La loi Gramm-Leach-Bliley(GLBA) est une loi fédérale américaine qui a modernisé les exigences de conformité pour les services financiers.
Elle décrit les obligations et les pratiques en matière d'échange d'informations concernant les données personnelles des clients de produits financiers, tels que les prêts de service, les assurances et les conseillers financiers.
Dans cet article, j'explique les exigences de la GLBA, son impact sur les entreprises et les consommateurs, ainsi que les sanctions encourues en cas de violation de cette loi.
- Qu'est-ce que la loi Gramm-Leach-Bliley (GLBA) ?
- Termes clés et définitions de la GLBA
- Que couvre la loi Gramm-Leach-Bliley ?
- Exigences de la loi Gramm-Leach-Bliley
- Quel est l'impact de la GLBA sur les consommateurs ?
- Quel est l'impact du GLBA sur les entreprises ?
- Qui doit se conformer à la GLBA ?
- Qui est exempté de la GLBA ?
- Comment les entreprises peuvent-elles se préparer au GLBA ?
- Comment le GLBA est-il appliqué ?
- Amendes et pénalités en vertu de la loi Gramm-Leach-Bliley
- Autres lois relatives à la protection de la vie privée aux États-Unis
- Comment le site Termly contribue-t-il à la mise en conformité avec la loi GLBA ?
Qu'est-ce que la loi Gramm-Leach-Bliley (GLBA) ?
La loi Gramm-Leach-Bliley, ou GLBA, est une loi fédérale américaine qui réglemente la manière dont les services financiers collectent, traitent et protègent les informations personnelles de leurs clients.
Le GLBA s'applique aux types d'entités suivants :
- Conseillers financiers
- Compagnies d'assurance
- Sociétés de conseil en investissement
- Prêts de service
- Autres produits financiers
En vertu du titre V, sous-titre A de la loi, les organisations doivent informer leurs clients de leurs pratiques en matière de traitement des données par le biais d'un site Internet politique de confidentialité.
Ils doivent également prévoir un mécanisme permettant aux consommateurs de refuser le partage ou la divulgation de leurs données personnelles à des tiers dans certaines situations.
Quand le GLBA est-il entré en vigueur ?
La loi Gramm-Leach-Bliley est en vigueur depuis 1999.
Mais en décembre 2011, le Consumer Financial Protection Bureau(CFPB) a publié la Regulation P(12 CFR Part 1016), qui recodifie certaines réglementations antérieures émises par d'autres organismes.
Le règlement P définit les exigences liées aux problèmes de protection de la vie privée des consommateurs dans le cadre de la GLBA, et son champ d'application englobe la plupart des entreprises exerçant des activités financières (les institutions financières).
Elle s'applique également aux entreprises qui ne sont pas engagées dans des activités financières mais qui reçoivent des informations personnelles de la part d'institutions financières.
Termes clés et définitions de la GLBA
Pour vous aider à vous conformer à la GLBA, j'ai inclus certains des termes clés et leurs définitions tels qu'ils apparaissent dans la loi :
Que couvre la loi Gramm-Leach-Bliley ?
La GLBA s'applique aux entreprises engagées de manière significative dans des activités financières telles que définies par l'article 4(k) du Bank Holding Company Act de 1956, que la loi désigne sous le nom d'institutions financières.
Les activités de nature financière comprennent généralement - mais sans s'y limiter - les éléments suivants :
- Prêter, échanger, transférer, investir pour le compte d'autrui ou sauvegarder de l'argent ou des titres. Ces activités couvrent les services offerts par les prêteurs, les encaisseurs de chèques, les services de transfert de fonds et les vendeurs de mandats.
- Fournir des services de conseil en matière de finance, d'investissement ou d'économie. Ces activités couvrent les services offerts par les conseillers en crédit, les planificateurs financiers, les préparateurs d'impôts, les comptables et les conseillers en investissement.
- Courtage de prêts
- Prendre ferme, négocier ou faire du commerce de valeurs mobilières
- Gestion des prêts
- Recouvrement de créances
- Fournir des services de règlement des transactions immobilières
- Orientation professionnelle (des personnes à la recherche d'un emploi dans le secteur des services financiers)
Il convient de noter que la Regulation P, la réglementation émise par le CFPB, entre également dans le champ d'application de cette définition :
Les tiers qui ne sont pas des institutions financières mais qui reçoivent des informations personnelles non publiques de la part d'institutions financières avec lesquelles ils ne sont pas affiliés.
Si votre entreprise exerce de telles activités, vous devez disposer d'un site politique de confidentialité conforme aux exigences décrites ci-dessous.
Exigences de la loi Gramm-Leach-Bliley
Le GLBA énonce plusieurs exigences auxquelles les services financiers doivent se conformer, que j'aborderai en détail dans la section suivante.
Règles de confidentialité
Le GLBA définit une règle de notification de la protection de la vie privée que toutes les institutions financières couvertes doivent respecter.
Vous devez informer les consommateurs de ce qui suit :
- Quelles sont les données collectées auprès d'eux ?
- Comment il est partagé
- Comment il est protégé
En outre, les clients ont le droit de refuser que certaines de leurs données soient partagées avec des tiers non affiliés et doivent se voir présenter à nouveau l'avis dès qu'il est modifié.
Plus loin dans ce guide, je donne des détails plus précis sur ces exigences et sur ce qu'elles impliquent explicitement.
Sauvegarde des données
Les services financiers relevant de la GLBA doivent disposer d'un plan de sécurité écrit visant à protéger les informations personnelles des clients.
Le plan doit être approprié et tenir compte des éléments suivants :
- La taille de l'entreprise
- Le champ d'application et la nature de ses activités
- Le caractère sensible des informations collectées
Les entités doivent effectuer régulièrement des tests et des évaluations des risques afin de contrôler l'intégrité des contrôles de sécurité et de garantir la sécurité permanente des données des clients.
Protections contre les prétextes
Outre la mise en place d'un plan de sécurité, le GLBA impose également aux institutions de prendre des mesures de protection contre l'accès non autorisé ou la divulgation de données, ce que l'on appelle le " pretexting".
La nature et le niveau de protection requis varient en fonction de la taille et de la complexité du service financier.
Modèles de formulaires de confidentialité
En 2006, le Financial Services Regulatory Relief Act a modifié la GLBA pour permettre aux entreprises de s'appuyer sur des formulaires types de protection de la vie privée afin de satisfaire aux exigences de la GLBA en matière de notification et d'exclusion.
Bien que l'utilisation de formulaires types de protection de la vie privée ne soit pas obligatoire, l'affichage de ces formulaires sur le site web d'une entreprise constitue une conformité avec les dispositions de la loi relatives à la notification et à l'exclusion.
Il existe deux types de formulaires, que je vais brièvement expliquer :
- Avis avec méthode d'opt-out
- Avis sans méthode d'exclusion
Avis avec méthode d'exclusion
En vertu de la GLBA, un avis accompagné d'un formulaire d'exclusion fournit au client des informations sur la manière dont l'institution financière traite ses informations non publiques.
Le formulaire satisfait aux exigences du règlement P §1016.6 en matière de notification de la protection de la vie privée et aux exigences du règlement P §1016.7 en matière de notification de l'exclusion de la protection de la vie privée.
Vous trouverez un exemple de ce formulaire dans la capture d'écran ci-dessous, tirée du CFPB - Regulation P Appendices.
Les formulaires de refus donnent au client le droit de refuser la divulgation de ses informations par téléphone ou en ligne.
Une institution qui permet aux consommateurs de s'exclure en ligne doit fournir une page spécifique d'exclusion sur son site web, et les choix d'exclusion doivent correspondre aux réponses "Oui" dans la colonne "Pouvez-vous limiter ce partage ?
Notez qu'il existe une autre version de ce formulaire, connue sous le nom de "Mail-In Opt-Out".
Avis sans méthode d'exclusion
Comme pour les formulaires d'opt-out, vous pouvez également utiliser une notification sans méthode d'opt-out pour satisfaire aux exigences de la réglementation P §1016.6 en matière de notification de la protection de la vie privée.
Vous trouverez ci-dessous une capture d'écran de ce formulaire tirée des annexes du CFPB - Regulation P.
Les exceptions aux exigences en matière d'exclusion sont décrites aux articles 1016.13 à 1016.15 du règlement P, dans lesquels une organisation n'est pas tenue de fournir une notification et une méthode d'exclusion.
Je l'explique en détail plus loin dans ce guide, mais ces exceptions sont les suivantes :
- lors de la divulgation de NPI à un tiers non affilié afin qu'il fournisse des services à l'institution financière ou en son nom, y compris le marketing conjoint.
- lors du traitement et de la gestion des transactions, à savoir le traitement des transactions à la demande du consommateur et lorsque cela est nécessaire pour effectuer, gérer ou exécuter une transaction.
- Lors de la divulgation de NPI pour des divulgations spécifiques que les institutions financières effectuent normalement, telles que la prévention d'une fraude réelle ou potentielle ou le respect d'obligations réglementaires.
Quel est l'impact de la GLBA sur les consommateurs ?
La loi Gramm-Leach-Bliley a un impact sur les consommateurs en leur offrant plus de sécurité, de contrôle et de confidentialité concernant leurs données financières personnelles.
Les consommateurs ont le droit de savoir quelles données sont collectées à leur sujet, quand leurs données sont partagées avec d'autres entités, et de refuser ce partage dans certaines situations.
En outre, comme elle exige que les services financiers protègent les informations, les consommateurs peuvent avoir confiance dans le fait que les institutions financières sécurisent et protègent leurs données de manière adéquate.
À qui s'applique le GLBA ?
La GLBA s'applique à toutes les institutions financières, aux entités apparentées et aux personnes travaillant dans ce secteur aux États-Unis.
Il protège les informations personnelles des clients de ces entités.
Les entreprises situées en dehors des États-Unis qui offrent des services financiers aux consommateurs du pays sont également tenues de respecter la loi.
Quel est l'impact du GLBA sur les entreprises ?
Outre les exigences en matière de sécurité et de protection des données, la GLBA a un impact considérable sur les politiques de confidentialité des entreprises.
Comment le GLBA affecte-t-il mon site politique de confidentialité?
Les institutions financières doivent respecter les exigences spécifiques en matière de notification définies par la section 502 de la loi, qui a une incidence sur certaines parties de votre site politique de confidentialité.
Comme le prévoit le règlement P, l'avis de confidentialité doit contenir les informations suivantes :
Qui doit se conformer à la GLBA ?
Toute institution financière aux États-Unis doit se conformer à la loi Gramm-Leach-Bliley, notamment :
- Conseils financiers ou d'investissement
- Assurance
- Produits financiers
- Prêts de service
- Opérateurs de DAB
- Agents de recouvrement
- Sociétés de location de voitures
Les organisations situées en dehors des États-Unis qui offrent des services financiers à des particuliers dans le pays sont également soumises à la loi.
Qui est exempté de la GLBA ?
Les transactions interentreprises effectuées par des entités qui ne sont pas considérées comme des services financiers ne relèvent généralement pas du champ d'application de la GLBA.
En outre, il existe quelques exemptions aux exigences de notification de la vie privée mentionnées précédemment dans cet article, que j'aborderai en détail dans les sections suivantes.
Exception à l'obligation d'information initiale sur la protection de la vie privée
Le GLBA prévoit quelques exceptions à l'obligation de notification initiale de la protection de la vie privée.
Vous êtes exempté si vous ne divulguez aucune information personnelle non publique concernant le consommateur à un tiers non affilié.
Par ailleurs, comme l'autorisent les articles 1016.14 et 1016.15, vous êtes exempté si vous divulguez les données, mais à condition qu'il s'agisse d'un traitement de transactions :
- À la demande du consommateur
- Nécessaire pour effectuer, gérer ou exécuter une transaction
- recevoir un service d'un tiers non affilié, y compris un service de marketing commun
Vous êtes également exempté si vous n'avez pas de relation de clientèle avec le consommateur.
Exceptions permettant de retarder l'envoi de la notification
Certaines exceptions à la GLBA vous permettent de retarder l'envoi de l'avis de confidentialité à vos clients.
Par exemple, vous pouvez fournir l'avis initial de confidentialité dans un délai raisonnable après l'établissement d'une relation avec le client si l'établissement de la relation avec le client n'est pas le fait de ce dernier.
Vous pouvez également fournir une notification lorsque vous établissez une relation avec un client qui retarderait considérablement la transaction du client, et que ce dernier accepte de recevoir la notification à une date ultérieure.
Exception à l'obligation de déclaration annuelle de confidentialité
Enfin, en vertu de la GLBA, vous n'êtes pas tenu de fournir une notice annuelle sur la protection de la vie privée, et ce pour deux raisons principales.
Premièrement, vous fournissez des informations personnelles non publiques à des tiers non affiliés conformément aux dispositions de l'article 1016.13, de l'article 1016.14 ou de l'article 1016.15.
Pour rappel, ces dispositions concernent les transitions de traitement :
- À la demande du consommateur
- Nécessaire pour effectuer, gérer ou exécuter une transaction
- recevoir un service d'un tiers non affilié, y compris un service de marketing commun
Deuxièmement, il n'est pas nécessaire d'envoyer une notification annuelle si vous n'avez pas modifié vos politiques et pratiques en matière de divulgation d'informations personnelles non publiques par rapport à celles qui ont été communiquées au client dans le cadre de la notification de confidentialité la plus récente.
Comment les entreprises peuvent-elles se préparer au GLBA ?
Pour préparer votre entreprise à la conformité GLBA, prenez les mesures suivantes :
- Première étape : Examinez la loi pour comprendre l'impact de son champ d'application sur votre service financier.
- Deuxième étape : Vérifiez quel organisme de réglementation applique les dispositions de la GLBA à votre entreprise.
- Troisième étape : Mettez à jour votre site politique de confidentialité pour répondre à toutes les exigences en matière de notification.
- Quatrième étape : Fournir une méthode permettant aux clients de refuser certains traitements de données.
- Cinquième étape : Mettre en œuvre des méthodes de sécurité pour protéger les informations personnelles que vous collectez.
Comment le GLBA est-il appliqué ?
La section 504 du titre V a conféré à plusieurs agences fédérales de réglementation financière le pouvoir d'élaborer des règles pour faire appliquer la GLBA.
Chaque organisme de réglementation édicte ses propres règles pour faire appliquer les dispositions de la GLBA, qui comprennent le :
- Conseil des gouverneurs du Système fédéral de réserve (FRS)
- National Credit Union Administration (NCUA)
- Office of the Comptroller of the Currency (OCC) (Bureau du contrôleur de la monnaie)
- Office of Thrift Supervision (OTS)
- Société fédérale d'assurance des dépôts (FDIC)
- Commission fédérale du commerce (FTC)
Mais en 2011, la loi Dodd-Frank a transféré au CFPB le pouvoir d'établir des règles pour les dispositions relatives à la protection de la vie privée (titre V de la GLBA) afin d'harmoniser ce système complexe.
Certaines exceptions subsistent, comme la FTC, qui conserve son autorité sur certains concessionnaires automobiles.
Étant donné que plusieurs organismes de réglementation édictent des règles concernant différents groupes d'institutions financières, il est essentiel de confirmer à quel organisme de réglementation vous devez vous conformer avant de consulter les règles pertinentes.
Voici une liste complète du champ d'application de chaque autorité de régulation et des règles publiées pour mettre en œuvre les exigences de la GLBA en matière de notification et d'exclusion.
| Régulateur | Citation du code | Champ d'application |
| Réserve fédérale | 12 C.F.R. §216.1 | Les banques membres de l'État, les holdings bancaires et certaines de leurs filiales ou sociétés affiliées non bancaires, les succursales et agences de banques étrangères non assurées par l'État, les sociétés de prêts commerciaux détenues ou contrôlées par des banques étrangères, et les sociétés Edge et Agreement. |
| Société fédérale d'assurance des dépôts (FDIC) | 12 C.F.R. §332 | Banques assurées par la FDIC (autres que les membres du Federal Reserve System), succursales de banques étrangères assurées par l'État et certaines filiales de ces entités. |
| Office of Thrift Supervision (OTS) | 12 C.F.R. §573 | Les associations d'épargne dont les dépôts sont assurés par la Federal Deposit Insurance Corporation et toutes les filiales de ces associations d'épargne, mais pas les filiales qui sont des courtiers, des négociants, des personnes fournissant des assurances, des sociétés d'investissement ou des conseillers en investissement. |
| Office of the Comptroller of the Currency (OCC) (Bureau du contrôleur de la monnaie) | 12 C.F.R. §40 | Les banques nationales, les succursales fédérales et les agences fédérales de banques étrangères, et toutes les filiales de ces entités, à l'exception d'un courtier ou d'un négociant enregistré en vertu du Securities Exchange Act de 1934, d'un conseiller en investissement enregistré, d'une société d'investissement enregistrée en vertu du Investment Company Act de 1940, d'une compagnie d'assurance soumise à la surveillance d'un organisme de réglementation des assurances de l'État, et d'une entité soumise à la réglementation de la Commodity Futures Trading Commission. |
| Commission fédérale du commerce (FTC) | 16 C.F.R. §313 | Toute personne décrite dans le 12 U.S.C. 5519, principalement engagée dans la vente et l'entretien de véhicules à moteur, la location et l'entretien de véhicules à moteur, ou les deux. |
| Commission des valeurs mobilières et des changes (SEC) | 17 C.F.R. §248 | Les courtiers, les négociants et les sociétés d'investissement, ainsi que les conseillers en investissement enregistrés auprès de la Commission. Il s'applique également aux courtiers, négociants, sociétés d'investissement et conseillers en investissement étrangers enregistrés auprès de la Commission. |
| Commodity Futures Trading Commission (CFTC) | 17 C.F.R. §160 | Tous les marchands de contrats à terme, les négociants en devises au détail, les conseillers en négoce de matières premières, les opérateurs de pools de matières premières, les courtiers introducteurs, les principaux participants aux swaps et les négociants en swaps relevant de la compétence de la Commission, qu'ils soient ou non tenus de s'enregistrer auprès de la Commission. |
| Bureau de la protection financière des consommateurs (CFPB) |
12 C.F.R. §1016
(Règlement P) |
Toute institution financière et toute autre personne ou prestataire de services couvert(e) par le sous-titre A du titre V du GLBA, y compris les tiers qui ne sont pas des institutions financières mais qui reçoivent des informations personnelles non publiques d'institutions financières avec lesquelles ils ne sont pas affiliés. Cette partie ne s'applique pas à certains concessionnaires de véhicules à moteur décrits dans 12 U.S.C. 5519 ou aux entités pour lesquelles la Securities and Exchange Commission ou la Commodity Futures Trading Commission a le pouvoir d'édicter des règles conformément aux sections 504(a)(1)(A)-(B) du GLB Act (15 U.S.C. 6804(a)(1)(A)-(B[/small]. |
Amendes et pénalités en vertu de la loi Gramm-Leach-Bliley
Les amendes prévues par le GLBA sont importantes et peuvent toucher des individus ou des organisations entières.
Les organisations qui enfreignent la loi peuvent se voir infliger une amende allant jusqu'à 100 000 dollars par infraction, tandis que les dirigeants ou les administrateurs peuvent se voir infliger une amende allant jusqu'à 10 000 dollars par infraction.
Autres lois relatives à la protection de la vie privée aux États-Unis
Bien que les États-Unis ne disposent pas actuellement d'une loi fédérale sur la protection de la vie privée, les textes législatifs suivants existent au niveau de l'État et sont en vigueur :
- Loi californienne sur la protection de la vie privée des consommateurs(CCPA)
- Loi du Colorado sur la protection de la vie privée(CPA)
- Loi du Connecticut sur la protection des données(CTDPA)
- Loi du Delaware sur la protection des données personnelles(DPDPA)
- Charte des droits numériques de Floride(FDBR)
- Loi de l'Iowa sur la protection des données des consommateurs(Iowa CDPA)
- Loi du Montana sur la protection des données des consommateurs(MCDPA)
- Loi de l'Oregon sur la protection de la vie privée des consommateurs(OCPA)
- Loi sur la protection des informations du Tennessee(TIPA)
- Loi du Texas sur la confidentialité et la sécurité des données(TDPSA)
- Loi de l'Utah sur la protection de la vie privée des consommateurs(UCPA)
- Loi sur la protection des données des consommateurs de Virginie(VCDPA)
Pour plus d'informations sur les lois et projets de loi relatifs à la protection de la vie privée aux États-Unis, consultez notre outil de suivi des lois relatives à la protection de la vie privée dans les États américains.
La GLBA et les lois sur la protection de la vie privée des États américains
En tant que loi fédérale, la GLBA peut entrer en conflit avec d'autres lois des États américains qui cherchent à réglementer les mêmes organisations ou les mêmes informations personnelles.
L'article 507 de la GLBA traite spécifiquement de ce cas et prévoit que la GLBA prévaut sur les lois des États si ces lois sont incompatibles avec les exigences de la GLBA.
Une loi nationale n'est pas considérée comme incompatible si elle offre à une personne une protection "supérieure à celle offerte" par la loi.
Par exemple, la GLBA ne l'emporte pas sur la CCPA, car elle impose aux entreprises des exigences supplémentaires en matière de protection de la vie privée, qui sont supérieures à la protection offerte par la loi.
De même, la GLBA permet aux États d'exempter les entités réglementées par la GLBA du respect des lois nationales sur la protection de la vie privée.
Par exemple, les lois sur la protection de la vie privée adoptées en Virginie, au Colorado, dans l'Utah et dans le Connecticut exemptent expressément les entités réglementées par la GLBA de l'obligation de se conformer à la loi.
Comment le site Termly contribue-t-il à la mise en conformité avec la loi GLBA ?
Les mises à jour prennent du temps, mais Termly travaille à la mise à jour de notre site Générateur de politique de confidentialité et permet aux utilisateurs de répondre aux exigences de notification de la vie privée définies par le GLBA.
Une fois en ligne, il posera des questions simples sur votre entreprise et ses activités de traitement des données, puis élaborera une politique unique sur la base de vos réponses.
Vous pourrez ensuite le lier directement à votre site web ou à votre application mobile et le mettre à jour si nécessaire dans votre tableau de bord Termly .
Revenez bientôt sur notre site pour savoir quand la mise à jour de Générateur de politique de confidentialité sera disponible !
Si vous tombez sous le coup de la loi Gramm-Leach-Bliley, il est essentiel de présenter à vos clients un site conforme ( politique de confidentialité ) et des contrôles appropriés pour leur permettre de refuser le partage de leurs données personnelles.
Vous devez également élaborer et mettre en œuvre un plan écrit pour assurer la sécurité des données que vous collectez et les protéger contre les accès non autorisés ou les violations de données.
