États-Unis - Lois complètes sur la confidentialité à l’échelon des États
Avis de non-responsabilité : Le présent document a été rédigé à l’aide de renseignements accessibles au public. Bien que les renseignements soient jugés exacts, le gouvernement du Canada ne peut en garantir l’exactitude ni l’intégralité, et n’assume aucune responsabilité relativement à leur utilisation.
Aperçu
- Contrairement à l’Union européenne (qui a le Règlement (UE) 2016/679 - Règlement général sur la protection des données (en anglais seulement)(« RGPD »)), les É.-U. n’ont pas de loi unique et complète sur la confidentialité et la sécurité des données.
- De nombreuses lois « sectorielles » sur la confidentialité et la sécurité des données aux échelons fédéral et étatique s’appliquent en fonction du secteur, du type de données en cause et de l’objectif pour lequel les données sont collectées et utilisées.
- Trois États – la Californie, la Virginie et le Colorado – ont adopté leurs propres lois complètes sur la confidentialité. D’autres États envisagent de faire de même; surveillez donc ces développements.
Lois complètes sur la confidentialité aux États-Unis (É.-U.)
L’essor d’une législation étatique complète a commencé lorsque l’assemblée législative de la Californie a adopté à la hâte la California Consumer Privacy Act (en anglais seulement) (« CCPA ») en 2018. En 2020, et peu de temps après le début de l’application de la CCPA, les électeurs de la Californie ont approuvé la California Privacy Rights Act (en anglais seulement) (« CPRA ») qui apporte des changements radicaux à la CCPA et qui entrera en vigueur le 1er janvier 2023.
La Virginie et le Colorado ont emboîté le pas en 2021 en adoptant respectivement la Virginia Consumer Data Protection Act(anglais seulement) (« VCDPA ») et la Colorado Privacy Act (en anglais seulement) (« CPA »). La VCDPA entrera en vigueur le 1er janvier 2023 et la CPA, le 1er juillet 2023.
Récemment, l’Utah a également adopté l’Utah Consumer Privacy Act (en anglais seulement) (« UCPA ») qui suit de très près la VCDPA et entrera en vigueur le 31 décembre 2023.
En avril 2022, le Connecticut est devenu le 5e État des É.-U. à promulguer une législation complète sur la confidentialité des données avec la Connecticut Data Privacy Act (en anglais seulement) (CTDPA) qui entrera en vigueur le 1er juillet 2023. L’analyse de la CTDPA n’est pas incluse dans ce document.
Ces lois d’État sont conçues pour donner aux consommateurs plus de contrôle sur leurs informations personnelles en leur accordant certains droits et en obligeant les entreprises à être transparentes à propos de leurs pratiques en matière de confidentialité. Cependant, il y a des différences importantes dans l’applicabilité, les droits des consommateurs et l’application. Cette fiche documentaire met en évidence les différences dont doivent prendre conscience les entreprises lors de la mise en œuvre de programmes de conformité.
Facteurs clés pour les entreprises canadiennes :
- Si votre entreprise a des activités en Californie, en Virginie au Colorado, dans l’État du Utah ou au Connecticut, vous devez évaluer si votre entreprise respecte les seuils d’applicabilité des CCPA/CPRA, de la VCDPA, de la CPA, de la UCPA et du CTDPA (voir la section « Applicabilité » ci-dessous).
- Certaines entités et certains types de données sont exemptés de l’application des CCPA/CPRA, de la VCDPA et de la CPA, mais sont soumis à d’autres lois fédérales et étatiques des É.-U. sur la confidentialité et la sécurité des données.
- Les CCPA/CPRA de Californie peuvent être appliquées par des poursuites intentées par des particuliers. De nombreuses poursuites ont déjà été intentées en vertu de la CCPA qui est relativement nouvelle. Les lois du Colorado, de la Virginie et du Utah n’ont pas de droits d’action privés, mais elles ont toutes des autorités réglementaires d’État qui appliquent ces lois. Ces autorités réglementaires étatiques ont été actives dans les questions de confidentialité des données et d’application de la loi. La Californie et le Utah ont également des agences distinctes, la California Privacy Protection Agency (CPPA) et la Division of Consumer Protection au sein du Département de commerce du Utah, pour aider à l’application. Des mesures d’application privées et gouvernementales actives signifient que la non-conformité peut être coûteuse.
- La conformité au RGPD n’est pas suffisante pour se conformer à la législation des É.-U.
Informations additionnelles :
Pour plus d’informations, consultez RGPD, consultez le règlement général sur la protection des données de l’Union Européenne.
Applicabilité
Les lois complètes des É.-U. sur la confidentialité s’appliquent généralement en fonction du volume de données traitées, avec des seuils inférieurs pour les entités qui tirent des revenus importants de la vente d’informations personnelles ou de la publicité ciblée. Les CCPA et CPRA sont uniques aux États-Unis parce qu’elles ont un seuil de revenus, de sorte que les lois californiennes peuvent s’appliquer même si le volume d’informations personnelles traitées est relativement faible. Bien qu’aucune affaire n’ait interprété le fait que les seuils de revenus sont propres aux revenus générés en Californie, on s’attend généralement à ce que le procureur général de l’État de Californie inclue les revenus générés en dehors de l’État pour élargir la portée de la loi et faire progresser les objectifs de protection des consommateurs. L’approche de ces lois d’État diffère considérablement des dispositions de portée extraterritoriale du RGPD.
CCPA | CPRA | VCDPA | CPA | UCPA | RGPD |
---|---|---|---|---|---|
Toute entité à but lucratif ayant des activités en Californie et qui collecte ou traite les informations personnelles des consommateurs et remplit au moins l’un des critères suivants :
| Toute entité à but lucratif ayant des activités en Californie et qui collecte ou traite les informations personnelles des consommateurs et remplit au moins l’un des critères suivants :
| Les personnes qui ont des activités en Virginie ou génèrent des produits ou des services destinés aux consommateurs, agissent dans un contexte individuel ou de ménage, et remplissent au moins l’un des critères suivants :
| Les personnes qui ont des activités au Colorado ou qui produisent ou fournissent des produits ou services commerciaux destinés intentionnellement aux consommateurs et qui satisfont à au moins l’un des critères suivants :
| Toute entité qui contrôle ou traite des données personnelles, exerce des activités dans l’Utah ou fabrique un produit ou un service destiné aux consommateurs résidant dans l’Utah, a un revenu annuel de 25 000 000 $ ou plus et satisfait à un ou plusieurs des seuils suivants :
| Les personnes ou entités, agissant en tant que responsables du traitement ou comme sous-traitants des données personnelles qui sont soit :
|
Exemptions
1. Types de données
Contexte commercial ou d’emploi : Les VCDPA, CPA et UCPA ne s’appliquent pas aux renseignements personnels des personnes agissant dans un contexte commercial ou d’emploi, tandis que les CCPA et CPRA prévoient une exemption limitée pour les renseignements personnels recueillis dans des contextes d’emploi et interentreprises, laquelle va expirer le 1er janvier 2023.
Soins de santé, services financiers, éducation, informations sur les conducteurs, rapports de solvabilité : En règle générale, les CCPA, CPRA, VCDPA et CPA ne s’appliquent pas aux informations réglementées par les Health Insurance Portability and Accountability Act (« HIPAA »), Gramm-Leach-Bliley Act (« GLBA »), Family Educational Rights and Privacy Act (« FERPA »), Driver’s Privacy Protection Act et Fair Credit Reporting Act (« FCRA »). La UCPA contient des exemptions similaires. Notamment, les exemptions des CCPA et CPRA pour les informations réglementées par la GLBA et la FCRA sont limitées. Les informations personnelles soumises à la GLBA ou à la FCRA sont toujours soumises au droit d’action privé des CCPA et CPRA en cas de violation des données.
Confidentialité en ligne des enfants et sécurité des patients : Les VCDPA et CPA prévoient des exemptions supplémentaires, y compris des informations régies par la Children’s Online Privacy Protection Act (« COPPA ») et la Patient Safety and Quality Improvement Act.
2. Types d’entités
Les CCPA, CPRA, VCDPA, CPA et UCPA exemptent également certaines entités de la couverture.
Organismes à but non lucratif, prestataires de soins de santé : Les CCPA, CPRA et UCPA exemptent les organismes à but non lucratif et les prestataires de soins de santé régis par la California’s Confidentiality of Medical Information Act (« CMIA »). Les CCPA, CPRA, VCDPA et UCPA exemptent les organismes à but non lucratif ainsi que les entités et associés commerciaux couverts par la HIPAA.
Institutions financières : Les VCDPA, CPA et UCPA exemptent les institutions financières soumises à la GLBA. De plus, les VCDPA et UCPA exemptent les établissements d’enseignement supérieur. Les CPA et UCPA exemptent aussi les transporteurs aériens et les associés nationaux en valeurs mobilières inscrits en vertu de la Securities Exchange Act.
Contrairement aux CCPA, CPRA, VCDPA, et UCPA, la CPA n’exempte pas les entités à but non lucratif.
3. Droits des consommateurs
Chaque loi d’État vise à donner aux individus plus de contrôle sur leurs informations personnelles en accordant aux individus certains droits relatifs à leurs informations personnelles. Comme illustré dans le tableau ci-dessous, en règle générale, ces droits sont cohérents avec le RGPD.
Il convient de noter que les VCDPA et CPA exigent que les entreprises obtiennent un consentement préalable avant de traiter certaines informations personnelles délicates. Les CCPA et CPRA comptent également des exigences détaillées concernant la conformité aux droits de refus de la vente d’informations personnelles ou de la vente d’informations personnelles à des fins publicitaires ciblées, y compris le placement d’un lien « Ne pas vendre ni partager mes informations personnelles » sur la page d’accueil d’un site Web d’entreprise.
CCPA | CPRA | VCDPA | CPA | UCPA | RGPD | |
---|---|---|---|---|---|---|
Droit de savoir | oui | oui | oui | oui | oui | oui |
Droit d’accès | oui | oui | oui | oui | oui | oui |
Droit à la portabilité des données | oui | oui | oui | oui | oui | oui |
Droit de supprimer | oui | oui | oui | oui | oui | oui |
Droit de corriger | non | oui | oui | oui | non | oui |
Droit de se retirer de la vente | oui | oui | oui | oui | oui | non |
Droit de se retirer de la publicité ciblée/comportementale trans-contextuelle | non | oui | oui | oui | oui | oui |
Droit de se retirer du profilage | non | non | oui | oui | non | oui |
Droit de restreindre le traitement dans certaines circonstances | non | non | non | non | non | oui |
Droit de limiter l’utilisation et la divulgation d’informations personnelles délicates | non | oui | Consentement nécessaire pour traiter des données délicates | Consentement nécessaire pour traiter des données délicates | oui | non |
Droit de ne pas faire l’objet de discrimination dans l’exercice de ses droits | oui | oui | oui | oui | oui | oui (implicite) |
Droit de faire appel | oui | oui | oui | oui | non | oui |
Application
Chaque loi d’État prévoit une structure d’application unique. D’une manière générale, les VCDPA et CPA sont appliquées uniquement par les autorités gouvernementales étatiques et locales.
Alors que l’UCPA est appliquée uniquement par le procureur général de l’Utah, l’UCPA est unique du fait de l’existence d’un processus d’application en deux étapes. L’UCPA établit la Division de la protection des consommateurs (« Division ») à laquelle les consommateurs peuvent soumettre des plaintes concernant une infraction présumée à l’UCPA par une entité responsable du contrôle ou du traitement, et la Division a le pouvoir d’enquêter sur la plainte du consommateur. Si le directeur de la division a des motifs raisonnables de croire qu’il existe des preuves substantielles qu’une entité responsable du contrôle ou du traitement enfreint l’UCPA, le directeur peut renvoyer l’affaire au procureur général de l’Utah.
En revanche, les CCPA et CPRA sont appliquées par les autorités gouvernementales de l’État, y compris un conseil de confidentialité distinct, le CPPA, et elles offrent aux individus un droit d’action privé en cas de violation des données. Le droit d’action privé de la CCPA a alimenté un volume important de litiges, ce qui a augmenté l’importance de la sécurité des données pour les entreprises ayant des activités aux États-Unis.
CCPA | CPRA | VCDPA | CPA | UCPA | RGPD | |
---|---|---|---|---|---|---|
Pénalités en cas d’infractions | Pénalités civiles : Un tribunal peut imposer des pénalités civiles allant jusqu’à 2 500 $ par infraction, ou jusqu’à 7 500 $ par infraction intentionnelle, sans limites quant au nombre d’infractions pouvant être introduites. Droit d’action privé: Les consommateurs peuvent obtenir une mesure injonctive ou de redressement déclaratoire et des dommages-intérêts d’un montant d’au moins 100 $ et d’au plus 750 $ par consommateur par incident ou dommages réels, selon le montant le plus élevé. | Même chose que pour la CCPA. | Pénalités civiles : Jusqu’à 7 500 $ pour chaque infraction. Dépenses raisonnables engagées pour enquêter et préparer le dossier, y compris les honoraires d’avocat. Mesure injonctive | Pénalités civiles : Aucun montant spécifié, mais les infractions sont exécutoires en vertu d’autres lois sur la protection des consommateurs, ce qui peut aller jusqu’à 20 000 $ pour chaque infraction avec une peine maximale de 500 000 $ pour une série d’infractions connexes. | Pénalités civiles : dommages réels au consommateur et jusqu’à 7 500 $ par infraction | Pénalités civiles : 10 millions d’euros ou 2 % du revenu annuel, selon le montant le plus élevé ; ou 20 millions d’euros ou 4 % du revenu mondial annuel, selon le montant le plus élevé, pour les infractions les plus graves décrites dans le RGPD. Droit d’action privé: Les personnes concernées peuvent réclamer des dommages matériels et immatériels pour les infractions. |
Pénalités si des personnes mineures sont impliquées | s/o | s/o Amende automatique de 7 500 $ par infraction impliquant des mineurs connus. | s/o | s/o | s/o | s/o |
Partie chargée de l’application |
|
|
|
|
|
|
Période d’attente | 30 jours | Peut avoir la possibilité d’attendre à la discrétion du CPPA 30 jours pour le droit privé d’action | 30 jours | 60 jours (jusqu’au 1er janvier, 2025) | 30 jours | Aucune |
Lois sur le marketing
Les États-Unis disposent de plusieurs lois qui réglementent le marketing. En règle générale, la Telephone Consumer Protection Act (« TCPA ») réglemente le marketing par téléphone, par télécopieur et par texto, et la Controlling the Assault of Non-Solicited Pornography and Marketing Act (« CAN-SPAM ») réglemente le marketing par courriel. La Federal Trade Commission Act (« FTC Act ») et, en règle générale, des lois étatiques semblables interdisent également les actes et pratiques de nature déloyale et trompeuse en rapport avec le marketing et autres activités commerciales. La TCPA et la CAN-SPAM établissent les exigences relatives à l’envoi de communications non sollicitées par téléphone ou par textos et par messages électroniques commerciaux non sollicités.
La TCPA et ses règlements d’application énoncent des règles régissant, par exemple :
- les moments de la journée où les sollicitations téléphoniques peuvent être effectuées,
- l’utilisation d’appel automatisé comme les équipements téléphoniques automatisés pour les sollicitations, les informations que le solliciteur doit donner au consommateur, et
- le maintien d’un registre d’exclusion des appels.
La TCPA interdit également l’utilisation d’un équipement de composition téléphonique automatisé pour appeler ou envoyer des textos afin de communiquer un message de marketing à certaines lignes téléphoniques comme les numéros de téléphone mobile sans avoir le consentement écrit préalable de la partie appelée. La Federal Communication Commission (« FCC ») crée et applique les réglementations de la TCPA. La TCPA permet des droits d’action privés et prévoit le recouvrement de dommages réels ou préétablis allant de 500 $ à 1 500 $ par appel ou message non sollicité.
La CAN-SPAM interdit aux expéditeurs de courriels commerciaux d’utiliser des en-têtes de message et des lignes objet de nature fausse ou trompeuse qui sont susceptibles d’induire en erreur un destinataire sur un fait important concernant le contenu ou l’objet du message. Les expéditeurs de courriels commerciaux doivent également respecter certaines exigences, notamment fournir dans chaque courriel une identification claire et bien en évidence indiquant que le message est une publicité ou une sollicitation, et un avis sur la possibilité de refuser de recevoir d’autres courriels commerciaux ainsi que des instructions sur la façon de procéder. Contrairement à la TCPA, il n’y a pas de droit privé d’action en vertu de la CAN-SPAM, et la CAN-SPAM est principalement appliquée par la Federal Trade Commission («FTC»), mais peut également être appliquée par d’autres agences fédérales, notamment la FCC, ainsi que par les procureurs généraux des États et même par les prestataires de services Internet. En règle générale, la CAN-SPAM prévoit une exigence de « retrait » lors de l’envoi de courriels commerciaux à des particuliers, contrairement aux exigences générales d’« adhésion » de la Loi canadienne antipourriel. De plus, la Loi canadienne antipourriel réglemente les courriels commerciaux qui incluent les textos et messages Bluetooth, tandis que la CAN-SPAM ne réglemente que les courriels.
Questions fréquemment posées
1. Y a-t-il des exigences spécifiques en matière de sécurité concernant la protection des informations personnelles ?
Les CCPA, CPRA, VCDPA, CPA et UCPA exigent des entreprises qu’elles établissent, appliquent et maintiennent des procédures et des pratiques de sécurité raisonnables. Ce qui constitue une sécurité « raisonnable » n’est pas défini par la loi. Cependant, les procureurs généraux de la Californie et du Colorado ont publié des directives indiquant que l’utilisation de cadres de sécurité acceptés par l’industrie et appropriés pour le type de données en cause, notamment les normes ISO / CEI 27000, les contrôles CIS, le Cadre de cybersécurité NIST et PCI DSS. De plus, le Massachusetts (201 Mass. Code Regs. §17,00 et suivants) et New York (Stop Hacks and Improve Electronic Data Security Act(en anglais seulement)) ont promulgué des lois obligeant les entités qui conservent les informations personnelles des résidents de l’État d’appliquer et de maintenir un programme écrit de sécurité des informations comportant des garanties administratives, techniques et physiques appropriées. Ces lois prennent en compte la taille, la portée et le type d’activité de l’entité, ainsi que la quantité de ressources dont dispose l’entité, la nature et la quantité de données collectées ou stockées et du besoin de sécurité et de confidentialité, et de maintenir les contrôles spécifiques énumérés. D’autres États comme l’Ohio, l’Utah et le Connecticut utilisent une approche de clause d’immunité dans leurs lois sur la notification des violations de données pour inciter les entreprises à adopter des protections de cybersécurité appropriées. Les entreprises doivent s’efforcer de maintenir la conformité avec une ou plusieurs normes de sécurité de l’information reconnues comme les normes ISO/IEC 27000, les contrôles CIS, le cadre de cybersécurité NIST et la norme PCI DSS.
2. De quelle façon les lois réglementent-elles les fournisseurs ?
Chaque loi exige des entreprises qu’elles concluent des accords écrits avec des prestataires de services qui traitent des informations personnelles en leur nom, mais la portée de ce qui est requis dans de tels accords varie considérablement. Les RGPD, VCDPA, CPA et UCPA exigent que les contrats avec les prestataires de services définissent le type de données personnelles faisant l'objet du traitement ainsi que la nature, l’objectif et la durée du traitement, et elles obligent l’entité responsable du traitement à transmettre directement aux sous-traitants par un accord écrit les obligations de conformité en vertu des lois.
En revanche, la CPRA exige un certain nombre de conditions uniques et prescriptives dans l’accord écrit entre l’organisation et son prestataire de services, y compris des conditions qui interdisent la vente de renseignements personnels, le partage de renseignements personnels pour la publicité comportementale transcontextuelle et la combinaison des informations personnelles fournies par l’entreprise avec d’autres informations personnelles provenant de sources externes, entre autres conditions. La CPRA exige également une circulation descendante d’obligations contractuelles à travers différents échelons de sous-traitance. Les organisations doivent examiner les conditions contractuelles avec les prestataires de services pour vérifier qu’elles contiennent les conditions imposées par chaque loi applicable.
3. De quelle façon les consommateurs peuvent-ils exercer leurs droits ?
En vertu de chacune des lois, les entreprises sont tenues de fournir des méthodes désignées permettant aux consommateurs d’exercer leurs droits. Les CCPA et CPRA exigent que des méthodes spécifiques soient fournies aux consommateurs pour présenter des demandes, tandis que les VCDPA, CPA et UCPA n’ont pas force exécutoire et que le RGPD n’a pas d’exigences spécifiques, ce qui signifie que les méthodes utilisées par les organisations pour les CCPA et CPRA peuvent probablement être exploitées dans toutes les compétences administratives. Les CCPA et CPRA exigent que les entreprises mettent à la disposition des consommateurs deux ou plusieurs méthodes désignées pour présenter des demandes, y compris, au minimum, un numéro de téléphone sans frais. Si l’entreprise gère un site Web, celui-ci doit également être mis à la disposition des consommateurs pour présenter leurs demandes d’exercer leurs droits. Cependant, une entreprise qui a des activités exclusivement en ligne et une relation directe avec un consommateur auprès duquel elle collecte des informations personnelles n’est tenue que de fournir une adresse de courriel.
4. Y a-t-il un délai précis auquel une entreprise doit se conformer pour répondre à une demande d’un consommateur ?
Le RGPD exige des réponses dans les 30 jours aux demandes relatives aux droits des consommateurs. Les CCPA, CPRA, VCDPA, CPA et UCPA imposent des réponses dans les 45 jours aux demandes relatives aux droits des consommateurs, avec 45 jours supplémentaires (pour un total de 90 jours) lorsque cela est raisonnablement nécessaire, à condition que l’entreprise informe le consommateur du retard et des raisons d’un tel retard. En vertu de la CCPA, les entreprises doivent confirmer la réception d’une demande d’un consommateur dans les 10 jours ouvrables suivant la réception d’une telle demande. L’exigence de la CCPA concernant la confirmation de la réception de la demande semble être le summum. De plus, en vertu de la CCPA, les entreprises doivent répondre aux demandes de refus de la vente d’informations personnelles dans les 15 jours ouvrables qui suivent la réception de la demande de refus. Chaque loi d’État exige que les demandes des consommateurs soient vérifiables, ce qui signifie que l’entreprise doit vérifier que le demandeur est le consommateur ou un agent autorisé de ce consommateur dont les informations personnelles font l’objet de la demande.
5. Du point de vue de l’application de la loi, quelle devrait être la priorité des entreprises ?
Les entreprises devraient d’abord effectuer un inventaire des données afin de comprendre
- les types de renseignements personnels qu’elles recueillent,
- comment elles les utilisent,
- à qui elles les divulguent et à quelles fins.
Une compréhension détaillée des pratiques en matière de données est nécessaire pour fournir les avis imposés par les lois de l’État, protéger les données de manière appropriée et se conformer aux demandes de droits individuels. De plus, le procureur général de Californie a récemment publié un communiqué de presse sur l’application de la loi en lien avec le CPPA (en anglais seulement) résumant sa première année de mesures d’application de la CCPA qui donne un aperçu de l’orientation des mesures d’application. De nombreuses affaires d’application concernent des lacunes dans les avis aux consommateurs, notamment l’omission d’inclure une description des droits des consommateurs ou les méthodes de présenter des demandes, ce qui illustre à quel point ces domaines sont relativement faciles à appliquer. Pour les régulateurs, il est facile d’examiner le site Web et l’avis de confidentialité d’une entreprise pour voir si les divulgations posent problème. Les entreprises sont bien avisées d’examiner l’exhaustivité de ces signes extérieurs de conformité et d’évaluer si la documentation appropriée est disponible pour étayer les décisions de conformité, notamment les contrats avec tous les fournisseurs, y compris les prestataires de services de publicité numérique et d’analyse de sites Web, qui incluent la langue requise.