You are currently viewing La nouvelle proposition de Loi de Protection des Données aux États Unis

Une des principales discussions dans le monde actuel est la protection des données. Plusieurs pays dans le monde ont adapté leurs législations pour mieux protéger les données et permettre un partage sécurisé entre les entreprises et les pays.

Un exemple de législation forte c’est le RGPD au sein de l’UE. Cette législation crée des obligations et des conditions pour que le partage des données soit possible. Il existe actuellement, une liste des pays dans lesquels la législation est adapté à celle de l’UE et une liste des pays avec qui les entreprises peuvent partager certaines informations et données. Le cas des Etats-Unis est un peu spécial, nous sommes actuellement dans la 3ème déclarations d’adéquation, c’est-à-dire, c’est la troisième fois que l’UE  essaie de créer des conditions pour le partage des données avec les Etats Unis.

On se demande, donc, si le nouveau projet de loi pourra renforcer la confiance en matière de protection des données aux États-Unis et instaurer une sécurité juridique pour les consommateurs. 

Une des plus grandes difficultés dans les EUA pour la protection des données est le système fédéré du pays, en effet,  vous pouvez avoir une protection dans un état mais ne pas en avoir dans un autre. Avec le American Privacy Act, le gouvernement souhaite “donner aux gens le contrôle de leurs propres données personnelles » et « éliminer la mosaïque de lois étatiques en établissant une norme nationale unique en matière de confidentialité », en créent plusieurs obligations pour les entreprises.

Avant de savoir les obligations que la proposition de loi vise à créer, il faut savoir qu’elle, comme les législations européennes, fait une séparations entre les types d’entreprises concernées: Entreprises de médias sociaux à fort impact et grands hébergeurs de données. Pour rentrer dans ces catégories, l’entreprise doit atteindre un seuil de chiffre d’affaire et toucher une certaine quantité des personnes. Par exemple, pour être un grand hébergeur de données il faut que vous ayez les données de plus de 5 millions d’individus ou les données sensibles de moins 200 milles individus et un chiffre d’affaire plus élevée que 250 milles dollars.

Cette proposition de législation souhaite créer plusieurs obligations, notamment, rendre plus difficile le partage des données. Un exemple c’est que dans le cas des données traitées par les Entreprises de médias sociaux à fort impact, celles ci seront considérées comme données sensibles et ne pourront pas être partagées sans le consentement explicite.  En plus, elle interdit à une entité  de faire des représailles contre une personne qui exerce ses droits, comme le droit à l’effacement. Elle exige que les entités concernées et les prestataires de services désignent un ou plusieurs employés qualifiés pour agir en tant que responsables de la confidentialité ou de la sécurité des données et autorise les poursuites civiles en cas de violation des dispositions énumérées de l’APRA, y compris la disposition qui exige le consentement explicite et affirmatif pour le transfert de données sensibles.

De plus, la proposition met en avant le principe de minimisation des données, selon lequel « les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. » Ce principe deviendra central pour toutes les technologies et innovations nécessitant des données pour leur création, notamment l’intelligence artificielle. Les données utilisées par ces outils devront être strictement nécessaires à leur fonctionnement et développement. En outre, les entreprises utilisant l’IA dans le processus décisionnel devront effectuer une évaluation des risques, une évaluation d’impact, fournir un rapport aux clients et offrir la possibilité de se désengager (opt-out).

La loi est encore en négociation mais le premier brouillon montre la volonté du gouvernement de changer la protection des données dans le pays. Cependant, ce n’est qu’après son adoption éventuelle que l’on pourra évaluer l’ampleur du succès du législateur. 

Sources:

https://www.whitecase.com/insight-alert/proposed-american-privacy-rights-act-seeks-establish-comprehensive-national-framework

https://www.whitecase.com/insight-alert/proposed-american-privacy-rights-act-seeks-establish-comprehensive-national-framework

https://www.cnil.fr/fr/definition/minimisation

https://energycommerce.house.gov/posts/the-american-privacy-rights-act-puts-people-in-control-of-their-data

https://www.congress.gov/bill/117th-congress/house-bill/8152

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.