Lois américaines sur la confidentialité numérique

Publié: 2023-04-25

Quand les États-Unis éternuent, le monde attrape un rhume. Cette affirmation est particulièrement vraie dans le monde de la technologie numérique. L'Amérique abrite, après tout, bon nombre des entreprises en ligne les plus importantes et les plus prospères au monde (bien que certains pourraient affirmer que la Chine est sur ses talons). Cependant, un domaine où nos cousins ​​européens mènent la charge est la confidentialité numérique.

Le RGPD a changé la façon dont le monde perçoit la vie privée

Si vous vous souvenez de 2018, vous vous souviendrez comment l'Union européenne a secoué le monde entier avec le Règlement général sur la protection des données (RGPD) .

À l'époque, le RGPD était unique car il s'agissait d'un règlement global conçu pour protéger la vie privée des citoyens européens, peu importe avec qui ou où ils partageaient leurs données. Ce règlement signifiait que si les organisations américaines voulaient continuer à fonctionner en Europe ou avec des citoyens européens, quel que soit leur emplacement, elles devaient se conformer au RGPD.

Contrairement aux réglementations précédentes sur la protection de la vie privée, le RGPD avait du mordant et le poids de la Commission européenne derrière lui pour imposer d'énormes amendes en cas de violation.

Des millions de dollars et d'innombrables heures de travail ont été dépensés à l'échelle mondiale pour assurer la conformité. À bien des égards, cet investissement a aidé à nettoyer les derniers vestiges des pratiques commerciales du « Far West » adoptées dans un secteur commercial numérique en pleine maturité mais encore largement non réglementé. Pourtant, malgré cela, d'innombrables entreprises américaines sont tombées sous le coup du RGPD.

Vous ne pensez toujours pas que le RGPD s'applique à vous ? Consultez cette liste des plus grosses amendes imposées pour non-conformité - elle se lit comme un "Qui est qui?" des grandes entreprises américaines, Amazon, Meta (Facebook) et Alphabet (Google) dominant le top 10 des amendes les plus importantes.

Le visage changeant des lois américaines sur la protection de la vie privée

On pourrait faire valoir qu'avant le RGPD, les États-Unis donnaient essentiellement un coup de pied dans la boîte (CAN-SPAM) en termes de confidentialité.

À bien des égards, le GDPR a forcé les entreprises américaines à nettoyer leurs actes sans avoir besoin de réglementations américaines. Mais cela ne signifie pas que les États-Unis ne prennent pas la vie privée au sérieux. Il existe actuellement plusieurs lois sur la protection de la vie privée en place et de nombreuses autres en cours de déploiement aux États-Unis. Cependant, en raison de la façon dont les États individuels créent la législation, ces lois sont moins connectées ou globales que le RGPD. Pour les entreprises opérant à travers la ligne d'état, cela peut être déroutant.

CCPA/ACPL

Le California Consumer Privacy Act (CCPA) et le California Privacy Rights Act (CPRA) ultérieur, qui entreront en vigueur le 1er juillet 2023, ont été décrits comme ce qui se rapproche le plus du RGPD.

Le CPRA s'appuie sur les bases établies par le GDPR, qui a jeté les bases de plusieurs règles non incluses dans le CCPA. Ces règles incluent :

  • Minimisation des données : Garantir que la collecte de données est nécessaire pour atteindre un objectif spécifique.
  • Limitation de la finalité : garantir que les données collectées ne peuvent pas être utilisées à des fins nouvelles et incompatibles.
  • Limitation de stockage : garantir que les données ne peuvent pas être stockées plus longtemps que nécessaire.

Le RGPD a également influencé la manière dont l'ACRP traite les informations personnelles sensibles (SPI), telles que la race ou l'origine ethnique, les opinions politiques, les croyances religieuses ou philosophiques, l'orientation sexuelle, la génétique et les données relatives à la santé.

Malgré les similitudes, il existe des différences essentielles entre le RGPD et l'ACRP.

Le RGPD s'applique à toute organisation qui collecte et traite des données de citoyens de l'UE, quels que soient la taille, l'emplacement ou l'objectif de l'entreprise. Le RGPD ne fait pas non plus de distinction entre les données personnelles et professionnelles.

Pendant ce temps, le California Privacy Rights Act (CPRA) s'applique uniquement aux entreprises qui collectent et traitent les informations personnelles des résidents de Californie et répondent à un ou plusieurs des critères suivants :

  • Avoir un revenu brut annuel de plus de 25 millions de dollars;
  • Acheter, vendre ou partager les informations personnelles de 100 000 consommateurs ou ménages ou plus chaque année ; ou
  • Tirent 50 % ou plus de leurs revenus annuels de la vente des informations personnelles des consommateurs.

Par rapport au GDPR, il y a beaucoup de place pour que les entreprises volent sous le radar du CCPA/CCPR. Cela reflète peut-être une attitude plus détendue envers les organisations aux États-Unis qui accèdent et stockent des informations personnelles par rapport à l'Europe. Cependant, à la suite de plusieurs violations de données très médiatisées qui ont incommodé des milliers de citoyens américains, ces attitudes deviennent moins laxistes et de plus en plus d'États américains sautent dans le train de la confidentialité.

La loi de Virginie sur la protection des données des consommateurs (VCPDA)

Le Virginia Consumer Data Protection Act (VCDPA) est une loi sur la protection de la vie privée similaire au CCPA/CPRA et au GDPR et est entrée en vigueur le 1er janvier 2023.

Le VCDPA s'applique aux entreprises qui exercent leurs activités en Virginie ou ciblent les résidents de Virginie et qui répondent à des exigences de seuil spécifiques. Ces exigences incluent le traitement des données personnelles d'au moins 100 000 consommateurs de Virginie par an ou le fait de tirer plus de 50 % des revenus bruts de la vente de données personnelles et le traitement des données personnelles d'au moins 25 000 consommateurs de Virginie par an.

En vertu du VCDPA, les consommateurs de Virginie ont le droit de savoir quelles données personnelles sont collectées à leur sujet, le droit d'accéder à leurs données, le droit de corriger les inexactitudes dans ces données, le droit de supprimer leurs données dans certaines circonstances et le droit de refuser la vente de leurs données.

La loi sur la protection de la vie privée du Colorado (CPA)

Le CPA devrait entrer en vigueur le 1er juillet 2023.

Semblable au CCPA/CPRA et au RGPD, le CPA s'applique aux entreprises qui mènent des activités dans le Colorado ou ciblent les résidents du Colorado et respectent certaines exigences de seuil. Ces exigences incluent le traitement des données personnelles d'au moins 100 000 consommateurs du Colorado par an ou la réalisation de plus de 50 % des revenus bruts de la vente de données personnelles et le traitement des données personnelles d'au moins 25 000 consommateurs du Colorado par an.

Encore une fois, en vertu du CPA, les consommateurs du Colorado ont le droit de savoir quelles données personnelles sont collectées à leur sujet, le droit d'accéder à leurs données personnelles, le droit de corriger les inexactitudes dans leurs données personnelles, le droit de supprimer leurs données personnelles dans certaines circonstances , et le droit de refuser la vente de leurs données personnelles.

Un mouvement croissant pour une plus grande confidentialité à travers les États-Unis

Alors que le CCPA/CCPR, le VCDPA et le CPA sont tous des réglementations locales, il y a un mouvement croissant conduisant à un nombre croissant d'États introduisant des réglementations sur la confidentialité qui contribueront à relier les points et à créer un engagement « national » pour protéger la confidentialité.

Le Connecticut, l'Iowa et l'Utah ont tous des réglementations qui doivent être appliquées au cours des deux prochaines années. Selon le tracker de l'Association internationale des professionnels de la vie privée (IAPP) , de nombreux autres États sont en train d'introduire des réglementations.

Cependant, il existe certaines lois américaines sur la protection de la vie privée qui traversent les frontières des États et protègent les individus au niveau fédéral.

HIPAA – Loi fédérale

La loi HIPAA (Health Insurance Portability and Accountability Act) est une loi fédérale promulguée en 1996, antérieure au RGPD et même à l'utilisation généralisée d'Internet.

HIPAA a été conçu pour fournir des normes de confidentialité et de sécurité afin de protéger les informations personnelles sur la santé des patients. La loi établit des normes nationales pour la confidentialité et la sécurité des informations de santé protégées (PHI) et s'applique aux plans de santé, aux prestataires de soins de santé et aux centres d'échange de soins de santé qui effectuent certaines transactions électroniques.

En vertu de la loi HIPAA, les entités couvertes doivent mettre en œuvre des mesures de protection pour protéger la confidentialité, l'intégrité et la disponibilité des PHI. Ces garanties comprennent des mesures administratives, physiques et techniques pour assurer la confidentialité et la sécurité des RPS.

HIPAA donne également aux individus certains droits concernant leurs PHI, y compris le droit d'accéder à leurs PHI, le droit de demander des corrections à leurs PHI et le droit de déposer des plaintes s'ils pensent que leurs droits à la vie privée ont été violés.

Comment réagissent les entreprises ?

Dans l'ensemble, les entreprises réagissent positivement à la vague croissante de réglementations sur la protection de la vie privée. Sachant que cette tendance ne va pas disparaître, de nombreuses entreprises adaptent leurs services pour intégrer la confidentialité dans leurs modèles commerciaux. Nous avons déjà vu les mises à jour de la protection de la confidentialité des e-mails d'Apple , et Google réinvente la façon dont il suit l'engagement des utilisateurs dans GA4, la dernière version de Google Analytics.

Cependant, cela peut être une période déroutante pour les petites et moyennes entreprises qui n'ont pas les ressources nécessaires pour suivre et suivre le rythme des exigences des réglementations en matière de confidentialité. Cela est particulièrement vrai lorsque les données sont collectées et traitées sur plusieurs plates-formes technologiques. Pour ces entreprises, il est logique de protéger la vie privée de leurs clients et l'avenir de leur organisation en parlant à un expert qui peut les aider à rester en conformité.

Apprendre encore plus

Pour en savoir plus sur la façon dont les experts en marketing d'emfluence peuvent aider votre entreprise à rester du bon côté des réglementations actuelles et à venir en matière de confidentialité, contactez-nous dès aujourd'hui à [email protected] .