La Floride remanie sa loi sur la notification des violations de la sécurité des données, qui entrera en vigueur le 1er juillet 2014.

Le 20 juin 2014, le gouverneur Rick Scott a approuvé la loi de 2014 sur la protection des informations en Floride, qui modifie les exigences et les mesures que les entreprises doivent respecter lorsqu'elles sont confrontées à une violation potentielle ou réelle de la sécurité entraînant la divulgation non autorisée d'informations personnelles. Le texte de la loi est disponible à l'adresse suivante iciLa loi entre en vigueur le 1er juillet 2014.

Cette mesure prise en Floride s'inscrit dans la lignée d'une série de propositions et de lois récentes relatives aux violations de données dans plusieurs États, notamment en Californie, au Nouveau-Mexique, dans l'Iowa et au Kentucky. Entre autres choses, la loi modifie la définition des informations personnelles pouvant déclencher une obligation de notification en ajoutant les informations relatives à l'assurance maladie, les informations médicales, les informations financières et les informations relatives aux comptes en ligne, telles que les questions et réponses de sécurité, les adresses électroniques et les mots de passe. La loi actuelle couvre le prénom ou l'initiale et le nom de famille d'une personne, en combinaison avec : (i) un numéro de sécurité sociale ; (ii) un numéro de permis de conduire ou de carte d'identité ; (iii) ou un numéro de compte, un numéro de carte de crédit ou de débit en combinaison avec tout code de sécurité ou mot de passe requis pour accéder au compte.

Les personnes concernées doivent être informées dans les plus brefs délais, au plus tard 30 jours après la découverte de la violation ou après que l'entreprise ait raisonnablement estimé qu'une violation s'était produite. Les lois actuelles exigent une notification sans délai déraisonnable et au plus tard 45 jours après la découverte de la violation.

En cas de violation de données touchant 500 résidents ou plus, un avis écrit doit être envoyé au procureur général au plus tard 30 jours après la découverte de la violation. Si le procureur général le demande, l'entreprise doit lui fournir une copie de ses politiques en vigueur concernant les violations, les mesures prises pour y remédier, ainsi qu'un rapport de police, un rapport d'incident ou un rapport d'expertise informatique.

Si la violation concerne plus de 1 000 personnes, l'entreprise doit également en informer les principales agences d'évaluation du crédit (Experian, TransUnion et Equifax).

Aucun avis n'est requis si, après avoir mené une enquête appropriée et consulté les autorités compétentes, l'organisation détermine de manière raisonnable que la violation n'a pas entraîné et n'est pas susceptible d'entraîner un vol d'identité ou tout autre préjudice définitif pour les personnes concernées. Cette décision doit être consignée par écrit, conservée pendant au moins 5 ans et communiquée au procureur général dans les 30 jours suivant sa prise.

La loi ajoute une exigence selon laquelle les entreprises doivent prendre des mesures raisonnables pour protéger et sécuriser les informations personnelles sous forme électronique. Bien que la loi ne fournisse pas de détails sur la nature de ces mesures, en cas de violation de la sécurité, l'entreprise devra démontrer au minimum qu'elle a utilisé des mesures de protection commercialement raisonnables pour protéger les informations personnelles, conformément aux normes du secteur.

Enfin, la loi autorise le procureur général à prendre des mesures coercitives en vertu de la loi de Floride sur les pratiques commerciales déloyales et trompeuses (Unfair and Deceptive Trade Practices Act) en cas d'infraction. Les sanctions civiles peuvent atteindre 500 000 dollars, soit 1 000 dollars par jour pendant les 30 premiers jours de violation, et 50 000 dollars pour chaque période supplémentaire de 30 jours, jusqu'à 180 jours. Si la violation se poursuit pendant plus de 180 jours, les sanctions peuvent atteindre 500 000 dollars.

Impact sur les activités

La loi impose des exigences supplémentaires et plus strictes aux entreprises qui subissent une violation de la sécurité exposant les informations personnelles de leurs clients, employés ou autres personnes. La violation peut être le résultat d'un pirate informatique malveillant, d'un employé mécontent ou de la perte accidentelle d'un ordinateur portable ou d'un smartphone contenant des informations personnelles. Les entreprises doivent modifier leurs plans d'intervention en cas de violation de données afin de se conformer aux nouvelles exigences (et, bien sûr, élaborer un plan d'intervention si elles n'en ont pas). Les entreprises doivent s'assurer que si une violation donne lieu à une demande du procureur général concernant les politiques applicables des entreprises, ces politiques sont conformes à la loi et aux meilleures pratiques actuelles.

---

Legal News Alert s'inscrit dans le cadre de notre engagement continu à fournir des informations actualisées sur les préoccupations urgentes ou les questions sectorielles qui touchent nos clients et nos collègues. Si vous avez des questions concernant cette mise à jour ou si vous souhaitez discuter plus en détail de ce sujet, veuillez contacter votre avocat Foley ou les personnes suivantes :

Chanley T. Howell
Jacksonville, Floride
904.359.8745
[email protected]

James R. Kalyvas
Los Angeles, Californie
213.972.4542
[email protected]

Michael R. Overly
Los Angeles, Californie
213.972.4533
[email protected]

Steven M. Millendorf
San Diego, Californie
858.847.6737
[email protected]