Les Matinales IP&T
Les données personnelles
Le paysage changeant de la protection des
données personnelles aux Etats-Unis et en Inde
Jim Halpert, Avocat associé
I - Le paysage changeant de la protection des
données personnelles aux
Etats-Unis
Aperçu de la protection des données personnelles aux Etats-Unis
Système de protections en fonction des secteurs
Services financiers, santé, évaluation du crédit, agences gouvernementales, télécoms, câble, communications électroniques
Télémarketing, marketing par fax, par email
Obligation de notification des failles de sécurité
L’ensemble des 50 Etats ont des lois en matière de protection et/ou de sécurité des données personnelles, la plupart d’entre elles sont spécifiques à des secteurs définis
Données personnelles en ligne – largement autorégulé
Autorite de la FTC en matière de «pratiques
Développement de la réglementation US
Projet de Rapport de la Federal Trade Commission concluant que le cadre de l’autorégulation devrait être renforcé aux US
Construction de “privacy by design” (prise en compte du respect des données dès la conception), conformité dans les processus des
entreprises
Définition large de données personnelles pour y inclure les adresses IP et les numéros d’identification du matériel
Chartes de confidentialité plus transparentes, plus courtes
Des choix d’“opt out” plus faciles
Droit d’accès et correction
Niveau de sécurité raisonnable (déjà requis)
Collection et conservation de données limitées à ce qui est nécessaire
Exactitude des données (seulement pour les revendeurs de données?)
“Do Not Track” dans certains contextes - retrait
Développement de la réglementation US
Actions de la FTC en matière de pratiques commerciales trompeuses
Défaut de divulgation claire du suivi en ligne
Mécanismes d’opt-out pour les consommateurs
Défaut de conformité avec les principes de Safe Harbor US-UE
Partage non volontaire des coordonnées d’utilisateurs à travers les services de réseaux sociaux (Facebook et Google Buzz)
Manquements dans la sécurisation des données personnelles
Développement de la réglementation US
Sécurité des données
Terrain majeur de controverses suite aux failles Sony et Epsilon
46 Etats requièrent la notification des failles; les services financiers et les secteurs de la santé exigent la notification par des lois
fédérales (nationales)
Pour les failles concernant les noms + les numéros d’identification gouvernementaux ou les numéros de comptes bancaires ou de cartes de paiement
Une loi nationale unique est probable, mais requérant la
notification de failles pour plus de données (ex: adresses email) &
avec des limites définitives de délais de notification
Possible préemption des particularités des lois de securite de donnees personnelles du Massachusetts et du Nevada
Développement de la réglementation US
Grand intérêt pour la législation en matière de données personnelles, nombreux projets de loi déposés
En général, en ligne, localisation, “do not track”, données personnelles des adolescents, réglementation sur les revendeurs de données
Législation probable dans les 3-5 prochaines années
Devrait intégrer des concepts des rapports de la FTC / de la révision de la directive EU
Chartes de confidentialité transparentes
Accès et correction
“Privacy by design”
Transférabilité des données
Mais opt-in seulement pour les données sensibles
Pas de formalités ou de contrats types pour les transferts de données
Développements des actions de groupe aux US
Augmentation croissante des class actions en matière de protection des données personnelles
Fair Credit Reporting Act
Junk Fax Act (spam par fax)
Divulgation négligente de données de santé
Failles de sécurité
Suivi personnel en ligne ou par mobile
Divulgations de donnees involontaires (Facebook BEACON)
Flash cookies
Cable Privacy Act
Codes postaux ajoutés aux relevés de cartes de crédit (Californie)
Développements des actions de groupe aux US
Les actions de groupe représentent un risque important en cas de violation des lois sur la protection des données aux US
Un nombre significatif de violations peut être attaqué à travers une action de groupe, souvent pour obtenir des dommages fixes multiplier par le nombre d’individus
Ces demandes peuvent représenter un coût important pour se défendre
Les actions de groupe attirent l’attention de la presse de façon négative
Mais des décisions récentes de la Cour Suprême ont donné aux défendeurs plus de moyens de faire échec aux actions de groupe
Recours à une clause d’arbitrage obligatoire
Empêcher l’action de groupe en soulevant des différences parmi les membres du groupe
Les défendeurs doivent planifier leur stratégie en amont
II - La nouvelle
règlementation indienne
en matière de vie privée
La nouvelle règlementation indienne
Développement inattendu venant s'ajouter à la règlementation en matière de "sécurité raisonnable des données" issue des
modifications de la Loi IT
Se différencie tant des approches américaines qu'européennes
Similarités avec les approches adoptées au Mexique et au Canada
Les sociétés ayant une activité en Inde seront confrontées à une importante augmentation du volume des réglementations, sans pouvoir transposer les solutions européennes ou américaines
Adoptée afin de renforcer la confiance dans le secteur indien de l'externalisation BPO
D'importantes ambigüités quant au texte de cette règlementation
Paradoxalement, certains avocats voient dans ces ambigüités des obstacles à l'outsourcing - probablement sans fondement
La nouvelle règlementation indienne
Applicable aux entités commerciales soumises au droit indien
Ne se limite pas aux données des nationaux indiens
Exigences en matière de confidentialité et de sécurité des données
Applicable, en outre, à toutes les obligations contractées par des entreprises indiennes
Les entités étrangères externalisant en Inde devront assimiler ces exigences, en particulier lors de la négociation des clauses relatives à la sécurité des données
Probable évolution de l'approche qu'ont les entreprises
indiennes d'externalisation en matière de clauses sur la
sécurité des données
Quelles conséquences de la règlementation indienne ?
Conséquences pratiques - en cas d'opérations
commerciales effectuées en Inde, les règles en matière de protection des données et de sécurité devront être respectées :
Nommer une équipe dite de "compliance" compétente
Auditer les politiques actuelles de sécurité des données
Préparer des stratégies de transferts de données conformes
Préparer des notifications en matière de confidentialité des données conformes
Prévoir et mettre en place un système d'opposition par opt-out ainsi que des procédures de retraits de consentement
Prévoir de recueillir le consentement écrit, télécopié ou envoyé par voie électronique, nécessaire à la collecte, à l'utilisation ou à la
Quelles conséquences de la règlementation indienne ?
Conséquences pratiques sur les opérations menées en Inde
Prévoir de minimiser les données sensibles et d'interdire leurs utilisations secondaires
Désigner un Responsable des Réclamations
Mettre en place les procédures d'accès et de rectification prévues par la règlementation
Besoin de conseils indiens et étrangers expérimentés et
compétents pour mieux appréhender la règlementation et son articulation avec les nombreuses obligations de confidentialité et de sécurité des données applicables à votre organisation