Réservez une démonstration
S’inscrire

L’American DonnĂ©es Privacy and Protection Act (ADPPA): vue d’ensemble

Alors que de nombreuses nouvelles lois sur la confidentialitĂ© deviennent effectives au niveau d’un État, les États-Unis n’ont toujours pas adoptĂ© de loi fĂ©dĂ©rale globale sur la confidentialitĂ© et la protection des DonnĂ©es personnelles. Alors, si Bill H.R. 8152, l’American DonnĂ©es Privacy Protection Act (ADPPA), forte d’un soutien bipartisan, devait ĂŞtre adoptĂ©e, elle deviendrait la première loi sur la confidentialitĂ© fĂ©dĂ©rale après presque deux dĂ©cennies de discussions.

Dans ce billet, nous allons passer en revue les principales définitions et exigences du projet de loi, afin d’avoir une idée plus claire de ce qui se passerait si l’ADPPA était appliquée.

En bref:

American Data Privacy and Protection Act (ADPPA)

Qu’est-ce que l’American DonnĂ©es Privacy Protection Act (ADPPA)?

Selon le texte officiel, l’ADPPA est:

Projet de loi visant à accorder aux Consommateurs des droits fondamentaux en matière de confidentialité des Données, à créer de solides mécanismes de surveillance et à établir une application efficace.

L’ADPPA accorderait Ă  tous les Consommateurs amĂ©ricains d’importants droits en matière de confidentialitĂ© des DonnĂ©es, tout en Ă©tablissant un système de surveillance pour la collecte et le traitement des DonnĂ©es effectuĂ©es par les entitĂ©s couvertes.

En tant que loi fĂ©dĂ©rale, l’ADPPA prĂ©empterait gĂ©nĂ©ralement d’autres lois sur la confidentialitĂ© au niveau des États qui sont couvertes par ses dispositions, telles que la CPRA californienne ou la VCDPA vietnamienne. Cela signifie que les entitĂ©s qui font des affaires aux États-Unis devraient se conformer Ă  l’ADPPA, puisque la plupart des lois des États ne s’appliqueraient plus.

Préemption des lois des États
Aucun État ou subdivision politique d’un État ne peut adopter, maintenir, appliquer, prescrire ou maintenir en vigueur une loi, un règlement, une règle, une norme, une exigence ou une autre disposition ayant force de loi d’un État ou d’une subdivision politique d’un État visĂ© par les dispositions de la prĂ©sente loi, ou une règle, un règlement ou une exigence promulguĂ©s en vertu de la prĂ©sente loi.

The U.S. Federal Trade Commission serait principalement responsable de l’application du projet de loi. Selon le projet, la FTC est tenue de crĂ©er un nouveau bureau appelĂ© « Bureau de la protection de la vie privĂ©e », qui serait chargĂ© de superviser et d’appliquer le projet de loi.

Ă€ qui s’applique la LPADA?

La loi amĂ©ricaine sur la protection des DonnĂ©es personnelles s’appliquerait aux entitĂ©s visĂ©es.

Le projet de texte définit une entité visée comme " toute entité ou personne autre qu ' une personne agissant dans un contexte non commercial, qui détermine seule ou conjointement avec d ' autres les finalités et les moyens de la collecte, du traitement ou du transfert des Données visées " . Cette définition large couvre la grande majorité des entreprises.

La définition ne comprend pas les entités fédérales, étatiques, tribales, territoriales ou locales, ni toute personne ou entité collectant et traitant des Données pour leur compte.

👉 Lire la définition officielle ici

Quelles Données personnelles ConS dans le cadre de la LPDPA?

L’ADPPA définit les « Données couvertes » comme des informations qui – seules ou combinées à d’autres informations – peuvent permettre l’identification d’un individu ou de son appareil, ou qui sont liées ou raisonnablement liées à ceux-ci. Cette définition inclut également les Identifiants uniques, comme les adresses IP.

En revanche, la définition des « Données couvertes » ne comprend pas :

  • DonnĂ©es anonymisĂ©es;
  • DonnĂ©es salariĂ©s;
  • les informations accessibles au public; ou
  • infĂ©rences faites Ă  partir de multiples sources indĂ©pendantes d’information accessible au public qui ne rĂ©vèlent pas de DonnĂ©es sensibles visĂ©es concernant une personne.

La loi américaine sur la protection des Données personnelles comprend également une section spécifique dédiée aux « Données sensibles couvertes » : numéros de sécurité sociale et de passeport ; informations de santé ; numéros de compte financier, de carte de débit et de carte de crédit ; informations biométriques et génétiques ; communications privées ; identifiants de connexion à tout compte ou appareil, pour ne citer qu’eux.

👉 Vous pouvez accéder à la liste complète ici

Les grands principes de l’American DonnĂ©es Privacy and Protection Act

Au titre I – Devoir de loyauté, l’ADPPA définit ses grands principes :

  • RĂ©duction des DonnĂ©es: une entreprise devrait limiter sa collecte, son traitement et son transfert de DonnĂ©es couvertes uniquement Ă  ce qui est raisonnablement NĂ©cessaires et proportionnĂ©s pour atteindre une finalitĂ© autorisĂ©e ou fournir un Produit ou Service spĂ©cifique demandĂ© par la personne Ă  laquelle les DonnĂ©es appartiennent.
  • Devoirs de loyautĂ©: comprennent principalement les activitĂ©s que l’ADPPA interdit, Ă  savoir: le traitement de donnĂ©es sensibles, chaque fois que cela n’est pas NĂ©cessaire pour fournir Ă  la personne un Service qu’elle a demandĂ©, ou le transfert de DonnĂ©es personnelles Ă  un tiers sans le ConS de la personne.
  • Vie privĂ©e: les entitĂ©s qui collectent et traitent des DonnĂ©es personnelles devraient mettre en Ĺ“uvre des mesures de protection et des pratiques de sĂ©curitĂ©, afin de garantir que leur activitĂ© est menĂ©e en toute sĂ©curitĂ© et conformĂ©ment aux lois applicables.
  • LoyautĂ© envers les particuliers en matière de Tarifs : les entitĂ©s couvertes sont tenues de s ' abstenir de reprĂ©sailles Ă  l ' encontre d ' un particulier pour avoir exercĂ© l ' un quelconque des droits garantis par la LPDPA, notamment en refusant des biens ou Services, en appliquant des prix ou des tarifs diffĂ©rents ou en fournissant un niveau de qualitĂ© diffĂ©rent.

Droits des donnĂ©es des consommateurs selon l’ADPPA

Les droits des Consommateurs prévus au titre II de l’ADPPA comprennent:

  • ConSensibilisation : dans les 90 jours suivant la promulgation de la Loi, la FTC serait tenue de publier sur son site Web une description de chaque disposition, droit, obligation et exigence de la Loi.
  • Transparence: chaque entitĂ© couverte met Ă  la disposition du public, de manière claire, visible, facile Ă  lire et facilement accessible, une Politique de confidentialitĂ© qui fournit une reprĂ©sentation dĂ©taillĂ©e et exacte de ses activitĂ©s de collecte, de traitement et de transfert de DonnĂ©es.
  • DonnĂ©es individuelles PropriĂ©taire et contrĂ´le: les individus ont le droit d’accĂ©der Ă  leurs DonnĂ©es, de les corriger, de les supprimer et de les transfĂ©rer.
  • Droit de ConS et d’opposition : les entitĂ©s doivent fournir aux individus un moyen, entre autres, de donner et de retirer leur ConS concernant le traitement ou le transfert de leurs DonnĂ©es couvertes et de refuser les publicitĂ©s ciblĂ©es.
  • Protection des DonnĂ©es pour les enfants et les mineurs: les organisations sont personnes concernĂ©es par des exigences supplĂ©mentaires lorsque des personnes de moins de 17 ans sont concernĂ©es. Par exemple, la publicitĂ© ciblĂ©e est expressĂ©ment interdite, ainsi que le transfert de DonnĂ©es Ă  des tiers, en l’absence du ConS explicite du mineur couvert ou du parent ou tuteur du mineur couvert.
  • EntitĂ©s tierces collectrices: les entitĂ©s tierces collectrices doivent afficher un avis clair et bien en vue sur leur site Web et/ou leur application, informant les personnes qu’elles sont des entitĂ©s tierces collectrices, en utilisant le langage spĂ©cifiĂ© par les règlements de la FTC.
  • SĂ©curitĂ© des DonnĂ©es et Protection des DonnĂ©es Couvertes: les organisations doivent mettre en Ĺ“uvre et maintenir des pratiques et procĂ©dures de sĂ©curitĂ© des DonnĂ©es qui protègent et sĂ©curisent les DonnĂ©es contre les accès et acquisitions non autorisĂ©s.

Le projet de loi n ' ayant pas achevé la procédure législative et n ' ayant pas été adopté, il n ' y a pas encore d ' exigences juridiques effectives. Toutefois, si l ' ADPPA prenait effet dans son texte actuel, les entités visées seraient personnes concernées par les obligations suivantes :

  • Une Politique de confidentialitĂ©: les politiques de confidentialitĂ© sont expressĂ©ment mentionnĂ©es dans le texte et devraient au moins inclure:
    • les coordonnĂ©es de l’entitĂ© couverte ;
    • les coordonnĂ©es des tiers destinataires des DonnĂ©es ;
    • quels types de DonnĂ©es sont collectĂ©es et traitĂ©es et pourquoi;
    • quels sont les droits des personnes par rapport Ă  leurs DonnĂ©es et comment elles peuvent les exercer;
    • combien de temps l’organisation prĂ©voit de stocker les DonnĂ©es.
  • MĂ©canisme permettant de recueillir le consentement pour le traitement de donnĂ©es sensibles couvertes et pour les personnes physiques de les retirer.
  • MĂ©canisme de refus de PublicitĂ© ciblĂ©e.
  • Si vous ĂŞtes une entitĂ© collectrice tierce, un avis clair sur votre site Web et/ou votre application informe les individus de votre activitĂ©.
âť“
Que dois-je faire ?

Pour l’instant, il n’y a rien à faire concernant l’ADPPA : le texte est encore une ébauche et la discussion pourrait prendre des mois. Cependant, notre équipe chez iubenda suivra toujours la situation et vous avertira de tout changement et mise à jour.

👉 Assurez-vous simplement de vous inscrire ici, et ne manquez pas les dernières nouvelles!

Une chose que vous pourriez faire, cependant, est de vérifier si l’une des nouvelles lois d’États américains sur la protection de la vie privée s’applique à vous! Si tel est le cas, vous devrez vous conformer à leurs exigences.

Ne vous inquiétez pas, c’est plus facile que vous ne le pensez !

RĂ©pondez Ă  ce quiz d’une minute et dĂ©couvrez

About us

iubenda

Attorney-level solutions to make your websites and apps compliant with the law across multiple countries and legislations.

www.iubenda.com