Gestion De La Confidentialité Des Données

Un guide des lois fédérales et étatiques sur la confidentialité des données aux États-Unis.

Guide des lois fédérales et étatiques sur la confidentialité des données aux États-Unis



À l’ère du numérique, la protection et la réglementation de la confidentialité des données sont devenues plus cruciales que jamais.

Il s’agit désormais d’une question prioritaire pour la plupart des individus, des organisations et des gouvernements du monde entier. En conséquence, pratiquement tous les pays libres du monde, y compris les États-Unis, ont introduit une forme ou une autre de réglementation sur la protection des données pour réglementer la manière dont informations personnelles est collecté, stocké et partagé. Quel contrôle une personne concernée exerce-t-elle sur ses informations personnelles.



Bien qu’aux États-Unis, par exemple, il n’existe pas de loi fédérale globale sur la confidentialité des données comme la RGPD UE . Cependant, plusieurs lois fédérales verticales sur la confidentialité des données ciblent un secteur ou un autre de l’économie, ainsi qu’une nouvelle génération de lois sur la confidentialité des consommateurs émanant des États. Les Etats Unis Commission fédérale du commerce (FTC) est l'agence investie du pouvoir d'appliquer ces réglementations au niveau fédéral, tandis que les procureurs des États font de même au niveau des États.

Cet article examinera en détail les différentes lois fédérales et étatiques sur la confidentialité des données aux États-Unis. Espérons que cela vous aidera à comprendre pleinement les dispositions de ces lois et à préparer votre entreprise à s’y conformer.



Lois fédérales sur la confidentialité des données

Loi sur la protection de la vie privée

Le Loi sur la protection de la vie privée est une loi fédérale des États-Unis promulguée le 31 décembre 1974 pour régir la collecte, l'utilisation et la diffusion de renseignements personnels sur les individus détenus par les agences fédérales..

Il a été créé en réponse aux préoccupations concernant l’impact que la création et l’utilisation de bases de données informatisées pourraient avoir sur le droit à la vie privée des individus.

La loi ne couvre que les citoyens américains et les résidents permanents. Ainsi, seul un citoyen ou un résident permanent peut intenter une action en vertu de la Loi sur la protection des renseignements personnels. De plus, la Loi ne s'applique qu'à certains organismes du gouvernement fédéral.

Obligation en vertu de la Loi sur la protection des renseignements personnels : La loi sur la protection de la vie privée protège la vie privée des citoyens à travers les règles et droits suivants en matière de traitement des données personnelles :

  • Les citoyens ont le droit d'accéder à toutes les données détenues par les agences gouvernementales ; et un droit de copier et de corriger toute erreur d'information
  • Les agences gouvernementales doivent suivre les principes de minimisation des données (informations pertinentes et nécessaires pour atteindre leurs objectifs) ou les « pratiques équitables en matière d'information » lors de la collecte et du traitement des données personnelles.
  • Le partage d'informations entre d'autres agences fédérales (et non fédérales) est restreint et autorisé uniquement sous certaines conditions.
  • Les individus ont le droit de poursuivre le gouvernement pour violation de ses dispositions.

Il existe cependant des exceptions spécifiques à la Loi qui autorisent les renseignements personnels sous certaines conditions. Ces exceptions signifient que la vie privée des individus n’est pas entièrement garantie comme auraient pu le souhaiter les rédacteurs de la loi. De plus, la Loi sur la protection des renseignements personnels ne s’applique qu’aux dossiers détenus par une « agence ». Par conséquent, les dossiers conservés par les tribunaux, les éléments exécutifs ou les entités gouvernementales non gouvernementales ne sont pas soumis aux dispositions de la Loi sur la protection des renseignements personnels et il n'existe aucun droit sur ces dossiers.

Sanctions en cas de violation de la Loi sur la protection des renseignements personnels : La Loi sur la protection des renseignements personnels prévoit des sanctions civiles et pénales en cas de violation des dispositions de la Loi. Voici quelques-unes des sanctions applicables en cas de non-conformité :

  • Si une agence refuse de modifier le dossier d’un individu sur demande, l’individu peut intenter une action devant un tribunal civil pour faire modifier le dossier. Le tribunal peut également accorder à l’individu des honoraires d’avocat raisonnables et d’autres frais de litige à payer par l’agence.
  • Si un employé d'une agence gouvernementale divulgue délibérément des informations personnelles, il se verra infliger une amende maximale de 5 000 $.
  • Si un employé de l'agence maintient délibérément un système de dossiers sans divulguer son existence et les détails pertinents comme spécifié ci-dessus, il peut être condamné à une amende maximale de 5 000 $.
  • Quiconque demande volontairement le dossier d’une personne à une agence sous de faux prétextes peut être condamné à une amende maximale de 5 000 $.

La loi HIPAA (Health Insurance Portability and Accountability)

HIPAA est une loi fédérale promulguée le 21 août 1996..Il a été créé principalement pour moderniser le flux d'informations sur les soins de santé et stipuler comment la confidentialité et l'intégrité des informations personnelles identifiables (PII) détenues par les prestataires de soins de santé doivent être protégées..

La HIPAA est cruciale car elle garantit que les prestataires de soins de santé et les organisations associées mettent en œuvre des garanties adéquates pour protéger les informations personnelles sensibles sur la santé.

Obligations HIPAA : Les prestataires de soins de santé sont tenus de fournir des garanties pour protéger la confidentialité, l'intégrité et la disponibilité des informations privées sur la santé (PHI). Les règles suivantes définissent la structure de tout ce qui concerne les exigences de conformité HIPAA :

  • La règle de confidentialité : elle réglemente l'utilisation et la divulgation des PHI détenus par les entités couvertes.
  • La règle de sécurité : elle décrit les contrôles de sécurité organisés en précautions administratives (politiques et procédures de sécurité, formation des utilisateurs et ressources humaines), physiques (couvre tous les aspects des mesures de sécurité physique) et techniques (couvre tous les aspects de la cybersécurité).
  • La règle de notification des violations exige que les entités couvertes informent les patients, le HHS et d'autres parties prenantes clés lorsque leurs PHI non sécurisées sont violées de manière inadmissible.
  • La règle omnibus : l'implication de cette règle est que les entités couvertes sont responsables de toute violation potentielle des associés et des sous-traitants et doivent prendre les mesures appropriées en conséquence.

Droits du patient : Les patients disposent de plusieurs droits en vertu de la règle de confidentialité HIPAA, notamment l'accès à leurs dossiers médicaux et le droit de demander des corrections.

Le droit d'accès confère aux individus un droit légal et exécutoire d'accéder et de recevoir des copies, sur demande, des informations contenues dans leur dossier médical détenu par leurs prestataires de soins de santé. Un patient a également le droit de modifier les PHI tant que les PHI se trouvent dans un ensemble d'enregistrements désigné.

Pénalités en cas de violation de la HIPAA : Toutes les entités liées aux soins de santé qui collectent, stockent ou partagent des informations sur la santé des patients doivent être entièrement conformes à la HIPAA. Le non-respect des dispositions de la loi entraîne de lourdes sanctions. Le type de violation le plus courant provient du non-respect des règles HIPAA en matière de confidentialité, de sécurité ou de notification des violations.

Les sanctions en cas de non-respect sont basées sur le niveau de négligence. Les amendes peuvent aller de 100 à 50 000 dollars par infraction, avec une amende maximale de 1,5 million de dollars par an pour les violations d'une disposition identique. Les violations peuvent également entraîner des accusations criminelles pouvant entraîner des peines de prison. Voici une liste de Violations notables et amendes HIPAA de 2015 à 2021 et une liste de ceux actuellement sous enquête .

Loi Gramm-Leach-Bliley ( GLBA )

GLBA est une loi fédérale qui a été promulguée le 12 novembre 1999..La loi oblige les institutions financières et autres entreprises qui proposent des services et produits financiers à communiquer à leurs clients la manière dont ils protègent et partagent leurs informations privées et le droit du client de se désinscrire de tout partage de données avec des tiers.

La conformité GLBA oblige toutes les institutions financières à avoir une politique visant à protéger la confidentialité et l’intégrité des informations des clients contre toute menace prévisible.

Obligations de la GLBA : Les prestataires de services financiers sont tenus de fournir des garanties pour protéger la confidentialité, l’intégrité et la disponibilité des informations personnelles des clients en adhérant aux règles suivantes :

  • Règle de confidentialité financièreCela oblige les institutions financières à fournir à chaque consommateur un avis de confidentialité une fois qu'une relation de consommation est établie et chaque année par la suite. L'avis de confidentialité doit expliquer les informations collectées sur le consommateur, y compris où et comment les informations sont utilisées, partagées et protégées, ainsi que leurs droits de refus du partage d'informations avec des tiers.
  • Règle de sauvegardeLes garanties exigent que les institutions financières élaborent une politique écrite de sécurité des informations qui décrit comment l'entreprise est préparée et prévoit de continuer à protéger les informations personnelles non publiques des clients.
  • Protection contre le prétexteLa GLBA interdit la pratique du faux-semblant, une forme de attaque d'ingénierie sociale cela se produit lorsque quelqu’un tente d’accéder à des informations personnelles non publiques sans l’autorisation appropriée pour le faire. Les organisations couvertes par GLBA sont tenues de mettre en œuvre des mesures de protection contre prétexter des attaques

Pénalités en cas de violation de GLBA : Le non-respect de la GLBA entraîne de lourdes sanctions pour l'institution financière et ses employés.

  • Une institution financière peut être condamnée à une amende allant jusqu’à 100 000 $ pour chaque infraction et un montant pouvant aller jusqu’à 1 % des actifs de l’entreprise.
  • Les employés peuvent également être condamnés à une amende pouvant aller jusqu'à 10 000 $ individuellement pour chaque infraction.
  • S’ils ne respectent pas les politiques et procédures de sécurité en place, ils s’exposent à une amende de 1 000 000 $ et à une peine de prison de 5 à 12 ans.

Loi sur la protection de la vie privée en ligne des enfants (COPPA)

TASSE est une loi fédérale américaine promulguée le 21 avril 2000 pour réglementer la collecte en ligne d'informations personnelles sur les enfants de moins de 13 ans..

La loi protège la vie privée des enfants en exigeant le consentement des parents pour collecter ou utiliser toute information personnelle sur les enfants. Il a été créé pour accroître l’implication des parents dans les activités en ligne des enfants en réponse à une prise de conscience croissante des techniques de marketing Internet ciblant les enfants et collectant leurs informations personnelles à partir de sites Web sans notification parentale.

La loi s’applique aux sites Web commerciaux et aux services en ligne (y compris les applications mobiles) destinés aux enfants, ainsi qu’aux sites Web étrangers destinés aux enfants américains. Cela ne s’applique pas aux sites Web grand public, à moins qu’ils ne proposent des services spécifiques qui attirent les enfants sur leur site.

Obligations COPPA : Les sites Web ou applications mobiles destinés aux enfants sont tenus d’adhérer à des pratiques d’information équitables dans la collecte et l’utilisation des informations personnelles. Le Revue du droit national a une description détaillée des étapes que vous devez suivre pour vous conformer aux obligations COPPA :

  • Publier une politique de confidentialité en ligne claire et complète décrivant leurs pratiques en matière d'informations sur les informations personnelles collectées en ligne auprès d'enfants de moins de 13 ans ;
  • Faire des efforts raisonnables (en tenant compte de la technologie disponible) pour informer directement les parents des pratiques de l'opérateur concernant la collecte, l'utilisation ou la divulgation d'IP provenant d'enfants de moins de 13 ans, y compris la notification de tout changement important apporté à ces méthodes que les parents ont précédemment consenti;
  • Obtenir le consentement parental vérifiable, avec des exceptions limitées, avant toute collecte, utilisation et divulgation d'IP provenant d'enfants de moins de 13 ans ;
  • Fournir un moyen raisonnable à un parent d'examiner les informations personnelles collectées auprès de son enfant et de refuser d'autoriser son utilisation ou sa maintenance ultérieure ;
  • Établir et maintenir des procédures raisonnables pour protéger la confidentialité, la sécurité et l'intégrité des informations personnelles collectées auprès d'enfants de moins de 13 ans, notamment en prenant des mesures raisonnables pour divulguer/divulguer ces informations personnelles uniquement aux parties capables de maintenir leur confidentialité et leur sécurité ; et
  • Conservez les informations personnelles collectées en ligne auprès d'un enfant uniquement aussi longtemps que nécessaire pour atteindre l'objectif pour lequel elles ont été collectées et supprimez les informations en utilisant des mesures raisonnables pour vous protéger contre leur accès ou leur utilisation non autorisés.
  • Il est interdit aux opérateurs de conditionner la participation d’un enfant à une activité en ligne à ce que l’enfant fournisse plus d’informations que ce qui est raisonnablement nécessaire pour participer à cette activité.

Pénalités en cas de violation de la COPPA : La FTC a le pouvoir de faire respecter la conformité à la COPPA. Selon la FTC, les tribunaux peuvent infliger aux contrevenants à la COPPA des amendes civiles allant jusqu'à 42 530 $ pour chaque violation. Le montant des sanctions civiles imposées par un tribunal dépend de plusieurs facteurs tels que l'énormité des infractions, les antécédents d'infraction, le nombre d'enfants impliqués, le montant et le type d'IP collectés et la manière dont ils ont été utilisés, la taille de l'entreprise. .

La FTC a intenté plusieurs actions contre certains sociétés de services en ligne pour non-respect des exigences de la COPPA, y compris des actions contre Google, TikTok, Lisa Franck , American Pop Corn Company et autres. Google a récemment changé responsabilité de la conformité COPPA sur les créateurs de contenu YouTube pour enfants . Cela signifie que les vidéos destinées aux enfants de moins de 13 ans ne peuvent plus contenir de publicités ciblées sur le comportement.

Loi sur les transactions de crédit équitables et précises (FACTA)

FAIT est une loi fédérale promulguée le 4 décembre 2003, en tant qu'amendement au Fair Credit Reporting Act..

Il a été principalement conçu pour réduire le nombre d'incidents de vol d'identité et améliorer l'élimination ou la destruction sécurisée des informations des consommateurs. La loi permet également aux consommateurs de demander et d'obtenir un rapport de crédit gratuit une fois tous les 12 mois auprès de chacune des trois sociétés d'évaluation du crédit à la consommation aux États-Unis : Equifax, Experian et TransUnion.

Obligations FAIT : FACTA fournit des règles aux prestataires de services financiers, aux prêteurs, aux agences d'évaluation du crédit et à toutes les entreprises disposant de « comptes couverts » afin de détecter et de protéger les consommateurs contre la fraude et le vol d'identité. Un « compte couvert » comprend tout compte pour lequel il existe un risque prévisible d’usurpation d’identité.

L'une de ces règles est la règle des drapeaux rouges, qui oblige les entreprises à mettre en place des politiques et des procédures en matière de vol d'identité permettant d'évaluer les facteurs de risque de vol d'identité, de tester et de mettre en œuvre ces politiques pour détecter et traiter les risques identifiés, et de former les employés pour garantir que ces politiques et les procédures sont correctement respectées.

En plus de la règle des drapeaux rouges, la FACTA établit des règles concernant les alertes de fraude et les alertes de service actif. À la demande d'un consommateur (qui s'estime être sur le point d'être victime d'une fraude ou d'une usurpation d'identité), la loi impose aux agences d'information sur la consommation de placer une alerte à la fraude à son dossier afin qu'aucune nouvelle ligne de crédit ne soit ouverte à son nom sans autorisation explicite. confirmation de votre part. Une alerte en service actif exige que l'agence d'évaluation divulgue une telle alerte avec tout rapport de crédit émis dans les 12 mois suivant la demande.

Pénalités en cas de violation de FACTA : Des sanctions fédérales et étatiques peuvent s'appliquer aux violations de la FACTA :

  • Les sanctions FACTA du gouvernement fédéral peuvent aller jusqu'à 2 500 $ par violation.
  • Les sanctions de l'État FACTA peuvent aller jusqu'à 1 000 $ par violation
  • Les entreprises qui ne tronquent pas les numéros de carte de débit/crédit lors de l'impression des reçus de transaction peuvent être soumises au paiement de dommages-intérêts légaux allant de 100 $ à 1 000 $ par violation.
  • Les recours collectifs peuvent atteindre 1 000 $ pour chaque consommateur concerné.

Lois nationales sur la confidentialité des données

Voir également: Quel État protège le mieux la confidentialité sur Internet ?

Loi californienne sur la protection de la vie privée des consommateurs (CCPA)

CCPA est une loi d'État pour les résidents de l'État de Californie aux États-Unis, entrée en vigueur le 1er janvier 2020..

Le CCPA est conçu pour donner aux Californiens le contrôle de leurs données. Elle est considérée comme la législation américaine sur la confidentialité des données la plus complète, similaire à la RGPD UE . La loi s’applique aux entreprises californiennes qui collectent des données sur les consommateurs et peut être décrite de l’une ou de toutes les manières suivantes :

  • Tire 50 % ou plus de ses revenus annuels de la vente des informations personnelles des consommateurs
  • Achète ou vend les informations personnelles de 50 000 consommateurs, foyers ou appareils ou plus
  • A des revenus bruts annuels supérieurs à 25 000 000 $

Droits des consommateurs CCPA : Le règlement CCPA confère aux utilisateurs de nouveaux droits en matière de données. Pour se conformer à la réglementation, votre organisation doit permettre aux utilisateurs d'exercer leurs droits CCPA. Par exemple, si vous résidez en Californie, vous avez désormais le droit de :

  • Poursuivre en justice une entreprise si elle ne parvient pas à mettre en œuvre des mesures de sécurité raisonnables et que vos données sont compromises lors d'une violation de données.
  • Savoir quelles données personnelles sont collectées à votre sujet et pouvoir y accéder
  • Sachez si vos données sont vendues ou divulguées et à qui
  • Ne pas faire l'objet de discrimination pour l'exercice de leurs droits à la vie privée
  • Demandez à une entreprise de supprimer vos données
  • Désinscription de la vente de vos données

Pénalités en cas de violation du CCPA : Les entreprises disposent de 30 jours pour se conformer à la loi une fois que les régulateurs leur ont signalé une violation. S’ils ne parviennent pas à résoudre le problème dans le délai imparti, ils s’exposent à une amende pouvant aller jusqu’à 7 500 $ par enregistrement. Les autres pénalités applicables comprennent :

  • Paiement de dommages-intérêts légaux compris entre 100 $ et 750 $ par résident californien et incident, ou de dommages réels, selon le montant le plus élevé, si les données personnelles des utilisateurs sont compromises lors d'une violation de données.
  • Une amende pouvant aller jusqu'à 7 500 $ pour chaque infraction intentionnelle et 2 500 $ pour chaque infraction involontaire
  • La responsabilité peut également s'appliquer aux entreprises situées dans des pays étrangers qui expédient des articles en Californie.

Loi sur la protection des données des consommateurs de Virginie (CDPA)

CDPA est une loi de l'État pour les résidents de l'État de Virginie aux États-Unis..

À l'instar du California Consumer Privacy Act (CCPA), le CDPA est conçu pour donner aux consommateurs de Virginie plus de contrôle sur leurs données. La Virginie devient ainsi le deuxième État à adopter une législation complète sur la protection de la vie privée.

Bien que la loi entre en vigueur le 1er janvier 2023, les entreprises devraient commencer à évaluer leurs obligations afin de s’assurer qu’elles disposent de suffisamment de temps pour s’y conformer. Une entreprise est soumise à la CDPA si elle exerce des activités en Virginie ou fabrique des produits ou des services destinés aux résidents de Virginie et répond à l'une des exigences suivantes :

  1. Au cours d'une année civile, contrôler ou traiter les données personnelles d'au moins 100 000 consommateurs ; ou
  2. Contrôler ou traiter les données personnelles d'au moins 25 000 consommateurs et tirer plus de 50 % des revenus bruts de la vente de données personnelles

Obligations du CDPA : La CDPA impose plusieurs obligations aux entreprises traitant des données personnelles. Ces obligations comprennent :

  • Limites de la collecte et de l'utilisation des données : les entreprises sont tenues de limiter la collecte de données personnelles à « ce qui est adéquat, pertinent et raisonnablement nécessaire » aux fins pour lesquelles les données sont traitées.
  • Limites de finalité : les entreprises sont tenues de traiter les données personnelles uniquement à des fins raisonnablement nécessaires ou compatibles avec les finalités divulguées dans la politique de confidentialité de l'entreprise.
  • Consentement au traitement des données sensibles : les entreprises sont tenues d'obtenir l'autorisation du consommateur avant de traiter des données sensibles.
  • Contrôles de sécurité raisonnables : les entreprises sont tenues de mettre en œuvre et de maintenir de bonnes pratiques administratives, techniques et physiques en matière de sécurité des données afin de protéger la confidentialité, l'intégrité et l'accessibilité des données personnelles.
  • Évaluations de la protection des données : les entreprises sont tenues de procéder à des évaluations de la protection des données (DPA) pour évaluer les risques associés à des activités particulières de traitement des données.

Droits à la vie privée des consommateurs : La CDPA énumère les droits suivants en matière de confidentialité pour les consommateurs de Virginie :

  1. Droit d'accès
  2. Droit de rectification
  3. Droit de suppression
  4. Droit à la portabilité des données
  5. Droit d'opposition au traitement des données
  6. Droit d’être libre de toute discrimination

Pénalités en cas de violation de la CDPA : Les entreprises disposent de 30 jours pour se conformer à la loi une fois que les régulateurs leur ont signalé une violation. S’ils ne parviennent pas à résoudre le problème dans le délai imparti, ils s’exposent à une amende pouvant aller jusqu’à 7 500 $ par infraction.

Autres lois de l'État

De nombreuses autres lois étatiques à venir sur la confidentialité des données font actuellement l’objet d’un examen législatif et sont adoptées ou attendent l’approbation de l’exécutif. Le tableau ci-dessous résume les différentes lois nationales sur la confidentialité des données, à venir et existantes.

CalifornieLoi californienne sur la protection de la vie privée des consommateursRevenus supérieurs à 25 millions de dollarsOuiOuiNonEn vigueur depuis le 1er janvier 2020
VirginieLoi sur la protection des données des consommateurs de VirginieTousOuiOuiOuiPrend effet le 1er janvier 2023
New YorkLoi sur la confidentialité de l'État de New YorkTousOuiOuiOuiEn attente
MassachusettsLoi sur la confidentialité des données du MassachusettsPlus de 10 millions de dollarsOuiOuiNonEn attente
MarylandLoi sur la protection des consommateurs en ligne du MarylandPlus de 25 millions de dollarsOuiOuiNonEn attente
HawaiiLoi hawaïenne sur la protection de la vie privée des consommateursTousOuiOuiNonEn attente

Tableau 1.0 Comparaison des lois nationales actuelles et à venir sur la protection des données

Lois sur la confidentialité aux États-Unis

Quelles sont les trois lois fédérales pour protéger la vie privée ?

Il existe un certain nombre de lois fédérales qui concernent la protection de la vie privée. Le premier d’entre eux est la loi sur la protection de la vie privée, qui couvre la protection des informations personnelles identifiables (PII) lorsqu’elles sont détenues par des agences fédérales. La loi Gramm-Leach-Bliley, mieux connue sous le nom de GLBA, concerne les institutions financières et précise que ces organisations doivent communiquer aux clients comment leurs données seront conservées et utilisées. GLBA exige également le droit des consommateurs de préciser que leurs données ne doivent pas être partagées avec des tiers. COPPA, la loi sur la protection de la vie privée en ligne des enfants, précise la protection des informations personnelles relatives aux enfants de moins de 13 ans.

Existe-t-il le RGPD aux États-Unis ?

Le RGPD concerne la protection des informations personnelles identifiables relatives aux citoyens des États membres de l'UE. Toutefois, les entreprises américaines ne sont pas exemptées des exigences de cet ensemble de règles. Si une entreprise aux États-Unis traite avec des clients dans l'UE, des questions concernant le lieu et la manière dont les données sont stockées et la manière dont ces données peuvent être utilisées se posent et ces questions sont régies par le RGPD.

La Hipaa est-elle une loi fédérale ?

HIPAA est la Health Insurance Portability and Accountability Act, une loi fédérale adoptée en 1996. La loi précise les obligations des entreprises du secteur de la santé quant à la manière dont les données des patients sont traitées. Cette catégorie de données est connue sous le nom de « renseignements personnels sur la santé » ou PHI. La loi oblige les détenteurs de données à informer les sujets si leurs données sont divulguées. La loi accorde également aux personnes concernées le droit de consulter et de rectifier toute information détenue à leur sujet. Bien que la loi HIPAA ne concerne que les données des citoyens américains qui travaillent avec des prestataires de soins de santé aux États-Unis, les services de traitement de données en dehors des États-Unis seraient responsables en vertu de la loi s'ils sont engagés par contrat pour détenir ou gérer les données des patients américains.

^