Lois sur la confidentialité sur Internet par État : quels États américains protègent le mieux la vie privée en ligne ?
Les lois régissant la confidentialité en ligne aux États-Unis varient considérablement d'un État à l'autre. Pour savoir comment chaque État américain se classe du moins au plus privé, nous avons évalué chacun d’entre eux sur la base de 22 critères clés. Les résultats révèlent un large éventail de protections de la vie privée, que nous avons visualisées sur la carte ci-dessous. Les scores sont affichés sous forme de pourcentages, un score de 22 sur 22 correspondant à 100 %.
Nos critères vont des lois qui régissent la manière dont les entreprises peuvent utiliser et divulguer les données de leurs clients à celles qui protègent les journalistes, les enfants et les employés. Les résultats de notre recherche sont compilés dans le tableau ci-dessous, avec une simple réponse « oui » ou « non » quant à savoir s'il existe une loi applicable dans chaque État.
Principales mises à jour et tendances de 2021
Au cours de notre mise à jour de 2021, plusieurs mises à jour clés ont fourni un aperçu des tendances en matière de législation sur la protection de la vie privée aux États-Unis :
- L'Oregon a introduit une loi pour protéger les données de l'Internet des objets (IoT)
- New York a rejoint quatre autres États dotés de lois visant à protéger les données biométriques
- La Virginie a introduit sa loi sur la protection des données des consommateurs et le Colorado a présenté sa loi sur la confidentialité.
- Le Minnesota et le Texas ont introduit des lois sur la suppression des données pour les entités gouvernementales (seul le Minnesota n'a pas encore les mêmes exigences pour les entreprises)
- Le New Jersey et le Vermont ont ajouté des lois pour protéger les informations sur les élèves de la maternelle à la 12e année
- L'Indiana, l'Iowa (en vigueur le 1er janvier 2022), la Louisiane, le Maine (en vigueur le 1er janvier 2022), le Dakota du Nord (en vigueur le 1er août 2022) et la Virginie ont ajouté des lois sur la sécurité des données d'assurance, doublant presque le nombre d'États qui ont mis en œuvre la Loi modèle sur la sécurité des données, créée par la National Association of Insurance Commissioners (NAIC). Le Nevada a également ajouté les courtiers en données à sa législation, ce qui donne aux consommateurs le droit de demander que leurs données ne soient pas vendues.
- Seule une poignée d’États (6) régissent l’utilisation de l’intelligence artificielle au sein de l’État
- Seuls 25 pour cent des États exigent le consentement deles deuxparties lors de l'enregistrement des appels
- Plus de 70 % des États partagent des photos DMV avec des agences fédérales, telles que le FBI.
Les meilleurs États américains pour la confidentialité en ligne
Californie
Note : 77%
Notre meilleur score pour la troisième mise à jour en cours, la Californie a promulgué de nombreuses lois sur des problèmes spécifiques de confidentialité que d'autres États ignorent. De plus, l’État a également créé ce que l’ACLU appelle la loi sur la confidentialité numérique la plus complète du pays. La Californie est le seul État à mentionner un droit inaliénable à la vie privée dans sa constitution. C’est également l’un des deux États à avoir promulgué une loi qui protège spécifiquement les données collectées à partir de l’Internet des objets (l’Oregon est l’autre) et qui protège le droit à la vie privée et impose des restrictions de marketing aux mineurs (l’autre est le Delaware).
L'Electronic Communications Privacy Act empêche toute entité chargée de l'application de la loi ou d'enquête de forcer une entreprise à renoncer à des données ou à des communications électroniques sans mandat. Cela inclut les données cloud, les métadonnées, les e-mails, les messages texte, les données de localisation et les recherches d'appareils. Bien que d’autres États disposent de lois similaires protégeant certaines de ces formes de données, la Californie est jusqu’à présent le seul État à tout protéger.
Le 26 juin 2018, la Californie a adopté l'une des lois sur la protection de la vie privée les plus strictes des États-Unis, la Consumer Privacy Act de 2018. En vigueur en 2020, ce projet de loi donne aux consommateurs le droit de savoir quelles informations une entreprise a collectées à leur sujet et avec qui. cette information est partagée. De plus, les consommateurs peuvent exiger qu’une entreprise supprime leurs données personnelles, et les entreprises doivent fournir un service égal aux clients, quelles que soient les informations qu’elles ont collectées.
Delaware
Note : 55%
Le Delaware a obtenu le score le plus élevé lors de notre évaluation en 2017, mais est tombé en dessous de la Californie en 2018. Cependant, il est resté à la deuxième place lors des deux dernières mises à jour. Les lois qui obligent le gouvernement à éliminer les données des clients après une période de temps déterminée, à protéger la confidentialité des données des liseuses électroniques et des bibliothèques et à protéger la vie privée des employés ont aidé l'État à se démarquer.
Il n'y a eu aucune mise à jour pour le Delaware cette année, mais c'est l'un des États qui exige le consentement des deux parties avant de pouvoir enregistrer un appel.
Mentions honorables
Illinois
Note : 45%
L'Illinois a ouvert la voie à une législation qui protège spécifiquement les données biométriques telles que les empreintes digitales, les scanners de reconnaissance faciale et les scanners de la rétine, étant le premier État à adopter cette méthode en 2008. Ce n'est que ces dernières années que plusieurs autres États ont emboîté le pas à celui de New York. équivalent entrant en vigueur au moment de la rédaction (9 juillet 2021).
Les entreprises et le gouvernement doivent éliminer les données personnelles après une période de temps déterminée. Les employeurs et les écoles ne peuvent pas forcer les employés et les étudiants à fournir les informations de connexion à leurs comptes de réseaux sociaux. L’État applique également des réglementations strictes concernant l’utilisation de l’intelligence artificielle pour les entretiens vidéo et exige le consentement des deux parties lors de l’enregistrement des appels.
Virginie
Note : 45%
La Virginie figure parmi nos mentions honorables cette année (à égalité en troisième place avec l'Utah et l'Illinois) grâce à l'introduction d'une loi sur la sécurité des données d'assurance en juillet 2020 et à l'adoption de la loi sur la protection des données des consommateurs. Ce dernier garantit que les entreprises doivent supprimer les données personnelles à la demande, doivent permettre aux clients de se désinscrire du partage de données avec des tiers et doivent divulguer les données qu'elles collectent auprès des clients.
Le DMV de Virginie n’utilise pas de technologies de reconnaissance faciale et ne partage pas sa base de données de photos avec les agences fédérales.
Utah
Note : 45%
L'Utah exige que toutes les entreprises non financières indiquent à leurs clients les types d'informations personnelles qu'elles partagent ou vendent à un tiers à des fins de marketing direct ou de rémunération. L’État exige également que les entreprises éliminent les données de leurs clients après une période de temps déterminée.
Une loi de 2013 interdit aux employeurs de demander à leurs employés et candidats de divulguer leurs mots de passe ou noms d'utilisateur pour leurs comptes de réseaux sociaux.
Arkansas
Note : 35%
L'Arkansas exige que le gouvernement et les entreprises suppriment les données des clients après une période de temps définie. La loi de 2005 sur la protection des informations personnelles stipule que toutes les entreprises de l’État, quelle que soit leur taille, doivent protéger les informations personnelles de leurs clients.
L'Arkansas a adopté deux nouvelles lois sur la confidentialité des données en 2015. L'une régit la manière dont les fournisseurs de services en ligne peuvent collecter et utiliser les données des étudiants à des fins commerciales ou autres, tandis que l'autre exige le consentement des parents pour que les informations personnelles des étudiants soient partagées avec d'autres agences gouvernementales.
New Hampshire
Note : 25%
Le New Hampshire a rejoint les rangs des États pionniers en matière de protection de la vie privée, comme la Californie, lorsqu’il a adopté une loi calquée sur la loi californienne sur la protection des informations personnelles en ligne des étudiants. La loi impose des obligations strictes aux entreprises qui collectent et stockent des données sur les élèves de la maternelle au lycée.
La bibliothèque Kilton, située dans la ville de Lebanon, dans le New Hampshire, offre aux utilisateurs un accès sans précédent à Tor, un navigateur Web qui leur permet de naviguer sur le Web de manière totalement anonyme. Lorsque le ministère de la Sécurité intérieure a alerté les autorités du New Hampshire concernant l’accès à Tor de la bibliothèque de Kilton, les représentants de l’État et la communauté ont soutenu cet acte de confidentialité.
L'État exige également le consentement des deux parties avant que l'enregistrement des appels puisse commencer et il est interdit au DMV d'utiliser la technologie de reconnaissance faciale lors de la prise ou de la conservation d'images photographiques.
Malheureusement, le New Hampshire ne dispose pas de lois protégeant les journalistes et les employés, et l'État fait peu pour réglementer la manière dont les entreprises et le gouvernement utilisent les données.
Vermont
Note : 25%
Le Vermont a mis le secteur des services financiers dans une boucle avec sa loi stricte sur la confidentialité « opt-in ». Cette loi, imposée aux institutions financières, requiert le consentement explicite des consommateurs avant que leurs données puissent être partagées. Cela signifie que ces entreprises doivent traiter les données des résidents du Vermont avec plus de soin que celles des résidents de tout autre État.
Une loi du Vermont interdisant la vente de données identifiant les médecins ayant prescrit certains médicaments a été invalidée par la Cour suprême en 2011. La décision montre que les États ne contrôlent pas toujours leurs propres lois sur la confidentialité, même s'ils le souhaitent.
Les pires États américains en matière de confidentialité en ligne
Wyoming
Note : 9%
Même si tous les États n’ont pas de lois protectrices pour empêcher les journalistes de divulguer leurs sources, le Wyoming est le seul État à ne pas avoir de précédent judiciaire pour le faire. Les entreprises ne sont pas tenues de supprimer les données personnelles des utilisateurs après une période de temps définie, et il n’est pas interdit aux employeurs d’obliger leurs employés à communiquer les mots de passe de leurs comptes de réseaux sociaux.
Le Wyoming ne donne cependant pas au FBI accès à sa base de données de reconnaissance faciale du ministère des Transports (DOT).
Mississippi
Note : 9%
Le Mississippi ne dispose pas de lois protégeant les comptes personnels des employés et les communications des employeurs. Les entreprises ne sont pas tenues de disposer des données personnelles des utilisateurs. Les informations sur les élèves de la maternelle à la 12e année ne bénéficient d'aucune protection explicite en vertu de la loi.
Idaho
Note : 9%
L'Idaho n'exige pas des entreprises ni du gouvernement qu'ils éliminent les données qu'ils ont collectées. Il lui manque une loi bouclier pour protéger les journalistes et leurs sources. La confidentialité des médias sociaux n’est pas protégée contre les employeurs ou les établissements d’enseignement.
District de Columbia, Iowa, Kentucky, Nebraska, Pennsylvanie et Dakota du Sud
Note : 14%
Ces six États sont tous à égalité au troisième rang en matière de confidentialité des données. À l'exception de l'Iowa, qui a récemment introduit une loi sur la sécurité des données d'assurance, aucun de ces États n'a ajouté de protection supplémentaire de la vie privée depuis notre dernière mise à jour.
Aucun de ces États n’a de législation régissant les politiques de partage ou de collecte de données des entreprises, seul le Kentucky a une loi sur l’élimination des données pour les entreprises et seule la Pennsylvanie exige le consentement des deux parties pour l’enregistrement des appels.
Principales mises à jour et tendances de 2019
Lors de nos recherches sur la mise à jour de 2019, quelques points clés sont ressortis et illustrent les nouvelles tendances en matière de législation sur la protection de la vie privée aux États-Unis :
- Le Maine a introduit une nouvelle loi sur la protection des données en 2019 qui stipule que les fournisseurs de services Internet ne peuvent pas « utiliser, divulguer, vendre ou autoriser l'accès aux informations personnelles des clients » sans le consentement du client, à l'exception de certaines exemptions telles que le respect d'une ordonnance du tribunal.
- Le Nevada a adopté une loi le 1er octobre 2019 qui permet aux clients de se désinscrire du partage de données en ligne.
- Le Dakota du Sud a adopté une loi bouclier pour protéger les journalistes en mars
- L'Utah a adopté un projet de loi en 2019 qui empêche un large éventail de fournisseurs de transmettre les données des utilisateurs aux forces de l'ordre sans mandat.
- Les scores des États sont modérément corrélés (r = 0,4) avec la façon dont ils ont voté à l'élection présidentielle de 2016. Ceux qui ont voté pour Clinton ont tendance à avoir des scores plus élevés en matière de confidentialité.
Dans notre mise à jour 2019, nous avons ajouté trois nouveaux critères et supprimé trois autres.
Nous avons ajouté:
- Des lois pour protéger le droit à la vie privée et appliquer des restrictions de marketing pour les mineurs
- Des lois sur la sécurité des données spécifiques aux compagnies d'assurance et qui suivent la loi modèle sur la sécurité des données, créée par la National Association of Insurance Commissioners (NAIC). L’objectif est que tous les États l’adoptent dans les prochaines années.
- Lois sur la sécurité des données spécifiques aux courtiers en données
- Le District de Columbia car ce district n'est pas gouverné au niveau de l'État. DC a été félicité pour sa loi sur la confidentialité des données des étudiants et il dispose également d'une large loi de protection pour les journalistes. Selon certaines rumeurs, il serait également envisagé d'adopter le modèle de sécurité des données NAIC, mais cela ne s'est pas encore produit.
Nous avons supprimé :
- Les FAI exigent un consentement explicite pour partager les données des clients (lois fédérales) – la confidentialité du haut débit ayant été abrogée par le gouvernement en 2017, aucune protection fédérale n'est disponible ici.
- Lois pour protéger la vie privée des enfants – tous les États ont des lois spécifiques à ce sujet, nous avons donc introduit la nouvelle catégorie concernant les mineurs pour voir quels États sont les plus proactifs et avant-gardistes dans leur approche de la sécurité en ligne des enfants.
Nous avons également renforcé notre catégorie de communications avec les employés en ne présentant que les États qui ont mis en place des lois claires interdisant aux employeurs de surveiller les communications des employés sans les en informer au préalable.
Principales mises à jour et tendances de 2018
Lors de nos recherches sur la mise à jour de 2018, nous avons noté quelques tendances clés dans l’évolution de la législation sur la protection de la vie privée à travers le pays :
- Chaque État de l’Union dispose désormais d’une loi obligeant les entreprises à divulguer publiquement toute violation de données.
- De nombreux États ont élargi la définition des « informations personnellement identifiables » pour inclure davantage de types de données et de combinaisons de données.
- La Californie a adopté la loi sur la vie privée et la protection des données la plus stricte du pays, la propulsant au sommet du classement.
- Le Maine est le seul État à adopter une loi interdisant aux forces de l’ordre de suivre la position d’une personne à l’aide du GPS ou d’autres informations de géolocalisation intégrées aux smartphones et aux ordinateurs. L'Illinois et la Californie ont tous deux présenté de tels projets de loi dans le passé, mais ils ont fait l'objet d'un veto.
- L’Illinois est le seul État à protéger spécifiquement les données biométriques, mais cette loi (BIPA) est actuellement menacée.
Dans notre mise à jour de 2018, nous avons ajouté six nouveaux critères à notre évaluation de la confidentialité état par état, pour un total de 20. Ceux-ci incluent :
- Les entreprises doivent permettre aux consommateurs de se désinscrire du partage de données avec des tiers
- Les entreprises doivent supprimer les données personnelles à la demande de la personne
- Les entreprises doivent divulguer les données personnelles qu’elles ont collectées sur une personne
- Un mandat est requis pour que les forces de l'ordre puissent accéder aux données personnelles des utilisateurs détenues par les prestataires de services.
- Un mandat est nécessaire pour suivre la position d’une personne via GPS ou d’autres technologies de géolocalisation
- Lois pour protéger les données biométriques
Lois fédérales sur la confidentialité
Certains aspects de la confidentialité en ligne sont régis par le gouvernement fédéral américain plutôt que par les gouvernements des États. Des réglementations partielles existent, mais il n’existe pas de loi globale réglementant la collecte, le stockage ou l’utilisation des données personnelles aux États-Unis.
La Constitution américaine ne mentionne jamais spécifiquement la vie privée et ne protège que contre les acteurs étatiques, et non contre les individus. Cependant, les premier, quatrième, neuvième et quatorzième amendements limitent l’intrusion du gouvernement dans le droit des individus à la vie privée.
En 2018, la Cour suprême a statué dansCarpenter contre les États-Unisque le quatrième amendement protège les informations de localisation des téléphones portables. Cela signifie que la police doit désormais demander un mandat pour obtenir ces données. Bien qu’il s’agisse d’un succès en matière de confidentialité, de nombreuses questions subsistent quant aux capacités de suivi de géolocalisation du gouvernement et des forces de l’ordre. Récemment, il a été constaté que les forces de l'ordre acheter des données de géolocalisation disponibles dans le commerce afin de contourner les exigences en matière de mandat.
La loi sur la protection de la vie privée de 1974 régit la collecte, la conservation, l'utilisation et la diffusion d'informations personnelles identifiables sur les individus stockées par les agences fédérales. Encore une fois, cela restreint la manière dont le gouvernement peut accéder aux dossiers et les utiliser et ne s’applique pas aux particuliers ou aux entreprises.
La HIPAA a été promulguée en 1996 pour protéger les dossiers médicaux.
Le Fair Credit Reporting Act (FCRA) permet aux particuliers de se désinscrire des offres de crédit non désirées et d'obtenir chaque année un rapport de crédit gratuit de chacune des principales agences d'évaluation du crédit.
La loi sur la confidentialité des communications électroniques peut être utilisée pour imposer des sanctions pénales à quiconque intercepte des communications électroniques sans consentement, mais un certain nombre de lacunes ont rendu la loi pratiquement inutile, selon les experts.
La loi de 1998 sur la protection de la vie privée des enfants en ligne exige que les sites Web destinés aux enfants de moins de 13 ans obtiennent le consentement parental, entre autres normes de conformité. La loi a été largement discréditée comme étant inefficace, voire contre-productive, lorsqu’il s’agit de protéger les enfants en ligne.
D'autres lois fédérales relatives à la sécurité informatique et à la protection de la vie privée comprennent (source : Wikipédia ) :
- Loi américaine sur les rapports de crédit équitables de 1970
- Loi américaine de 1970 sur les organisations influencées par les racketteurs et corrompues (RICO)
- Loi américaine sur la protection de la vie privée de 1974
- Lignes directrices de l’Organisation de coopération et de développement économiques (OCDE) de 1980
- Loi américaine de 1984 sur la criminalité informatique médicale
- 1984 Loi fédérale américaine sur la criminalité informatique (renforcée en 1986 et 1994)
- Loi américaine de 1986 sur la fraude et les abus informatiques (modifiée en 1986, 1994, 1996 et 2001)
- Loi américaine sur la confidentialité des communications électroniques (ECPA) de 1986
- Loi américaine sur la sécurité informatique de 1987 (abrogée par la loi fédérale sur la gestion de la sécurité de l'information de 2002)
- Loi américaine de 1988 sur la protection de la vie privée dans les vidéos
- Loi britannique de 1990 sur l'utilisation abusive des ordinateurs
- Lignes directrices fédérales américaines sur la détermination des peines de 1991
- Les lignes directrices de l'OCDE de 1992 doivent servir de cadre de sécurité totale
- Loi de 1994 sur l'assistance aux communications pour l'application de la loi
- Directive du Conseil de 1995 sur la protection des données pour l'Union européenne (UE)
- 1996 Loi américaine sur l'économie et la protection des informations exclusives
- Loi de 1996 sur la portabilité et la responsabilité en matière d'assurance maladie (HIPAA) (exigence ajoutée en décembre 2000)
- 1998, Digital Millennium Copyright Act (DMCA) des États-Unis
- 1999 Loi uniforme des États-Unis sur les transactions informatiques (UCITA)
- Loi de 2000 sur les signatures électroniques du Congrès américain dans le cadre du Global National Commerce Act (« ESIGN »)
- 2001 Loi américaine sur la fourniture des outils appropriés requis pour intercepter et entraver le terrorisme (PATRIOT)
- Loi sur la sécurité intérieure (HSA) de 2002
- 2002 Loi fédérale sur la gestion de la sécurité de l'information de 2002
Prenez votre vie privée en main
Les citoyens américains, ni les citoyens d’aucun pays, devraient s’attendre à ce que leur gouvernement protège leur vie privée contre toutes les menaces. C’est à nous tous, en tant qu’individus, d’être proactifs dans la protection de notre vie privée.
Aucun État n’est parfait, mais au moins tous les niveaux du gouvernement américain permettent aux citoyens de renforcer leur sécurité en ligne à volonté. Quelques étapes clés comprennent chiffrer vos fichiers et communications , accéder à Internet via un VPN sécurisé , et gérer les autorisations sur vous et les comptes en ligne de votre famille .
Avons-nous eu quelque chose de mal ? Une loi qui nous a échappé ? Faites le nous savoir dans les commentaires!
Chercheurs de données :George Moody, Rebecca Moody