Iubenda logo
Générer dès maintenant

Documentation

Sommaire

L’American Données Privacy and Protection Act (ADPPA): vue d’ensemble

Alors que de nombreuses nouvelles lois sur la confidentialité deviennent effectives au niveau d’un État, les États-Unis n’ont toujours pas adopté de loi fédérale globale sur la confidentialité et la protection des Données personnelles. Alors, si Bill H.R. 8152, l’American Données Privacy Protection Act (ADPPA), forte d’un soutien bipartisan, devait être adoptée, elle deviendrait la première loi sur la confidentialité fédérale après presque deux décennies de discussions.

Dans ce billet, nous allons passer en revue les principales définitions et exigences du projet de loi, afin d’avoir une idée plus claire de ce qui se passerait si l’ADPPA était appliquée.

En bref:

American Data Privacy and Protection Act (ADPPA)

Qu’est-ce que l’American Données Privacy Protection Act (ADPPA)?

Selon le texte officiel, l’ADPPA est:

Projet de loi visant à accorder aux Consommateurs des droits fondamentaux en matière de confidentialité des Données, à créer de solides mécanismes de surveillance et à établir une application efficace.

L’ADPPA accorderait à tous les Consommateurs américains d’importants droits en matière de confidentialité des Données, tout en établissant un système de surveillance pour la collecte et le traitement des Données effectuées par les entités couvertes.

En tant que loi fédérale, l’ADPPA préempterait généralement d’autres lois sur la confidentialité au niveau des États qui sont couvertes par ses dispositions, telles que la CPRA californienne ou la VCDPA vietnamienne. Cela signifie que les entités qui font des affaires aux États-Unis devraient se conformer à l’ADPPA, puisque la plupart des lois des États ne s’appliqueraient plus.

Préemption des lois des États
Aucun État ou subdivision politique d’un État ne peut adopter, maintenir, appliquer, prescrire ou maintenir en vigueur une loi, un règlement, une règle, une norme, une exigence ou une autre disposition ayant force de loi d’un État ou d’une subdivision politique d’un État visé par les dispositions de la présente loi, ou une règle, un règlement ou une exigence promulgués en vertu de la présente loi.

The U.S. Federal Trade Commission serait principalement responsable de l’application du projet de loi. Selon le projet, la FTC est tenue de créer un nouveau bureau appelé « Bureau de la protection de la vie privée », qui serait chargé de superviser et d’appliquer le projet de loi.

À qui s’applique la LPADA?

La loi américaine sur la protection des Données personnelles s’appliquerait aux entités visées.

Le projet de texte définit une entité visée comme " toute entité ou personne autre qu ' une personne agissant dans un contexte non commercial, qui détermine seule ou conjointement avec d ' autres les finalités et les moyens de la collecte, du traitement ou du transfert des Données visées " . Cette définition large couvre la grande majorité des entreprises.

La définition ne comprend pas les entités fédérales, étatiques, tribales, territoriales ou locales, ni toute personne ou entité collectant et traitant des Données pour leur compte.

👉 Lire la définition officielle ici

Quelles Données personnelles ConS dans le cadre de la LPDPA?

L’ADPPA définit les « Données couvertes » comme des informations qui – seules ou combinées à d’autres informations – peuvent permettre l’identification d’un individu ou de son appareil, ou qui sont liées ou raisonnablement liées à ceux-ci. Cette définition inclut également les Identifiants uniques, comme les adresses IP.

En revanche, la définition des « Données couvertes » ne comprend pas :

  • Données anonymisées;
  • Données salariés;
  • les informations accessibles au public; ou
  • inférences faites à partir de multiples sources indépendantes d’information accessible au public qui ne révèlent pas de Données sensibles visées concernant une personne.

La loi américaine sur la protection des Données personnelles comprend également une section spécifique dédiée aux « Données sensibles couvertes » : numéros de sécurité sociale et de passeport ; informations de santé ; numéros de compte financier, de carte de débit et de carte de crédit ; informations biométriques et génétiques ; communications privées ; identifiants de connexion à tout compte ou appareil, pour ne citer qu’eux.

👉 Vous pouvez accéder à la liste complète ici

Les grands principes de l’American Données Privacy and Protection Act

Au titre I – Devoir de loyauté, l’ADPPA définit ses grands principes :

  • Réduction des Données: une entreprise devrait limiter sa collecte, son traitement et son transfert de Données couvertes uniquement à ce qui est raisonnablement Nécessaires et proportionnés pour atteindre une finalité autorisée ou fournir un Produit ou Service spécifique demandé par la personne à laquelle les Données appartiennent.
  • Devoirs de loyauté: comprennent principalement les activités que l’ADPPA interdit, à savoir: le traitement de données sensibles, chaque fois que cela n’est pas Nécessaire pour fournir à la personne un Service qu’elle a demandé, ou le transfert de Données personnelles à un tiers sans le ConS de la personne.
  • Vie privée: les entités qui collectent et traitent des Données personnelles devraient mettre en œuvre des mesures de protection et des pratiques de sécurité, afin de garantir que leur activité est menée en toute sécurité et conformément aux lois applicables.
  • Loyauté envers les particuliers en matière de Tarifs : les entités couvertes sont tenues de s ' abstenir de représailles à l ' encontre d ' un particulier pour avoir exercé l ' un quelconque des droits garantis par la LPDPA, notamment en refusant des biens ou Services, en appliquant des prix ou des tarifs différents ou en fournissant un niveau de qualité différent.

Droits des données des consommateurs selon l’ADPPA

Les droits des Consommateurs prévus au titre II de l’ADPPA comprennent:

  • ConSensibilisation : dans les 90 jours suivant la promulgation de la Loi, la FTC serait tenue de publier sur son site Web une description de chaque disposition, droit, obligation et exigence de la Loi.
  • Transparence: chaque entité couverte met à la disposition du public, de manière claire, visible, facile à lire et facilement accessible, une Politique de confidentialité qui fournit une représentation détaillée et exacte de ses activités de collecte, de traitement et de transfert de Données.
  • Données individuelles Propriétaire et contrôle: les individus ont le droit d’accéder à leurs Données, de les corriger, de les supprimer et de les transférer.
  • Droit de ConS et d’opposition : les entités doivent fournir aux individus un moyen, entre autres, de donner et de retirer leur ConS concernant le traitement ou le transfert de leurs Données couvertes et de refuser les publicités ciblées.
  • Protection des Données pour les enfants et les mineurs: les organisations sont personnes concernées par des exigences supplémentaires lorsque des personnes de moins de 17 ans sont concernées. Par exemple, la publicité ciblée est expressément interdite, ainsi que le transfert de Données à des tiers, en l’absence du ConS explicite du mineur couvert ou du parent ou tuteur du mineur couvert.
  • Entités tierces collectrices: les entités tierces collectrices doivent afficher un avis clair et bien en vue sur leur site Web et/ou leur application, informant les personnes qu’elles sont des entités tierces collectrices, en utilisant le langage spécifié par les règlements de la FTC.
  • Sécurité des Données et Protection des Données Couvertes: les organisations doivent mettre en œuvre et maintenir des pratiques et procédures de sécurité des Données qui protègent et sécurisent les Données contre les accès et acquisitions non autorisés.

Le projet de loi n ' ayant pas achevé la procédure législative et n ' ayant pas été adopté, il n ' y a pas encore d ' exigences juridiques effectives. Toutefois, si l ' ADPPA prenait effet dans son texte actuel, les entités visées seraient personnes concernées par les obligations suivantes :

  • Une Politique de confidentialité: les politiques de confidentialité sont expressément mentionnées dans le texte et devraient au moins inclure:
    • les coordonnées de l’entité couverte ;
    • les coordonnées des tiers destinataires des Données ;
    • quels types de Données sont collectées et traitées et pourquoi;
    • quels sont les droits des personnes par rapport à leurs Données et comment elles peuvent les exercer;
    • combien de temps l’organisation prévoit de stocker les Données.
  • Mécanisme permettant de recueillir le consentement pour le traitement de données sensibles couvertes et pour les personnes physiques de les retirer.
  • Mécanisme de refus de Publicité ciblée.
  • Si vous êtes une entité collectrice tierce, un avis clair sur votre site Web et/ou votre application informe les individus de votre activité.
Que dois-je faire ?

Pour l’instant, il n’y a rien à faire concernant l’ADPPA : le texte est encore une ébauche et la discussion pourrait prendre des mois. Cependant, notre équipe chez iubenda suivra toujours la situation et vous avertira de tout changement et mise à jour.

👉 Assurez-vous simplement de vous inscrire ici, et ne manquez pas les dernières nouvelles!

Une chose que vous pourriez faire, cependant, est de vérifier si l’une des nouvelles lois d’États américains sur la protection de la vie privée s’applique à vous! Si tel est le cas, vous devrez vous conformer à leurs exigences.

Ne vous inquiétez pas, c’est plus facile que vous ne le pensez !

Répondez à ce quiz d’une minute et découvrez

About us

iubenda

Attorney-level solutions to make your websites and apps compliant with the law across multiple countries and legislations.

www.iubenda.com

Des questions ?

Participer à l'un de nos webinars gratuits Nous écrire par e-mail Chat en direct