En Europe, le RGPD a renforcé la protection de nos données, qu’en est-il des USA ?

Un nouveau joueur sur le terrain : RGPD

Le 25 mai 2018, le Règlement Général sur la Protection des Données est entré en vigueur dans l’Union Européenne, apportant de nouvelles exigences pour les entreprises traitant, stockant et collectant des données de citoyens européens.

Le RGPD impacte principalement les entreprises européennes, mais qu’en est-il des organisations qui utilisent de telles données hors de l’UE ?

Que risque une entreprise américaine traitant des données de citoyens de l’UE et n’étant pas conforme à ces nouvelles exigences ?

Les récentes poursuites judiciaires de Google et Facebook montrent que les autorités européennes ne prennent pas à la légère la protection des données et que toute entreprise doit se conformer à ces nouvelles exigences.

Une question se pose alors : quelles sont les réglementations actuelles aux Etats-Unis en matière de protection des données et en quoi sont-elles différentes des exigences du RGPD ?

La législation américaine, une mosaïque de lois fédérales et gouvernementales

Avant même que cette étude ne commence, nous nous confrontons à un premier problème : la législation américaine n’est pas composée d’un seul bloc. En effet, les lois américaines sont divisées en deux catégories : les lois fédérales, lois en vigueur sur l’ensemble du territoire américain, et les lois gouvernementales, qui sont en vigueur uniquement dans un état et qui peuvent être complètement différentes selon l’état étudié. Et, malheureusement, la protection des données ne fait  pas exception à la règle.

Afin de commencer le plus globalement possible, commençons avec les règlementations fédérales.

Et, c’est là que le second problème apparait : les Etats-Unis n’ont ni loi générale ni autorité pour la protection des données des citoyens américains. De plus il n’existe pas une seule loi traitant uniquement de la protection des données. A la place, les données personnelles des citoyens américains sont protégées par une mosaïque de 27 lois sectorielles traitant chacune d’un type de donnée particulier : santé, finance, etc.

Parmi ces 27 lois, on peut trouver :

  • American with Disabilities (ADA) – protège les données des citoyens américains souffrant d’un handicap
  • Children’s Online Privacy Protection Act (COPPA) – réglemente la collecte de données sur les enfants parcourant internet
  • Controlling the Assault of Non-Solicited Pornography and Marketing Act (CAN-SPAM) – régule l’envoi de mails à but commercial
  • Uniting and Strengthening America by Providing Appropriate Tolls Required to Intercept and Obstruct Terrorism Act (USA PATRIOT Act) – autorise les agences fédérales à collecter et utiliser des données de surveillance dans le but de combattre le terrorisme
  • CIPA, CFAA, DPPA, E-FOIA, PPA, VPPA …

Pour autant, parmi ces 27 lois, 3 peuvent se détacher :

  • Federal Trade Commission Act (FTC),
  • Gramm-Leach-Bliley Act (GLBA)
  • Health Insurance Portability and Accountability Act (HIPAA)

FTC Act, GLBA, HIPAA… De quelle manière les données des citoyens américains sont-elles protégées ?

Le Federal Trade Commission Act  est peut-être la réglementation américaine la plus générique en terme de protection des données. Elle définit et implémente les bases de la Federal Trade Commission, une institution fédérale ayant pour objectif d’empêcher les pratiques frauduleuses et déloyales dans le commerce, et tente depuis quelques années de s’imposer comme étant la principale autorité de protection des données aux Etats-Unis. Cependant, cette loi de 1914  ne s’applique pas directement sur les données mais sur les pratiques commerciales dont elles peuvent faire partie. Et c’est pourquoi, la Federal Trade Commission peut sanctionner des entreprises ayant une politique de protection de données trop faible, une méthode de collecte des données ne nécessitant pas le consentement de l’utilisateur.

La Federal Trade Commission est également chargée, entre autres, de faire respecter le Gramm-Leach-Bliley Act. Cet acte de 1999 est spécifique à la protection des données dans le domaine de la finance. Il protège les informations des citoyens américains en obligeant les institutions financières à définir des règles et des pratiques visant la protection des données. Il donne également le droit aux individus de se désengager des accords qu’ils pouvaient avoir avec l’institution, le droit d’accéder à leurs données et de rectifier les informations incorrectes à leur sujet. De plus le GLBA impose aux institutions financières l’implémentation de systèmes de protection qui garantissent :

  • La sécurité et la confidentialité des archives des utilisateurs
  • Une protection contre les menaces anticipées sur la confidentialité ou l’intégrité des données des utilisateurs
  • Une protection contre l’accès et l’utilisation non autorisés des données des clients

Cependant, la GLBA ne donne aucun détail sur la manière dont ces protections doivent être établies.

La troisième règlementation est l’Health Insurance Portability and Accountability Act. Mise en place en 1996, et régulée par le Department of Health and Human Services (DHHS), cette loi sécurise et privatise les données concernant la santé des citoyens américains. Elle s’applique aux covered entities (prestataires de soins et centres de remboursement médicaux) et exige qu’ils assurent la confidentialité, l’intégrité et la disponibilité des données de santé, qu’ils les protègent contre des menaces, utilisations et divulgations anticipées et qu’ils s’assurent que l’ensemble de leur employés respectent ces règles. De plus, l’HIPAA définie 42 mesures de sécurité à implémenter, pour la plupart obligatoires.

Cependant, malgré toutes ces lois, la protection des données du point de vue fédéral n’est pas suffisante pour être en conformité avec le RGPD. En effet, à cause des spécificités des réglementations, tous les types de données, même si ce sont des données personnelles, ne sont pas protégés de la même façon. De plus, de nombreux points du RGPD n’apparaissent même pas dans les réglementations fédérales : il n’y a aucune réglementation sur le transfert de données hors de la juridiction des Etats-Unis, sur le droit à la portabilité ou sur la minimisation des données. Le droit à l’oubli n’apparaît lui que dans la COPPA, dans des cas spécifiques.

Voici, un tableau récapitulatif listant quelques écarts entre le RGPD et les réglementations fédérales des Etats-Unis :

Tableau 1 : Comparaison entre le RGPD et les réglementations fédérales
Tableau 1 : Comparaison entre le RGPD et les réglementations fédérales

Qu’ajoutent les lois gouvernementales dans l’Etat de New York ?

Du fait de la législation américaine, n’étudier uniquement les réglementations fédérales ne peut être suffisant. Cette étude doit en effet être plus précise et prendre en compte les réglementations gouvernementales. Parmi les 52 états, notre étude se porte sur les réglementations de l’état de New-York* (à noter que la Californie et le Massachusetts ont des standards de sécurité pour la protection des données personnelles très stricts).

La protection des données dans l’Etat de New-York est régulée par 3 articles majeurs :

  • Internet Security and Privacy act, définit des règles générales sur la protection des données par les agences gouvernementales. Cette loi impose des règles sur la collecte, l’accès et le partage des données personnelles.
  • Article 6A of NYS Public Officers law : Personal Protection Law, décrit les obligations des agences en termes de protections des données. Il définit également des mesures de sécurité obligatoires, les procédures d’autorisation d’accès et de diffusion des archives.
  • Article 38Fs – Notification ; person without authorization has acquired information du New-York General Business explicite les réactions obligatoires en cas de vol de données pour toute personne ayant une activité commerciale dans l’Etat de New-York et utilisant des données informatisées contenant des données personnelles.

Malheureusement, même si ces lois apportent quelques régulations générales sur la protection des données et des règles strictes en cas de vol de données, elles sont insuffisantes pour couvrir l’écart entre les lois fédérales et le RGPD.

GDPR vs american laws tab 2
Tableau 2 : Comparaison entre le RGPD et les réglementations gouvernementales de l’Etat de New-York

A noter que cette étude s’est focalisée sur New York, mais il en va bien évidemment de même avec la majorité des Etats américains.

 Quelle est la suite pour le RGPD aux USA ?

Aujourd’hui, être conforme aux réglementations américaines n’assure pas la conformité au RGPD. Pour autant, toute entreprise située aux Etats-Unis et utilisant des données personnelles de citoyens de l’Union Européenne doit s’assurer  d’être à la fois conforme aux lois fédérales et gouvernementales de l’état dans laquelle elle se situe et au règlement européen sur la protection des données.

Pour ce faire, l’entreprise américaine doit tout d’abord évaluer son écart avec les lois américaines afin d’être certaine d’être au moins conforme avec les réglementations locales avant de regarder celles de l’autre côté de l’Atlantique. Ainsi, il faudra tout d’abord identifier où et comment la collecte, l’utilisation, et le stockage des données sont faits, ainsi que les types de données traités. Cela permettra de lister les lois gouvernementales et fédérales qui peuvent s’appliquer afin de permettre la mise en conformité.

Enfin, une fois la conformité américaine faite et validée, l’entreprise devra évaluer son écart avec le RGPD. Il est conseillé de concentrer cette analyse sur les points suivants :

  • Transfert de données hors de la juridiction locale: il faut s’assurer que le destinataire des données soit également conforme au RGPD.
  • Droits des utilisateurs: la plupart des lois américaines ne couvrent que le droit d’accès et le droit à la rectification des données. Il faut s’assurer que les droits à la portabilité et à l’oubli ainsi que le principe de minimisation soient également disponibles pour les utilisateurs.
  • Déclaration en cas de fuite de données: seulement un petit nombre de réglementations américaines ont des obligations importantes en cas de fuite de données. Il faut donc s’assurer de respecter les exigences du RGPD sur ce point.
  • Documentation avant, pendant et après un traitement de données (collecte, utilisation, stockage, etc): pour être conformes au RGPD, il faut maintenir une documentation autour de chaque traitement (Etudes d’Impacts sur la Vie Privée, registre des traitements, etc).
  • Mesures de sécurité obligatoires, désignation d’un Délégué à la Protection des Données, Conditions de consentement des utilisateurs…

Co-écrit par Thibaut Guaquière et Boris Mallet.

*Les locaux de HeadMind Partners U.S. sont situés à New York.