La Maison Blanche propose une série de nouvelles lois et initiatives en matière de cybersécurité

« Si nous voulons être connectés, nous devons être protégés. » C'est par ces mots que le président Barack Obama a dévoilé, le 12 janvier 2015, une nouvelle législation sur la protection de la vie privée des consommateurs et de nouveaux partenariats en matière de cybersécurité et de confidentialité entre le gouvernement fédéral et le secteur privé à la Federal Trade Commission (FTC). Le président a reconnu que le problème croissant des cyberattaques coûte des milliards de dollars aux États-Unis et a déclaré que les incidents de cybersécurité constituaient « une menace directe pour la sécurité économique des familles américaines, et que nous devons y mettre un terme ».

Les nouvelles initiatives du président en matière de sécurité comprennent :

Initiatives visant à améliorer la confiance des consommateurs et à lutter contre l'usurpation d'identité

• Le projet de loi sur la notification et la protection des données personnelles fixera un délai uniforme de 30 jours pour la notification des violations dans tout le pays. Actuellement, le délai accordé aux entreprises qui détiennent des informations personnelles identifiables varie dans chacun des 47 États qui ont promulgué des lois sur la notification des violations. Le président a reconnu que les différentes lois des États créent une confusion pour les consommateurs et les entreprises, et que le respect des différentes lois de chaque État peut être coûteux pour les entreprises. Le projet de loi criminaliserait également le commerce international des informations personnelles identifiables.
• Le président cherche également à obtenir l'engagement de diverses institutions financières à offrir gratuitement des cotes de crédit à leurs clients.

Initiatives visant à protéger les données des élèves en classe et au-delà

• La loi sur la confidentialité numérique des élèves, qui s'inspirera d'une loi californienne interdisant l'utilisation des données collectées dans le cadre éducatif à des fins non éducatives, interdira la vente des données des élèves à des tiers à des fins non liées à l'éducation et interdira à une entreprise d'utiliser les données des élèves collectées à l'école à des fins de publicité ciblée. La loi prévoira des exceptions pour les initiatives de recherche importantes visant à améliorer les résultats scolaires et l'efficacité des produits technologiques d'apprentissage.
• Le président a lancé un défi à davantage d'entreprises afin qu'elles s'engagent à respecter la promesse faite par le Future of Privacy Forum et la Software & Information Industry Association de fournir aux parents, aux enseignants et aux élèves des protections interdisant l'utilisation abusive de leurs données.
• Les outils mis à disposition par le ministère américain de l'Éducation et son Centre technique de protection de la vie privée contribueront à protéger les enfants contre les atteintes à la vie privée. Ils comprennent notamment des modèles de conditions d'utilisation et des formations destinées aux enseignants afin de garantir l'utilisation appropriée des données éducatives à des fins pédagogiques uniquement.

Réunir les secteurs public et privé pour traiter les nouveaux enjeux liés à la protection de la vie privée

• Après une année de consultations auprès d'experts et du public, ainsi qu'auprès des acteurs du secteur et des spécialistes de la protection de la vie privée, le ministère américain de l'Énergie et le groupe de travail fédéral sur les réseaux intelligents publieront un nouveau code de conduite volontaire (VCC) destiné aux services publics et aux tiers afin de protéger les données des clients du secteur de l'électricité, sur la base des principes de confidentialité suivants : choix, consentement et contrôle d'accès.

Promouvoir l'innovation en renforçant la confiance des consommateurs en ligne

• L'administration publiera une version révisée de la législation rédigée par le département américain du Commerce, qui obligera les entreprises à collecter, utiliser et divulguer les informations personnelles des consommateurs uniquement dans le contexte et aux fins pour lesquels ces derniers ont fourni ces données.

Le président présentera plus en détail ses nouvelles mesures lors du discours sur l'état de l'Union. Ces nouvelles initiatives s'appuient sur les propositions déjà annoncées par le président en matière de protection de la vie privée des consommateurs et de lutte contre l'usurpation d'identité, notamment l'initiative BuySecure, qui impose l'utilisation de la technologie des puces et des codes PIN pour les cartes de crédit gouvernementales et oblige les agences fédérales à mettre à jour leurs terminaux de transaction afin d'utiliser cette technologie, ainsi que les nouvelles mesures prises par le gouvernement pour détecter l'usurpation d'identité et aider les victimes.

Impact sur les entreprises

Les nouvelles lois imposeraient de nouvelles restrictions importantes à l'utilisation des informations sur les étudiants par les entreprises, ainsi que des restrictions à la collecte, à l'utilisation et à la divulgation des informations sur les consommateurs. Les entreprises devraient réduire au minimum la quantité et le type de données qu'elles collectent, afin de ne conserver que celles qui sont nécessaires à la prestation de leurs services. Les entreprises pourraient également commencer à recevoir des demandes de renseignements de la part des consommateurs et de leurs partenaires commerciaux si elles ont adopté et respectent les pratiques volontaires applicables en matière de confidentialité.

Conclusion

On ignore encore si et quand le Congrès se prononcera sur les nouveaux projets de loi, celui-ci ayant jusqu'à présent bloqué ou rejeté les précédents projets de loi sur la cybersécurité. Si elle est adoptée, la nouvelle loi sur la notification des violations fixera un délai de notification standard pour les entreprises victimes d'une violation de sécurité exposant des informations personnelles et simplifiera considérablement les efforts déployés par les entreprises pour se conformer aux différents délais fixés dans la loi sur la notification des violations de chaque État. Dans le passé, le défi pour l'adoption d'une loi fédérale sur la notification des violations était de savoir si cette loi prévaudrait sur les lois étatiques plus strictes. Alors que les entreprises espèrent une norme unique, les défenseurs de la vie privée font pression pour que les lois étatiques plus strictes restent intactes.

Des informations supplémentaires sur ces initiatives sont disponibles sur le site web de la Maison Blanche.

Legal News Alert s'inscrit dans le cadre de notre engagement continu à fournir des informations actualisées sur les préoccupations urgentes ou les questions sectorielles qui touchent nos clients et nos collègues. Si vous avez des questions concernant cette mise à jour ou si vous souhaitez discuter plus en détail de ce sujet, veuillez contacter votre avocat Foley ou les personnes suivantes :

Chanley T. Howell
Jacksonville, Floride
904.359.8745
[email protected]

Steven M. Millendorf
San Diego, Californie
858.847.6737
[email protected]