Nouvelles lois sur l'Internet

Le jeu de la confidentialité des données est en train de changer, et les États-Unis sont confrontés à une avalanche de propositions législatives visant à établir de nouvelles normes pour le traitement des données des utilisateurs.

Alors que les entreprises du monde entier sont encore en train de s'adapter aux changements apportés par le règlement général sur la protection des données (RGPD), les États-Unis accueillent leurs propres lois qui suivront l'exemple du RGPDet révolutionneront la façon dont les entreprises interagissent avec les données des utilisateurs.

Que pouvons-nous attendre du système juridique américain en matière de législation sur les données ? Comment suivront-ils la voie tracée par le RGPD? Et que signifient pour vous ces propositions législatives ?

Table des matières

1. Comment le RGPD change l'idée des données numériques
2. La loi CONSENT
3. Loi de 2018 sur la protection de la vie privée dans les médias sociaux et les droits des consommateurs
4. Loi californienne de 2018 sur la protection de la vie privée des consommateurs
5. Autres lois potentielles sur la protection de la vie privée
6. Conclusion

1. Comment le RGPD modifie l'idée des données numériques

La mission duRGPD est de faire pencher la balance du côté des consommateurs en ce qui concerne l'utilisation de leurs données personnelles.

La conformité au RGPD impose des ajustements globaux dans la gestion des données - à la fois dans l'UE et dans le monde entier. Les changements sont les suivants :

• Les utilisateurs doivent être informés, dans les termes les plus simples, de la manière dont leurs données sont collectées et utilisées
• Les utilisateurs doivent consentir à la collecte de données et comprendre la signification de ce consentement.
• L'utilisateur doit être en mesure de refuser son consentement et de le retirer.
• Les entreprises doivent expliquer pourquoi elles collectent des données
• Les entreprises ne peuvent pas forcer le consentement en refusant ou en limitant les services

Les États-Unis s'inspirent de certains de ces points, plusieurs États américains ayant élaboré des lois sur la confidentialité des données qui incluent un ou plusieurs des concepts susmentionnés.

2. La loi CONSENT

La loi CONSENT ( Customer Online Notification for Stopping Edge-Provider Network Transgressions ) est une proposition de loi fédérale (S. 2639 ) qui renforce les droits des utilisateurs en matière de protection de la vie privée.

Vous vous demandez peut-être ce qu'est exactement un fournisseur de services de pointe et si vous êtes considéré comme tel.

À l'origine, le terme " fournisseur d'accès" désignait les grandes entreprises telles que les fournisseurs d'accès à Internet, Facebook, Google, Twitter et autres, qui proposent des applications et des services sur Internet ou qui fournissent des appareils permettant d'accéder à Internet (tablettes, téléphones, etc.).

Mais en 2014, la FCC a élargi la définition des fournisseurs de périphérie pour y inclure toute personne qui envoie des paquets de données sur l'internet.

Cela signifie que si votre entreprise fournit du contenu en ligne - une boutique de commerce électronique, des vidéos, des images ou même un simple blog sur votre organisation - la FCC vous considère comme un fournisseur de services en ligne.

La loi CONSENT exigerait que la Commission fédérale du commerce (FTC) établisse une exigence de consentement à l'utilisation d'informations sensibles par ces fournisseurs de pointe.

Qui est concerné ?

Toute personne disposant d'un site web commercial aux États-Unis devrait se conformer à la loi CONSENT, de même que les grands fournisseurs d'accès tels que Google, Amazon, YouTube, etc.

Si votre site contient du contenu ou recueille et stocke des données (ce que vous faites probablement), le CONSENTEMENT s'applique à vos interactions avec les visiteurs du site et les clients.

Qu'est-ce que cela signifie pour les entreprises ?

Si la loi CONSENT est adoptée, le site web de votre entreprise devra le faire :

• Contrôlez les données que vous collectez sur les visiteurs de votre site web
• Obtenir un consentement explicite avant d'utiliser, de partager ou de vendre ces données
• S'abstenir de faire de la publicité aux utilisateurs sur la base de leurs données, à moins qu'ils n'aient donné leur accord.
• Ne plus utiliser de boîte "opt-out" pour le consentement et mettre en place un processus clair "opt-in".
• Détailler les données collectées et utilisées de manière spécifique - ne pas les enterrer dans les petits caractères.
• Fournir un mécanisme clair permettant au consommateur de retirer son consentement s'il le souhaite.

3. Loi de 2018 sur la protection de la vie privée dans les médias sociaux et les droits des consommateurs

Le projet de loi 2728 du Sénat vise à protéger la vie privée des utilisateurs sur les médias sociaux et d'autres plateformes, et exigerait des sites web qu'ils fournissent aux utilisateurs une copie des données collectées à leur sujet.

La divulgation indiquerait également à l'utilisateur final qui a accédé à ses données, si vos employés peuvent y accéder et l'utilisation de ces données.

Qui est concerné ?

Bien que le titre du projet de loi donne l'impression qu'il ne concerne que les plateformes de médias sociaux, il s'applique potentiellement à tout site web qui collecte des données sur les visiteurs du site - même s'il vise principalement les médias sociaux.

La législation est encore en cours d'élaboration - ce qui signifie que les résultats sont encore incertains - mais il y a un fort lobbying en faveur d'un champ d'application de la conformité allant bien au-delà des seules plates-formes de médias sociaux.

Qu'est-ce que cela signifie pour les entreprises ?

Si la loi sur la protection de la vie privée dans les médias sociaux (Social Media Privacy Protection Act) est adoptée et que l'interprétation finale ne se limite pas aux seuls médias sociaux, le site web de votre entreprise devra s'y conformer :

• Rédigez vos conditions de service en langage clair
• Montrer aux utilisateurs quelles données ont été collectées auprès d'eux
• Donner aux utilisateurs un meilleur accès et un meilleur contrôle sur les données collectées à leur sujet
• Mettre en place des services d'opt-out et de désactivation du suivi
• Mettre en place un programme de protection de la vie privée (comprenant une politique de protection de la vie privée, des pratiques visant à garantir la conformité interne et un plan d'intervention en cas d'incident).
• Notifier aux utilisateurs, dans les 72 heures, toute violation de la vie privée

4. Loi californienne de 2018 sur la protection de la vie privée des consommateurs

La loi californienne de 2018 sur la protection de la vie privée des consommateurs (CCPA) devait figurer sur le bulletin de vote en novembre, mais le corps législatif de l'État a adopté une version plus douce de cette loi le 28 juin 2018.

La loi accorde aux consommateurs le droit de connaître les données que les entreprises et les fournisseurs de services de pointe collectent auprès d'eux, et leur offre certains contrôles sur la manière dont ces données sont traitées, conservées et partagées.

Qui est concerné ?

Cette loi sur la confidentialité des données s'applique à toute entreprise ou fournisseur de services en ligne qui permet à une personne résidant en Californie d'accéder à son site web ou à sa plateforme, à condition que l'entreprise réponde au moins à l'un des critères suivants :

1. Les recettes brutes annuelles dépassent vingt-cinq millions de dollars(25 000 000 $).
2. achète, reçoit, vend ou partage annuellement à des fins commerciales, seul ou en combinaison, les données à caractère personnel d'au moins 50 000 consommateurs, ménages ou appareils de l'AC.
3. tire 50 % ou plus de son chiffre d'affaires annuel du transfert, de quelque manière que ce soit, y compris la vente ou le partage, des informations personnelles des consommateurs de l'AC à un tiers à des fins commerciales.

La CCPA ne s'applique pas aux organisations à but non lucratif ni aux agences gouvernementales locales et d'État en Californie.

Qu'est-ce que cela signifie pour les entreprises ?

En vigueur depuis le 1er janvier 2020le CCPA exige des entreprises qu'elles apportent plusieurs changements à leurs pratiques de collecte et de traitement des données, sous peine d'amendes de 750 dollars par personne et par infraction.

Voici les principales mesures à prendre pour se conformer à la loi sur la protection des données :

• Divulguer aux consommateurs les catégories de données que vous collectez
• Divulguer quels tiers, le cas échéant, vous autorisez à accéder aux données
• Permettre aux consommateurs de CA de refuser la vente de leurs données
• ne pas interrompre ou limiter l'utilisation des services aux consommateurs qui refusent la vente de leurs données
• Mise en place de services opt-in pour les consommateurs de moins de 16 ans de la Communauté européenne

5. Autres lois potentielles sur la protection de la vie privée

Si les lois mentionnées ci-dessus sont les plus importantes à être mises en avant aux États-Unis, la liste est loin d'être exhaustive.

La loi sur la sécurité des données et la notification des violations

Proposée lors de la session 2017-18 du Congrès, la loi sur la sécurité des données et la notification des violations devrait refaire surface. Cette loi vise à normaliser la manière dont les violations de données sont traitées et imposerait une notification stricte de 72 heures aux utilisateurs concernés.

La loi sur l'acquisition des données et la responsabilité et la sécurité technologiques (Data Acquisition and Technology Accountability and Security Act)

Cette proposition émane de la Chambre des représentants et vise à établir une norme nationale pour la notification des violations et la sécurité des données.

À l'heure actuelle, la plupart des États disposent de lois sur la notification des violations, dont beaucoup se contredisent. Les États-Unis s'efforcent de transformer ce patchwork juridique en une législation globale afin de mieux protéger les données privées des utilisateurs de l'internet.

NYC Secure

Même les villes se lancent dans l'arène de la législation sur la protection des données, notamment la ville de New York avec son initiative NYC Secure.

Ce programme vise à protéger les habitants des activités cybernétiques malveillantes sur les appareils Wi-Fi et mobiles, tout en garantissant la confidentialité des données.

6. Conclusion

Le RGPD a provoqué un effet domino dans la sphère juridique de la protection de la vie privée numérique. La commissaire britannique à l'information, Elizabeth Denham, a déclaré dans un récent discours :

Le RGPD comporte de nombreux éléments que vous reconnaîtrez dans la loi actuelle, mais ne vous y trompez pas, il change la donne pour tout le monde.

Aujourd'hui, le nouveau paradigme de la confidentialité des données personnelles fait son chemin aux États-Unis. Entre les préoccupations des consommateurs et la pression croissante exercée par les normes juridiques internationales, les États-Unis s'efforcent rapidement d'améliorer les lois sur la protection de la vie privée sur l'internet en mettant en œuvre de nouvelles lois et réglementations dans l'intérêt de la confidentialité et de la protection des données des utilisateurs.

Si ces avancées profitent en fin de compte au public, elles peuvent être difficiles à suivre et à respecter pour les entreprises.

La première étape pour rester en phase avec le monde changeant des droits sur les données est de se tenir informé de ce qui se prépare et de garder une longueur d'avance.

En savoir plus sur l'auteur

Écrit par Natasha Piirainen

Natasha est une spécialiste du contenu avec plus de 10 ans d'expérienceprofessionnelle dans le développement de contenubasé sur la recherche. Elle est diplômée du Wheaton College en anglais et en philosophie. Chez Termly, ellese concentre sur les meilleures pratiques en matière de confidentialité des données et de gestion des consentements . Elleest responsable de la maintenance et de la mise à jour desdocuments relatifs à la confidentialité des données .

En savoir plus sur l'auteur

Révisé par Masha Komnenic CIPP/E, CIPM, CIPT, FIP Directrice de la protection de la vie privée au niveau mondial