La Maison Blanche publie deux rapports sur le big data ; la législature de Floride adopte une loi révisée sur la notification des violations de données

Hier, le 1er mai, était une journée importante pour la protection de la vie privée dans l'actualité. La Maison Blanche a publié deux rapports sur les implications du Big Data en matière de protection de la vie privée, et la législature de Floride a révisé la loi de l'État sur la notification des violations de sécurité, renforçant et ajoutant plusieurs nouvelles exigences relatives à la sécurité des données et à la notification des violations.

Le rapport Podesta – « Big Data : saisir les opportunités, préserver les valeurs »

Contexte

En janvier dernier, le président Obama a demandé à John Podesta de mener une étude de quatre-vingt-dix (90) jours afin d'examiner les changements que la technologie des mégadonnées entraînera dans nos vies et l'avenir de la vie privée des individus. L'étude, intitulée « Big Data: Seizing Opportunities, Preserving Values » (Mégadonnées : saisir les opportunités, préserver les valeurs), a été publiée hier, le 1er mai 2014. Une copie intégrale de ce rapport est disponible ici.

Cette étude tente de mettre en balance les avantages et les défis uniques que représentent les mégadonnées pour la croissance économique des États-Unis, l'amélioration de la santé et de l'éducation, et le renforcement de la sécurité et de l'efficacité énergétique du pays, d'une part, et les questions sociales et éthiques liées à la discrimination, aux préjugés ou aux stéréotypes, et à la vie privée des individus, d'autre part.

Le cadre actuel en matière de protection de la vie privée traite des « petites données »

Le rapport reconnaît tout d'abord que les risques les plus courants pour la vie privée des individus concernent les « petites données ». Les préoccupations relatives à la vie privée dans le contexte des « petites données » sont déjà prises en compte aux États-Unis par les principes de pratiques équitables en matière d'information (FIPPs), les différentes lois spécifiques à chaque secteur, des mécanismes d'application robustes et divers mécanismes mondiaux de garantie de la vie privée tels que le cadre américain Safe Harbor.

De nouvelles lois pourraient être nécessaires pour le « Big Data »

Cependant, la technologie du « big data » permet de collecter, d'analyser et d'assembler de grands volumes de données afin d'analyser et de profiler les traces numériques discrètes que les individus laissent derrière eux chaque jour, révélant ainsi un nombre surprenant d'informations sur une personne et sa vie. Le cadre traditionnel de « notification et consentement » qui constitue le fondement de la confidentialité dans le contexte des « petites données » peut ne pas protéger suffisamment la confidentialité dans le contexte des mégadonnées. Au contraire, il peut être plus productif de se concentrer sur la manière dont les données sont utilisées et réutilisées pour gérer la confidentialité dans un environnement de mégadonnées.

Les six recommandations du rapport

Les auteurs de l'étude formulent six recommandations politiques visant à protéger la vie privée dans le contexte du big data : premièrement, l'étude invite le ministère du Commerce à faire avancer la proposition du président Obama de 2012 relative à une charte des droits des consommateurs en matière de protection de la vie privée. Deuxièmement, le Congrès devrait adopter une législation nationale sur la notification des violations de données afin de remplacer ou de compléter le patchwork actuel de lois étatiques en la matière. Troisièmement, la loi sur la protection de la vie privée de 1974 devrait s'appliquer autant que possible aux personnes non américaines ou établir des alternatives significatives et appropriées qui protègent leur vie privée. Quatrièmement, le gouvernement fédéral devrait veiller à ce que les données collectées sur les étudiants à des fins éducatives ne soient pas partagées ou utilisées de manière inappropriée. Cinquièmement, les agences chargées des droits civils et de la protection des consommateurs devraient améliorer leur expertise technique afin d'être en mesure d'identifier et d'enquêter sur l'impact discriminatoire sur les classes protégées facilité par l'utilisation du big data. Sixièmement, le rapport recommande au Congrès de modifier la loi sur la confidentialité des communications électroniques afin de garantir le même niveau de protection pour les contenus en ligne et numériques que celui accordé aux objets physiques.

Impact sur les entreprises

Ce rapport est important pour les entreprises, car il met davantage l'accent sur leurs pratiques en matière de confidentialité et de sécurité des données. Qu'il débouche sur de nouvelles lois et réglementations, sur un renforcement et de nouvelles méthodes d'application par la Commission fédérale du commerce, ou les deux, ce rapport indique clairement que les risques de non-conformité juridique en matière de confidentialité des informations personnelles continueront d'augmenter dans les mois et les années à venir.

Les entreprises ne pourront peut-être plus s'appuyer sur le cadre traditionnel de notification et de consentement utilisé dans le contexte des petites données. La tendance récente, même avant ce rapport, était de fonder la responsabilité et la conformité sur la manière dont une entreprise utilise et réutilise les données. Une loi nationale sur la notification des violations pourrait alléger la charge qui pèse sur les entreprises nationales pour se conformer aux différentes lois des États en matière de notification des violations, chacune ayant des définitions différentes des données personnelles identifiables et des exigences de notification différentes. Les entreprises doivent continuer à surveiller quelles recommandations sont adoptées, le cas échéant, et analyser attentivement leur impact sur leurs activités.

Rapport du PCAST – « Big Data et confidentialité : une perspective technologique »

Contexte

En plus de demander le rapport Podesta évoqué ci-dessus, le président Obama a également demandé à son Conseil consultatif sur la science et la technologie (PCAST) d'examiner le Big Data d'un point de vue technologique, et en particulier ce qui peut et doit être fait pour aider à préserver la vie privée. Le PCAST a également publié son rapport hier, le 1er mai, qui traite des aspects techniques du Big Data et de la vie privée. Une copie intégrale du rapport est disponible ici.

La croissance de la technologie Big Data augmente les risques pour la vie privée

La collecte, l'analyse et l'utilisation des informations personnelles ont explosé ces dernières années en raison des progrès significatifs réalisés dans les domaines de l'informatique et des technologies de communication électronique. Les individus sont plus que jamais soucieux de protéger leur vie privée, compte tenu de la capacité des nouvelles technologies à analyser d'énormes quantités de données provenant de nombreuses sources, souvent d'une manière qui leur est totalement inconnue. Le rapport traite de l'évolution de l'environnement en matière de confidentialité et de conformité juridique, alors que les entreprises aux États-Unis et dans le monde entier ont adopté et développé ces technologies de mégadonnées.

Les cinq recommandations du rapport

Le rapport reconnaît que la technologie seule ne suffit pas à protéger la vie privée. Le PCAST recommande cinq mesures que le gouvernement fédéral peut prendre pour trouver un équilibre entre les avantages du big data et la protection de la vie privée. Premièrement, comme le souligne également le rapport Podesta, les politiques devraient être davantage fondées sur les utilisations réelles du big data que sur les méthodes de collecte et d'analyse. Deuxièmement, les lois et les politiques ne devraient pas imposer de solutions technologiques spécifiques, mais plutôt viser les résultats escomptés. Troisièmement, la recherche financée par le gouvernement devrait être intensifiée afin de trouver des solutions technologiques permettant d'équilibrer les intérêts commerciaux et les préoccupations individuelles en matière de vie privée. Quatrièmement, le gouvernement devrait collaborer avec les établissements d'enseignement et les associations professionnelles afin de renforcer la formation et l'éducation en matière de protection de la vie privée, y compris les parcours professionnels des spécialistes. Cinquièmement, les États-Unis devraient jouer un rôle de premier plan à l'échelle nationale et internationale en adoptant des politiques qui encouragent l'utilisation des solutions technologiques pratiques existantes en matière de protection de la vie privée.

Impact sur les entreprises

Tout comme le rapport Podesta, le rapport PCAST confirme que l'attention portée par les organismes de réglementation et d'autorégulation à la confidentialité et à la sécurité des données continuera de croître dans les mois et les années à venir. Les entreprises utilisent la technologie de manière innovante et passionnante pour augmenter leurs revenus, leurs bénéfices et d'autres résultats commerciaux grâce à des initiatives liées au big data. Le rapport du PCAST rappelle aux entreprises que la technologie doit également être utilisée pour protéger la vie privée. Les entreprises doivent adopter une approche « privacy by design » (respect de la vie privée dès la conception) afin d'intégrer la protection de la vie privée dans leurs produits, services et systèmes, et de minimiser les risques juridiques et réputationnels résultant d'une utilisation inappropriée ou illégale des informations personnelles.

La nouvelle notification en matière de violation de la sécurité des données en Floride soumise au gouverneur

La dernière nouvelle concernant la protection de la vie privée est venue hier de Tallahassee, où la Chambre des représentants a emboîté le pas au Sénat et adopté la loi de 2014 sur la protection des informations en Floride. Le texte du projet de loi est disponible ici. Le projet de loi est désormais entre les mains du gouverneur Rick Scott, qui devrait le signer. S'il est signé, la loi entrera en vigueur le 1er juillet 2014.

Cette mesure prise en Floride s'inscrit dans la lignée d'une série de propositions et de lois récentes relatives aux violations de données dans plusieurs États, notamment en Californie, au Nouveau-Mexique, dans l'Iowa et au Kentucky. Entre autres choses, la loi modifie la définition des informations personnelles pouvant déclencher une obligation de notification en y ajoutant les informations relatives à l'assurance maladie, les informations médicales, les informations financières et les informations relatives aux comptes en ligne, telles que les questions et réponses de sécurité, les adresses électroniques et les mots de passe. La loi actuelle couvre le prénom ou l'initiale et le nom de famille d'une personne, en combinaison avec : (i) un numéro de sécurité sociale ; (ii) un numéro de permis de conduire ou de carte d'identité ; (iii) ou un numéro de compte, un numéro de carte de crédit ou de débit en combinaison avec tout code de sécurité ou mot de passe requis pour accéder au compte.

Les personnes concernées doivent être informées dans les plus brefs délais, au plus tard 30 jours après la découverte de la violation ou après que l'entreprise ait raisonnablement estimé qu'une violation s'était produite. La législation actuelle exige que la notification soit effectuée sans délai déraisonnable et au plus tard 45 jours après la découverte de la violation.

En cas de violation de données touchant 500 résidents ou plus, un avis écrit doit être envoyé au procureur général au plus tard 30 jours après la découverte de la violation. Si le procureur général le demande, l'entreprise doit lui fournir une copie de ses politiques en vigueur concernant les violations, les mesures prises pour y remédier, ainsi qu'un rapport de police, un rapport d'incident ou un rapport d'expertise informatique.

Si la violation concerne plus de 1 000 personnes, l'entreprise doit également en informer les principales agences d'évaluation du crédit (Experian, TransUnion et Equifax).

Aucun avis n'est requis si, après avoir mené une enquête appropriée et consulté les autorités compétentes, l'organisation détermine de manière raisonnable que la violation n'a pas entraîné et n'est pas susceptible d'entraîner un vol d'identité ou tout autre préjudice définitif pour les personnes concernées. Cette décision doit être consignée par écrit, conservée pendant au moins 5 ans et communiquée au procureur général dans les 30 jours suivant sa prise.

La loi ajoute une exigence selon laquelle les entreprises doivent prendre des mesures raisonnables pour protéger et sécuriser les informations personnelles sous forme électronique. Bien que la loi ne fournisse pas de détails sur la nature de ces mesures, en cas de violation de la sécurité, l'entreprise devra démontrer au minimum qu'elle a utilisé des mesures de protection commercialement raisonnables pour protéger les informations personnelles, conformément aux normes du secteur.

Enfin, la loi autorise le procureur général à prendre des mesures coercitives en vertu de la loi de Floride sur les pratiques commerciales déloyales et trompeuses (Unfair and Deceptive Trade Practices Act) en cas d'infraction. Les sanctions civiles peuvent atteindre 500 000 dollars, soit 1 000 dollars par jour pendant les 30 premiers jours de violation, et 50 000 dollars pour chaque période supplémentaire de 30 jours, jusqu'à 180 jours. Si la violation se poursuit pendant plus de 180 jours, les sanctions peuvent atteindre 500 000 dollars.

Impact sur les activités

Si elle est signée par le gouverneur comme prévu, la nouvelle loi imposera des exigences supplémentaires et plus strictes aux entreprises victimes d'une violation de la sécurité exposant les informations personnelles de leurs clients, employés ou autres personnes. La violation peut être le fait d'un pirate informatique malveillant, d'un employé mécontent ou de la perte accidentelle d'un ordinateur portable ou d'un smartphone contenant des informations personnelles. Les entreprises doivent modifier leurs plans d'intervention en cas de violation de données afin de se conformer aux nouvelles exigences (et, bien sûr, élaborer un plan d'intervention si elles n'en ont pas). Les entreprises doivent s'assurer que si une violation donne lieu à une demande du procureur général concernant les politiques applicables des entreprises, ces politiques sont conformes à la loi et aux meilleures pratiques actuelles.

Legal News Alert s'inscrit dans le cadre de notre engagement continu à fournir des informations actualisées sur les préoccupations urgentes ou les questions sectorielles qui touchent nos clients et nos collègues. Si vous avez des questions concernant cette mise à jour ou si vous souhaitez discuter plus en détail de ce sujet, veuillez contacter votre avocat Foley ou les personnes suivantes :

Chanley T. Howell
Jacksonville, Floride
904.359.8745
[email protected]

James R. Kalyvas
Los Angeles, Californie
213.972.4542
[email protected]

Michael R. Overly
Los Angeles, Californie
213.972.4533
[email protected]

Steven M. Millendorf
San Diego, Californie
858.847.6737
[email protected]