Premier aperçu de la loi américaine sur la protection et la confidentialité des données (ADPPA)

La loi américaine sur la protection et la confidentialité des données (ADPPA), ou H.R. 8152, n'est encore qu'un projet de loi en 2025.

Mais pourrait-elle devenir la première loi fédérale américaine sur la confidentialité des données ?

Non, en juillet 2022, après avoir été adopté par la commission de l'énergie et du commerce de la Chambre des représentants, et en dépit d'un soutien bipartisan apparent, il n'a pas été adopté par la Chambre et le Sénat et l' ADPPA n'est pas devenu une loi fédérale.

Ci-dessous, je reviens sur les exigences, les obligations et les droits définis par l'ADPPA, je discute de ce qui l'a empêchée d'aboutir et j'étudie ce qu'elle nous apprend sur l'avenir de la confidentialité des données aux États-Unis.

Qu'est-ce que la loi américaine sur la protection des données (ADPPA) ?

L'American Data Privacy and Protection Act (ADPPA) était un projet de loi fédérale qui, s'il avait été adopté, aurait été la première loi fédérale sur la confidentialité des données aux États-Unis.

Elle aurait préempté les lois étatiques existantes en matière de protection de la vie privée, à l'exception de certaines catégories de lois en Californie et dans l'Illinois.

En juillet 2022, l'ADPPA a été adopté par la commission de l'énergie et du commerce de la Chambre des représentants par 53 voix contre 2 et a été inscrit au calendrier de l'Union, calendrier n° 488, en décembre 2022.

Toutefois, le Congrès n'a pas eu le temps de l'examiner officiellement avant la fin de la 117e session, en janvier 2023.

En 2025, il n'avait toujours pas été adopté. Les projets de loi bloqués comme celui-ci sont parfois considérés comme des "lois mortes", ce qui suggère que l'ADPPA ne deviendra probablement pas la première loi fédérale sur la protection de la vie privée des consommateurs aux États-Unis.

Quel est l'objectif de l'ADPPA ?

L'objectif de l'ADPPA était d'établir un ensemble uniforme de protections et de droits pour les Américains sur la manière dont leurs informations personnelles sont collectées, traitées et utilisées.

Elle impose des limites et des exigences aux entreprises qui traitent des données à caractère personnel, y compris les organisations à but non lucratif et les transporteurs publics, et prévoit des sanctions et des amendes en cas de violation de la loi.

Termes clés et définitions de l'ADPPA

Avant d'expliquer les exigences de l'ADPPA, il est important d'aborder quelques termes clés afin de comprendre le champ d'application de cette loi apparemment bloquée.

Elle utilise un langage unique qui n'apparaît pas régulièrement dans d'autres législations sur la protection des données, y compris dans la plupart des lois sur la protection de la vie privée en vigueur dans les États américains.

Par exemple, au lieu de "consommateur" ou "personne concernée", l' ADPPA utilise le terme "personnes".

Vous trouverez ci-dessous les définitions de ces termes telles qu'elles figurent dans la section 2 de la dernière version de la loi américaine sur la confidentialité et la protection des données (Data Privacy and Protection Act) :

• Consentement explicite affirmatif : Un acte affirmatif d'une personne qui communique clairement l'autorisation libre, spécifique et non ambiguë de la personne pour un acte ou une pratique après avoir été informée, en réponse à une demande spécifique d'une entité couverte qui répond aux exigences du sous-paragraphe (B).
• Collecter/Collecte : L'achat, la location, la collecte, l'obtention, la réception, l'accès ou toute autre forme d'acquisition de données couvertes par quelque moyen que ce soit.
• Contrôle : (A) la propriété ou le pouvoir de vote de plus de 50 % des actions en circulation de toute catégorie de titres avec droit de vote de l'entité ; (B) le contrôle de l'élection d'une majorité des administrateurs de l'entité (ou de personnes exerçant des fonctions similaires) ; ou (C) le pouvoir d'exercer une influence déterminante sur la gestion de l'entité.
• Données couvertes : Les informations qui identifient ou sont liées ou peuvent raisonnablement être liées, seules ou en combinaison avec d'autres informations, à une personne ou à un dispositif qui identifie ou est lié ou peut raisonnablement être lié à une personne, et peuvent inclure des données dérivées et des identificateurs uniques persistants.
• Entité couverte : Toute entité ou toute personne, autre qu'une personne physique agissant dans un contexte non commercial, qui, seule ou conjointement avec d'autres, détermine les finalités et les moyens de la collecte, du traitement ou du transfert des données couvertes, et - toute personne qui, seule ou conjointement avec d'autres, détermine les finalités et les moyens de la collecte, du traitement ou du transfert des données couvertes
  • (I) est soumis à la loi sur la Commission fédérale du commerce (15 U.S.C. 41 et seq.) ;
  • (II) est un transporteur public soumis à la loi sur les communications de 1934 (47 U.S.C. 151 et seq.) et à toutes les lois qui la modifient ou la complètent ; ou
  • (III) est une organisation qui n'est pas organisée pour exercer une activité à son propre profit ou à celui de ses membres ; et
  • (ii) inclut toute entité ou personne qui contrôle, est contrôlée par ou est sous contrôle commun avec l'entité couverte.
• Personne physique : Personne physique résidant aux États-Unis.
• Grand détenteur de données : Une entité couverte ou un prestataire de services qui, au cours de l'année civile la plus récente :
  • (i) avoir des recettes brutes annuelles égales ou supérieures à 250 000 000 $ ; et
  • (ii) a collecté, traité ou transféré (I) les données couvertes de plus de 5 000 000 d'individus ou de dispositifs qui identifient ou sont liés ou peuvent être raisonnablement liés à un ou plusieurs individus, à l'exclusion des données couvertes collectées et traitées uniquement dans le but d'initier, de rendre, de facturer, de finaliser, de compléter ou de collecter de toute autre manière le paiement d'un produit ou d'un service demandé ; et
  • (II) les données sensibles couvertes de plus de 200 000 personnes ou les dispositifs qui identifient une ou plusieurs personnes, ou qui sont liés ou peuvent être raisonnablement liés à une ou plusieurs personnes.
• Processus : Effectuer ou diriger toute opération ou ensemble d'opérations effectuées sur des données couvertes, y compris l'analyse, l'organisation, la structuration, la conservation, le stockage, l'utilisation ou toute autre forme de traitement des données couvertes.
• Fournisseur de services : une personne ou une entité qui (i) collecte, traite ou transfère des données couvertes pour le compte et selon les instructions d'une entité couverte ou d'une entité fédérale, étatique, tribale, territoriale ou locale ; et (ii) reçoit des données couvertes de la part ou pour le compte d'une entité couverte ou d'une entité fédérale, étatique, tribale, territoriale ou locale.
• Entité collectrice tierce : Une entité couverte dont la principale source de revenus provient du traitement ou du transfert de données couvertes que l'entité couverte n'a pas collectées directement auprès des personnes liées ou pouvant être liées aux données couvertes.
  • Elle n'inclut pas une entité couverte dans la mesure où cette entité traite les données des employés collectées par et reçues d'un tiers concernant toute personne qui est un employé du tiers dans le seul but que ce tiers fournisse des avantages à l'employé.
• Transférer : Divulguer, libérer, diffuser, mettre à disposition, concéder sous licence, louer ou partager les données couvertes oralement, par écrit, par voie électronique ou par tout autre moyen.

Tout au long de ce guide, j'utiliserai ces termes tels qu'ils sont décrits par l'ADPPA ; n'hésitez donc pas à vous référer à cette liste de définitions en cas de besoin.

Qui a soutenu l'ADPPA ?

À l'époque, la loi américaine sur la confidentialité et la protection des données semblait bénéficier d'un certain soutien bipartisan et était parrainée par le représentant Frank Pallone Jr, un démocrate du New Jersey, district 6.

Il est coparrainé par

• Représentante Cathay McMorris Rodgers, républicaine de Washington, district 5
• Représentante Janice D. Schakowsky, démocrate de l'Illinois, district 9
• Représentant Gus M. Bilirakis, républicain de Floride, district 12

Qu'est-ce qui a bloqué l'ADPPA ?

Malgré le soutien bipartisan apparent, l'ADPPA est actuellement au point mort et semble être "mort".

Qu'est-ce qui a empêché ce projet de devenir une loi ? Le temps. Il s'est avéré difficile, mais essentiel, de trouver un équilibre entre l'innovation au niveau des États et un cadre national cohérent, et l'année s'est achevée avant qu'une conclusion ne puisse être trouvée.

Il y avait aussi des débats non résolus pour lesquels les dirigeants politiques n'avaient pas trouvé de terrain d'entente.

Ci-dessous, j'aborde certains de ces discours de manière un peu plus détaillée.

Conclusion du 117e Congrès

L'un des principaux obstacles à l'ADPPA ? Le manque de temps dans le calendrier du Congrès.

L'ADPPA a été adoptée par la commission de l'énergie et du commerce par un vote bipartisan de 53 voix contre 2 en juillet 2022.

Toutefois, les législateurs n'ont jamais eu le temps d'examiner officiellement la proposition avant la fin du 117e Congrès, le 3 janvier 2023.

Bien que le 118e Congrès se soit engagé à faire de la confidentialité des données et de l'ADPPA une priorité absolue, le projet de loi n'a pas encore évolué.

Le débat sur le droit d'action privé

L'adoption d'une loi fédérale sur la protection des données personnelles aux États-Unis est un autre sujet de discorde : les individus devraient-ils avoir un droit d'action privé ?

Un droit d'action privé signifie qu'un individu peut intenter une action en justice en cas de violation de ses droits.

Les démocrates se sont prononcés en faveur d'un droit d'action privé, tandis que les républicains s'y sont opposés. En guise de compromis, l'ADPPA a prévu un droit d'action privé avec un délai de deux ans.

Cependant, les législateurs ont encore exprimé des inquiétudes de part et d'autre de l'allée quant à la faisabilité d'une telle mesure.

Empêcher ou ne pas empêcher l'application d'autres lois de l'État

Une autre question bloquant l'ADPPA concernait le pouvoir qu'elle pourrait ou non avoir sur les diverses lois des États américains en matière de protection de la vie privée qui sont entrées en vigueur.

Lorsqu'une loi fédérale préempte les lois d'un État, elle les prend en charge et finit par les remplacer, ce qui assure l'uniformité entre tous les États américains.

Deux lignes de démarcation sont apparemment tracées dans le sable quant à la question de savoir si la loi fédérale sur la protection de la vie privée doit l'emporter sur la législation au niveau de l'État.

• L'une des parties souhaite que les lois nationales restent en vigueur tant qu'elles offrent des niveaux de protection similaires ou supérieurs en ce qui concerne les dispositions relatives au traitement des données.
• L'autre partie souhaite que la loi fédérale supplante toutes les lois des États, sans aucune exception.

Dans sa dernière version, l'ADPPA prévoyait quelques compromis pour la Californie et l'Illinois.

Ce compromis s'explique en grande partie par la lutte acharnée de la Californie contre la préemption au cours de la 117e session du Congrès, comme le rapporte l'IAPP.

En raison de ces débats en cours, il est encore difficile de prédire si la première loi fédérale officielle sur la protection de la vie privée en Amérique prévaudra sur la législation des États. Quoi qu'il en soit, il est essentiel de trouver un équilibre entre l'uniformité nationale et l'innovation au niveau des États.

Que comprend l'ADPPA ?

L'ADPPA comprend des dispositions sur tous les sujets suivants :

• Minimisation des données
• Les devoirs de loyauté
• La protection de la vie privée dès la conception
• Loyauté envers les individus en ce qui concerne la tarification
• Politique de protection de la vie privée et exigences en matière de notification
• Rapports de métrologie pour les grands détenteurs de données
• Entités de collecte tierces
• Droits civils et algorithmes
• Sécurité et protection des données
• Protection des petites entreprises
• Mécanismes unifiés d'exclusion

Voyons plus en détail l'impact qu'elles peuvent avoir sur les entités couvertes.

Minimisation des données

L'ADPPA aborde les obligations de minimisation des données de l'entité couverte dans le titre I, section 101.

Les entités ne peuvent collecter que les informations "raisonnablement nécessaires" et "proportionnées" auxéléments suivants :

• Fournir ou maintenir un produit ou un service tel que demandé par l'individu
• Objectifs spécifiques autorisés

Les finalités autorisées de la collecte et du traitement des données sont les suivantes :

• pour initier, gérer ou compléter une transaction afin d'exécuter une commande de produits ou de services demandée par l'individu
• Traitement des données nécessaires à la maintenance et au diagnostic du système
• Développement, entretien, réparation ou amélioration d'un produit ou d'un service
• Effectuer des recherches ou des analyses internes pour améliorer un produit ou un service
• Gestion des stocks ou gestion raisonnable du réseau
• Protection contre le spam
• Débogage ou réparation d'erreurs compromettant la fonctionnalité d'un service ou d'un produit
• Authentifier les utilisateurs d'un produit ou d'un service
• Exécution de la garantie d'un produit ou d'un service
• Prévenir, détecter, protéger ou répondre à un incident de sécurité, une fraude, un harcèlement ou une activité illégale
• Respecter les obligations légales au niveau de l'État, fédéral, local, tribal ou dans le cadre d'une enquête
• Empêcher qu'une personne ou un groupe ne subisse un préjudice en cas de risque de décès, de blessure physique grave ou d'autre risque pour la santé.
• mener des recherches scientifiques, historiques ou statistiques
• Communication raisonnablement attendue par le consommateur ou entre individus (pas de publicité)
• Assurer la sécurité et l'intégrité des données

La Commission fédérale du commerce (la Commission) aurait fourni des orientations sur ce qui est considéré comme "raisonnablement nécessaire et proportionnel" pour la mise en conformité.

Devoirs de loyauté

L'ADPPA aurait exigé de toutes les entités couvertes qu'elles respectent certains "devoirs de loyauté" concernant leurs procédures de traitement des données à caractère personnel, comme indiqué au titre I, section 102.

En particulier, elle décrit ce que les entités couvertes et les fournisseurs de services ne peuvent pas faire avec les informations personnelles, à savoir

• Collecte, traitement ou transfert de numéros de sécurité sociale.
• la collecte, le traitement ou le transfert de données sensibles, à moins que cela ne soit strictement nécessaire.
• Transférer des données sensibles à un tiers, sauf si la personne concernée a exprimé son consentement explicite ou si le transfert est nécessaire.
• Les services de radiodiffusion télévisuelle, les services câblés et les autres services de programmation vidéo ne peuvent pas transférer de données à un tiers non affilié, sauf s'ils obtiennent un consentement explicite.

La protection de la vie privée dès la conception

La loi fédérale américaine sur la confidentialité des données, qui est au point mort, aborde la question de la protection de la vie privée dès la conception (PbD) dans le titre I, section 103. Elle aurait fait de la protection de la vie privée dès la conception une obligation légale pour les entités concernées.

Selon l'ADPPA, la PbD signifie l'établissement, la mise en œuvre et le maintien de politiques et de pratiques raisonnables qui :

• Tenir compte des lois, règles ou réglementations fédérales applicables aux données.
• Identifier, évaluer et atténuer les risques liés à la protection de la vie privée des mineurs.
• Atténuer les risques pour la vie privée liés aux produits et services qu'ils fournissent, y compris la conception et le développement de ces produits ou services.
• Mettre en œuvre une formation et des garanties raisonnables pour promouvoir le respect de toutes les lois applicables en matière de protection de la vie privée qui ont une incidence sur l'entité couverte.

En outre, les entités couvertes doivent tenir compte de leur taille ainsi que de l'étendue et de la complexité des activités de traitement auxquelles elles se livrent.

Elles doivent également tenir compte de la sensibilité des données qu'elles collectent, du volume collecté, du nombre de personnes ou d'appareils concernés et du coût de la mise en œuvre de ces politiques.

Loyauté envers les individus en matière de tarification

L'ADPPA interdit explicitement les représailles par le biais du service ou de la tarification dans le titre I, section 104.

Les entités couvertes ne peuvent pas punir une personne pour avoir agi dans le cadre de ses droits définis par la nouvelle loi potentielle.

Toutefois, cela n'a pas empêché les entités de :

• L'offre d'un prix, d'un taux, d'un niveau ou d'une sélection de biens différents en rapport avec la participation volontaire de l'individu à un programme de fidélisation.
• Offrir des incitations financières aux personnes qui participent à des études de marché.
• Proposer différents types de prix ou de fonctionnalités en raison de l'exercice par les personnes de leurs droits en matière de protection de la vie privée.
• refuser de fournir un produit ou un service si la collecte de données est strictement nécessaire pour ce produit ou ce service.

Politique de confidentialité et exigences en matière d'avis

L'ADPPA décrit plusieurs exigences en matière de politique de protection de la vie privée et de notification dans le titre II, section 202.

Si elle avait été adoptée, elle stipulait que les entités couvertes devaient publier une politique de protection de la vie privée comprenant toutes les informations suivantes :

• L'identité et les coordonnées de l'entité couverte ou du prestataire de services
• à qui s'applique la politique de confidentialité, y compris les points de contact et une adresse électronique générique pour les demandes de renseignements sur la confidentialité et la sécurité des données
• Toute autre entité ayant la même structure d'entreprise que l'entité couverte à laquelle les données sont transférées
• Les catégories de données traitées
• La finalité du traitement de chaque catégorie de données
• L'entité transfère-t-elle les données et, dans l'affirmative, à quelle catégorie ou à quel tiers les données sont transférées, le nom de chaque tiers et les finalités du transfert ?
• la durée pendant laquelle l'entité prévoit de conserver les données
• Une description de la manière dont les individus peuvent exercer leurs droits énoncés par l'ADPPA
• Une description générale des pratiques de sécurité de l'entité
• La date d'entrée en vigueur de la politique de confidentialité
• Si les données sont transférées, traitées, stockées ou accessibles à la République populaire de Chine, à la Russie, à l'Iran ou à la Corée du Nord.

En outre, elle a déclaré que les entités qualifiées de grands détenteurs de données doivent fournir aux consommateurs un avis de confidentialité abrégé:

• Concision, clarté, visibilité et absence de confusion
• Facilement accessible
• Elle comprend un aperçu des droits des personnes et attire l'attention sur toute pratique inattendue en matière de données.
• Pas plus de 500 mots

Rapport sur les métriques pour les détenteurs de données volumineuses

En vertu de l'ADPPA, toute entité qualifiée de grand détenteur de données devra compiler des données pour l'année civile précédente.

Les paramètres spécifiques comprenaient le nombre de :

• Demandes d'accès vérifiées
• Demandes de suppression vérifiées
• Demandes d'exclusion de la publicité ciblée
• Demandes auxquelles le grand détenteur de données a répondu en tout ou en partie et qu'il a rejetées
• Le nombre médian ou moyen de jours nécessaires pour répondre aux demandes

Entités de collecte tierces

En vertu du titre II, section 206 de l'ADPPA, tous les tiers qui collectent des données auraient été tenus de publier un avis clair, non trompeur et accessible sur leur site web ou leurs applications mobiles.

Il doit répondre à toutes les exigences suivantes :

• Notifier aux personnes que l'entité est une entité de collecte pour compte de tiers en utilisant les termes élaborés par la Commission.
• Inclure un lien vers le site web de la Commission.
• est raisonnablement accessible et utilisable par les personnes handicapées

Avant le 31 janvier de chaque année civile, toute entité tierce collectant les données de plus de 5 000 personnes ou appareils aurait été tenue de s'enregistrer auprès de la Commission.

Le processus d'enregistrement aurait inclus :

• Paiement d'une redevance de 100
• Fournir la dénomination légale et l'adresse physique, électronique et Internet de l'entité tierce concernée.
• Une description des catégories de données couvertes qu'ils traitent et transfèrent
• les coordonnées du tiers, y compris une personne de contact, un numéro de téléphone, une adresse électronique, un site web et une adresse physique
• Un lien vers un site web permettant aux individus d'exercer leurs droits

La Commission mettrait en place et tiendrait à jour un site web consultable par le public, contenant des informations sur toutes les entités de collecte tierces.

Droits civils et algorithmes

L'ADPPA aurait interdit aux entités couvertes de traiter des informations d'une manière discriminatoire à l'égard des individus dans le titre II, section 207.

La Commission aurait eu le pouvoir de faire appliquer cette section de l'ADPPA.

Si l'ADPPA était promulguée, la Commission devait, dans un délai de trois ans, soumettre au Congrès un rapport résumant les points suivants :

• Tous les types d'informations que la Commission a transmis aux agences au cours de l'année précédente
• Comment les informations sont-elles liées aux lois fédérales sur les droits civils ?

Évaluations de l'impact des algorithmes couverts

Les grands détenteurs de données qui utilisent un "algorithme couvert" présentant un risque potentiel de préjudice pour une personne ou un groupe doivent procéder à une analyse d'impact.

L'ADPPA a défini l'algorithme couvert comme suit :

"Un processus informatique qui utilise l'apprentissage automatique, le traitement du langage naturel, les techniques d'intelligence artificielle ou d'autres techniques de traitement informatique d'une complexité similaire ou supérieure et qui prend une décision ou facilite la prise de décision humaine en ce qui concerne les données couvertes, y compris pour déterminer la fourniture de produits ou de services ou pour classer, ordonner, promouvoir, recommander, amplifier ou déterminer de manière similaire la fourniture ou l'affichage d'informations à un individu."

Elle précise que l'analyse d'impact doit fournir toutes les informations suivantes :

• Une description détaillée des données utilisées par l'algorithme couvert
• Une déclaration des objectifs et des utilisations proposées de l'algorithme
• Une description des résultats produits par l'algorithme
• Une évaluation de la nécessité et de la proportionnalité de l'algorithme couvert par rapport à ses objectifs déclarés
• Une description des mesures que le grand détenteur de données prendra pour atténuer les préjudices potentiels.

Vous vous demandez peut-être pourquoi la réglementation de l'IA figure dans un projet de loi sur la protection de la vie privée ?

Les réglementations relatives à la protection de la vie privée doivent suivre le rythme des progrès technologiques.

Le droit fédéral doit être adaptable, tourné vers l'avenir et capable de répondre aux problèmes imprévus de protection de la vie privée posés par des technologies telles que l'IA, la biométrie et l'évolution des méthodes de collecte de données.

Sécurité et protection des données

Les entités couvertes par l'ADPPA doivent établir, mettre en œuvre et maintenir des pratiques administratives, techniques et physiques raisonnables en matière de sécurité des données, comme l'explique la section 208 du titre II.

Pour déterminer les pratiques de sécurité à mettre en œuvre, les entités couvertes doivent prendre en compte les éléments suivants :

• La taille et la complexité de l'entité couverte elle-même
• la nature et la portée de la collecte, du traitement et du transfert des données
• Le volume et la nature des données collectées, traitées ou transférées
• la sensibilité des données collectées, traitées ou transférées
• L'état actuel (et les limites) des garanties administratives, techniques et physiques pour la protection des données
• Le coût des outils disponibles pour améliorer la sécurité et réduire les vulnérabilités

Au minimum, les entités couvertes doivent évaluer leurs vulnérabilités, évaluer leurs actions préventives et correctives, former leurs employés et désigner un responsable pour mettre en œuvre ces pratiques.

Protection des petites entreprises

Les exemptions et les protections concernant spécifiquement les petites entreprises sont décrites au titre II, section 209 de l'ADPPA.

Pour être considérée comme une petite entreprise, l'entité doit atteindre les seuils suivants :

• Ne pas dépasser 41 000 000 $ de recettes brutes annuelles moyennes
• Ne pas collecter ou traiter annuellement les données de plus de 200 000 personnes.
• Ne pas tirer plus de 50 % de ses revenus du transfert de données au cours d'une année civile.

En particulier, les petites entreprises sont dispensées de se conformer à l'article 203 (a) 4, paragraphes (1) à (3) et (5) à (7).

Ils sont également exemptés de l'application de l'article 208 (b) et de l'article 301 (c).

Le respect de la section 203 (a)(2) est facultatif.

Mécanismes unifiés de retrait

En vertu du titre II, section 210 de l'ADPPA, les entités concernées doivent mettre en place un ou plusieurs mécanismes d'exclusion des signaux de protection de la vie privée au niveau mondial dans les 18 mois suivant la date d'entrée en vigueur de la loi.

Le mécanisme centralisé d'opt-out doit répondre à toutes les lignes directrices suivantes :

• Exiger de l'entité couverte qu'elle informe les consommateurs de l'option de retrait centralisé.
• Il n'est pas nécessaire qu'il s'agisse de la configuration par défaut, mais elle peut l'être dans les cas où le mécanisme représente clairement le choix affirmatif et librement consenti d'une personne de ne pas participer.
• être conviviale, facile à utiliser et clairement décrite.
• Permettre à l'entité couverte de disposer d'une procédure d'authentification pour déterminer que le mécanisme représente une demande légitime de non-participation.
• être disponible dans toute langue couverte à laquelle l'entité fournit des produits ou des services.
• être fournis d'une manière raisonnablement accessible aux personnes handicapées.

Amendes et sanctions en cas de violation de l'ADPPA

La Commission fédérale du commerce et les bureaux des procureurs généraux des États sont habilités à faire appliquer l'ADPPA, comme le prévoit le titre IV.

Les amendes et les pénalités peuvent atteindre 10 000 dollars par infraction si la Commission considère qu'il s'agit d'un acte déloyal ou trompeur.

Droit d'action privé

L'ADPPA accorde également un droit d'action privé aux particuliers au titre IV, section 403, avec une limite de deux ans.

Mais le droit à l'action privée ne s'applique que deux ans après l'adoption de la loi.

Le tribunal peut accorder au plaignant un montant égal aux dommages compensatoires, aux mesures injonctives, aux mesures déclaratoires, ainsi qu'aux honoraires raisonnables d'avocat et aux frais de justice.

Toutefois, la personne doit d'abord informer la Commission et le procureur général de l'État où elle réside de son intention d'intenter une action civile.

Ils recevront une réponse dans les 60 jours suivant la réception de l'avis, indiquant s'ils peuvent poursuivre le litige.

Impact de l'ADPPA sur les entreprises et les consommateurs

Si l'ADPPA avait été adoptée, elle aurait affecté les consommateurs américains et se serait également appliquée aux entreprises du monde entier.

Examinons plus en détail ses implications possibles et sa portée.

L'impact sur les entreprises

Si l'ADPPA se transforme en loi fédérale, les entreprises devront publier des politiques de confidentialité (et éventuellement un avis supplémentaire) sur les sites web ou les applications, et :

• Respecter les contrôles mondiaux en matière de protection de la vie privée en ce qui concerne les droits de retrait des consommateurs.
• Offrez à vos consommateurs américains de multiples moyens de faire valoir leurs droits.
• Réaliser des analyses d'impact pour certains types de traitement de données.
• Obtenir le consentement explicite des consommateurs pour des types spécifiques de traitement, de collecte et de transfert de données.
• Créer et mettre en œuvre des mesures de sécurité appropriées pour protéger l'intégrité des données.

Toutefois, les exigences les plus strictes énoncées par l'ADPPA s'appliquent aux grands détenteurs de données.

Les petites entreprises sont dispensées de satisfaire à certains des aspects les plus complexes et les plus fastidieux de la loi potentielle.

En outre, si votre entreprise se conforme déjà aux lois sur la protection des données des États américains, telles que la Virginia Consumer Data Protection Act(VCDPA) ou la Colorado Privacy Act(CPA), il vous sera probablement plus facile de respecter les exigences de l'ADPPA.

La loi fédérale peut prendre le pas sur les lois spécifiques des États, mais comme elle décrit des protections similaires, elle pourrait, dans certains cas, faciliter la transition vers la conformité.

L'impact sur les consommateurs

L'ADPPA aurait eu un impact sur les consommateurs en leur donnant des droits sur la manière dont les entités externes collectent, traitent et utilisent leurs informations personnelles.

Elle leur offrait également un droit d'action privé contre les entités qui violaient l'un des droits à la vie privée énoncés dans la loi aujourd'hui bloquée.

Les droits des consommateurs en matière de données figurent au titre II de la loi et comprennent :

• Sensibilisation
• Transparence
• Propriété et contrôle des données individuelles
• Droit de consentement et d'opposition
• Protection des données pour les enfants et les mineurs

Voyons ce qu'implique exactement chacun de ces droits.

Sensibilisation

En vertu du titre II, section 201 de l'ADPPA, les consommateurs auraient eu le droit d'être sensibilisés, ce que la loi définit en trois parties.

Tout d'abord, dans les 90 jours suivant l'entrée en vigueur de la loi, la Commission publiera une page web décrivant chaque disposition, droit, obligation et exigence définis par l'ADPPA.

Ensuite, la Commission s'engage à mettre à jour les informations tous les trimestres et, le cas échéant, à chaque fois qu'un changement intervient dans la législation, la réglementation, les orientations ou les décisions judiciaires.

Enfin, les informations seront publiées dans les dix premières langues utilisées aux États-Unis selon le dernier recensement américain.

Transparence

Les consommateurs auraient également eu droit à la transparence, comme le prévoit le titre II, section 202 de la loi.

Les entités couvertes doivent mettre à la disposition des consommateurs une politique de protection de la vie privée claire, bien visible, non trompeuse et facile à lire.

Il doit également être facilement accessible et fournir une représentation détaillée et précise des activités de collecte, de traitement et de transfert de données de l'entité couverte.

Les consommateurs ont également le droit de recevoir un avis de confidentialité abrégé de la part des grands détenteurs de données en vertu de l'ADPPA, en plus de la politique de confidentialité qui ne doit pas dépasser 500 mots.

Propriété et contrôle des données individuelles

L'ADPPA a accordé aux consommateurs le droit d'accès, de rectification, de suppression et de portabilité des données couvertes au titre II, section 203.

Plus précisément, les consommateurs pourraient :

• Accéder gratuitement à leurs données personnelles dans un format lisible et téléchargeable sur Internet deux fois par an.
• Corriger les inexactitudes vérifiables et substantielles ou les informations incomplètes et demander à l'entité couverte d'informer tous les tiers ou prestataires de services concernés de faire de même.
• Effacer les données qu'une entité couverte a collectées à leur sujet et leur demander d'informer tous les tiers ou fournisseurs de services concernés de faire de même.
• demander, si cela est techniquement possible, qu'une entité couverte exporte leurs données à la personne ou à une autre entité dans un format portable, structuré, interopérable et lisible par machine.

Les petites entreprises qui remplissent les conditions requises sont dispensées de se conformer à ces demandes individuelles.

Droit de consentement et d'opposition

La loi américaine sur la confidentialité et la protection des données aurait donné aux consommateurs le droit de consentir et de s'opposer dans le titre II, partie 204.

Plus précisément, les consommateurs peuvent choisir de ne pas participer (c'est-à-dire de s'opposer à) :

• Le transfert de leurs données à un tiers
• Publicité ciblée

Les consommateurs ont également droit à une "autonomie individuelle", ce qui signifie que les entités couvertes ne peuvent pas tenter de conditionner le consommateur à faire des choix :

• Utiliser des déclarations ou des représentations fausses, fictives, frauduleuses ou trompeuses.
• Concevoir, modifier ou manipuler l'interface utilisateur afin d'obscurcir, de subvertir ou d'entraver l'autonomie, la prise de décision ou le choix de l'exercice des droits d'une personne.

Protection des données pour les enfants et les mineurs

L'ADPPA décrit également des droits supplémentaires concernant la protection des données pour les enfants et les mineurs.

Plus précisément, les entités couvertes ne peuvent pas faire de publicité ciblée si la personne est un mineur couvert âgé de moins de 17 ans.

Les entités couvertes ne peuvent pas non plus transférer les données de mineurs sans obtenir le consentement explicite et affirmatif de leur tuteur légal.

L'ADPPA comparée à certaines des plus grandes lois sur la protection de la vie privée

Ensuite, comparons la proposition d'ADPPA à d'autres lois importantes sur la confidentialité des données dans le monde.

ADPPA vs. RGPD

L'ADPPA est similaire au règlement général sur la protection des données de l'Union européenne (RGPD), la principale loi de l'Union européenne en matière de protection des données.

Cependant, il diffère également sur certains points importants.

Les deux lois énoncent des principes de transparence sur les activités de traitement des données d'une entité et exigent des avis (ou politiques) de confidentialité.

Ils décrivent tous deux les exigences de minimisation des données concernant la collecte d'informations "proportionnées" et "nécessaires".

En outre, ils accordent des droits similaires aux personnes protégées, à savoir le droit d'accès, de suppression ou de rectification des données, ainsi que la portabilité des données.

Toutefois, il existe des différences significatives :

• La définition de "personne physique" de l'ADPPA ne semble pas avoir la même portée extraterritoriale que la définition de "personne concernée" du RGPD .
• La définition des "données à caractère personnel" du RGPD est plus large et comporte moins d'exceptions que la définition des "données couvertes" de l'ADPPA.
• La notion d'"entité couverte" de l'ADPPA ne s'applique pas aux agences gouvernementales, alors que la définition des "responsables du traitement" RGPD s'applique.
• L'ADPPA prévoit des exemptions pour les petites entreprises, et le RGPD n'a pas d'effet équivalent.

ADPPA vs. PIPEDA

La majeure partie du Canada est régie par la loi sur la protection des renseignements personnels et les documents électroniques(LPRPDE), une loi qui présente certaines similitudes avec la LPDAA, mais aussi de grandes différences.

Ces deux lois établissent des règles de base pour les entreprises qui traitent les informations personnelles des particuliers.

Comme l'ADPPA, la LPRPDE exige des entités concernées qu'elles se tiennent responsables de la protection des données à caractère personnel et qu'elles les gardent en sécurité.

Toutefois, une différence importante concerne leur portée juridique.

La portée de la protection offerte par la LPRPDE est limitée, même au Canada. Dans certains endroits, les lois provinciales ont plus de pouvoir que la LPRPDE. En outre, la LPRPDE n'a d'incidence que sur les activités commerciales à but lucratif du secteur privé.

En revanche, l'ADPPA s'appliquerait à toute personne physique résidant en Amérique.

Bien qu'il y ait des exceptions à ce qui est considéré comme une entité ou des données couvertes, la directive s'applique aux secteurs public et privé.

ADPPA vs. CCPA

Comment la première loi fédérale potentielle des États-Unis se compare-t-elle à la loi californienne sur la protection des consommateurs(CCPA), une loi d'État de 2018 qualifiée de " RGPDdes États-Unis" ?

Toutes deux donnent aux consommateurs le droit d'accéder à leurs données, de les corriger ou de les supprimer, et définissent les exigences en matière de notification et de politique de protection de la vie privée. Elles décrivent également de la même manière les exigences en matière de sécurité, bien que l'ADPPA soit plus détaillée que la CCPA.

Cependant, les législateurs californiens affirment que les exigences de la CCPA sont plus strictes que celles décrites dans l'ADPPA, et ce pour les raisons suivantes :

• Le CCPA définit des obligations pour les sous-traitants tiers qui n'existent pas dans la version actuelle de l'ADPPA.
• La LPDAA exclut de son champ d'application les données relatives aux employés, y compris les contractants, ce qui n'est pas le cas de la LPCC.
• Les récentes modifications apportées à la loi sur la protection de la vie privée ont créé l'Agence californienne de protection de la vie privée(CPPA), un groupe de cinq membres du conseil d'administration chargés de mettre en œuvre et d'appliquer la loi.
• Cependant, l'ADPPA ne crée pas d'agence spécifique pour faire respecter la loi et dépend plutôt de la Commission et des bureaux des procureurs généraux des États.

Perspectives d'avenir de l'ADPPA

La loi américaine sur la protection des données et de la vie privée se trouve à un moment charnière, où la préemption, l'innovation, les technologies émergentes et les lacunes en matière de protection sont au premier plan.

Cela dit, elle est bloquée depuis plusieurs années et certains la qualifient de "loi morte".

Toutefois, elle a bénéficié d'un certain soutien bipartisan et pourrait donner un aperçu intéressant de ce que pourrait être une future loi fédérale pour l'Amérique.

Résumé

On ne sait pas encore quand les États-Unis adopteront une loi fédérale sur la confidentialité des données, mais la version actuelle de l'ADPPA donne un bon aperçu de ce à quoi elle pourrait ressembler en partie.

La première loi fédérale officielle des États-Unis doit assurer une protection complète, ne laissant aucune marge de manœuvre aux organisations pour exploiter les ambiguïtés au détriment des consommateurs.

Elle devrait établir une base significative de droits à la vie privée tout en donnant aux régulateurs des États la possibilité de répondre aux préoccupations régionales spécifiques.

La protection de la vie privée à l'ère numérique est complexe et nécessite une navigation prudente.

Il est essentiel de trouver un équilibre entre l'autorité fédérale et celle des États, d'encourager l'innovation et de rester à la pointe de la technologie pour garantir une protection adéquate des données.

Entre-temps, nous continuerons à suivre l'évolution de l'ADPPA et d'autres lois similaires, au fur et à mesure qu'elles se transforment (ou non) en lois potentielles.

En savoir plus sur l'auteur

Écrit par Masha Komnenic CIPP/E, CIPM, CIPT, FIP

Masha est spécialiste en sécurité de l'information et en protection des données, ainsi que déléguée à la protection des données certifiée. Depuis six ans, elle aide les petites et moyennes entreprises à se conformer aux réglementations et accompagne de nombreux accélérateurs internationaux en tant que mentor en conformité. Elle est spécialisée dans la mise en œuvre, le suivi et l’audit de la conformité des entreprises aux réglementations sur la protection des données (HIPAA, LPRDE, Directive ePrivacy, RGPD, CCPA, POPIA, LGPD). Masha a étudié le droit à l’Université de Belgrade et a obtenu son examen du barreau en 2016. En savoir plus sur l'auteur