ainsi que pourquoi les États ont pris des mesures devant le gouvernement fédéral pour protéger la vie privée des consommateurs Les données.
La loi californienne sur la protection de la vie privée des consommateurs
En tant que l'une des premières lois sur la protection de la vie privée adoptées après le RGPD, la CCPA agit comme modèle pour d'autres projets de loi aux États-Unis. À compter du 1er janvier 2020, la CCPA s'applique à une entreprise qui collecte/traite les données personnelles des résidents californiens ou qui fait des affaires en Californie. Ces entreprises sont assujetties au CCPA si elles :
- Dépasser un revenu brut de 25 millions de dollars
- Acheter, recevoir, vendre ou partager (total combiné) les informations personnelles de 50 000 ménages ou appareils de consommateurs ou plus
- Gagnez 50 % ou plus des revenus annuels de la vente des informations personnelles des consommateurs
Le CCPA accorde aux consommateurs des droits similaires au RGPD, y compris la divulgation d'informations personnelles et les demandes de données personnelles. Les entreprises sont tenues de répondre aux demandes vérifiables des consommateurs avec des informations, telles que les catégories et les données d'informations personnelles, les tiers et les catégories de tiers avec lesquels les données sont partagées, et Suite.
La section, connue sous le nom de Data Subject Requests (DSR), permet aux utilisateurs d'accéder aux options de suppression de leurs informations personnelles. De plus, le CCPA exige que les entreprises affichent un lien « Ne pas vendre mes informations personnelles » sur leur page d'accueil. Le CCPA sera appliqué par le procureur général et comprend des amendes pouvant aller jusqu'à 7 500 $ pour chaque violation individuelle.
La loi sur la confidentialité du Nevada
La loi sur la protection de la vie privée du Nevada a été signée le 29 mai 2019 et est entrée en vigueur le 1er octobre 2019, trois mois avant le plus connu CCPA. Les lois sont très similaires mais présentent une différence majeure dans la définition de la « vente ». La loi du Nevada est plus étroite, ne couvre pas tous les fournisseurs de services et est plus clémente envers les institutions financières. Selon InfoLawGroup, la loi CCPA et la loi du Nevada sont similaires en ce sens qu'elles exigent toutes les deux que « les entreprises mettent en place un processus pour vérifier la légitimité d'une demande de retrait des consommateurs et obliger les entreprises à répondre à la demande dans les 60 jours. Semblable à la Californie, l'application du Nevada incombe au procureur général et comprend des amendes pouvant aller jusqu'à 5 000 $ par violation.
Le projet de loi sur la protection de la vie privée de New York
En mai 2019, le sénateur de l'État de New York, Kevin Thomas, a présenté l'un des projets de loi les plus révolutionnaires en matière de confidentialité des données. Les exigences étaient standard et comprenaient la possibilité pour les résidents d'accéder, de corriger, de supprimer et de conserver leurs données personnelles auprès de tiers.
Cependant, des dispositions plus larges ont été ajoutées, telles que des obligations envers les fiduciaires de données et le droit pour les résidents d'intenter une action en justice contre les entreprises s'ils sont lésés en raison d'une violation. Ce droit d'action privé est l'un des points de séparation les plus importants par rapport aux autres réglementations et pourrait inciter les consommateurs à s'en prendre aux entreprises qui ne se conforment pas. Le projet de loi est également plus large que le CCPA, couvrant toute entreprise qui détient les « données sensibles des résidents de New York », sans exigence de revenus pour les entités couvertes.
Avec des lois adoptées dans deux États, des projets de loi proposés dans d'autres et neuf États adoptant de nouvelles lois sur la notification des violations de données, nous sommes témoin du début d'un changement massif vers la protection des données des consommateurs et la responsabilité des entreprises qui contrôlent et traiter.
Pour maintenir la conformité, les entreprises doivent être au courant des lois en vigueur, des futures réglementations en cours et du potentiel de différentes normes à travers les États-Unis. La création de processus pour le traitement des données, la portabilité et la cartographie des données et les contrôles d'adhésion des utilisateurs sont quelques-unes des pratiques nécessaires pour les entreprises qui collectent des données personnelles.