À l’intérieur du dernier effort du New Jersey sur le front de la confidentialité – Gratuit : Audit complet de votre site internet

Avant de commencer !

La cyber-sécurité
Share on facebook
Share on twitter
Share on pinterest

La cyber-sécurité Crédit: Khakimullin Aleksandr / Shutterstock.com

Cet article est paru dans Loi et stratégie de cybersécurité, une publication ALM pour les professionnels de la protection de la vie privée et de la sécurité, les chefs de la sécurité de l’information, les chefs de l’information, les chefs de la technologie, les conseillers juridiques d’entreprise, les praticiens d’Internet et de la technologie, les conseillers juridiques internes. Visite le site web pour en savoir plus.

Les législateurs du New Jersey se joignent à une lignée croissante d’États pour proposer un projet de loi visant à renforcer la protection de la confidentialité des données, sur les traces des lois sur la confidentialité adoptées en Europe et en Californie.

Le projet de loi du New Jersey (AB 3255) obligerait les entreprises à obtenir l’autorisation des consommateurs du New Jersey avant de pouvoir collecter et vendre / partager des données personnelles à des tiers. La législation aurait des implications pour la plupart des entreprises faisant affaire dans le New Jersey et qui collectent des données sur les consommateurs des résidents du New Jersey.

Le projet de loi a été présenté par le Député John Burzichelli à l’Assemblée générale le 25 février 2020 et renvoyé à la Commission des sciences, de l’innovation et de la technologie de l’Assemblée, qui est présidée par le Député Andrew Zwicker. À l’heure de la presse, aucune audience du comité n’a encore eu lieu pour examiner ce projet de loi.

Comme indiqué, plusieurs États, dont la Floride (H. 963), Illinois (SB 2330), Massachusetts (S. 120), New York (S. 224), Texas (HB 4390), Virginie (HB 473) et Washington (SB 6281), ont introduit une législation qui créerait des lois complètes sur la confidentialité des données. Celles-ci suivent la loi californienne, la California Consumer Privacy Act (CCPA), entrée en vigueur en janvier 2020, et la loi de l’Union européenne, la Règlement général sur la protection des données (RGPD), est entré en vigueur en mai 2018.

En vertu du projet de loi du New Jersey, certaines entreprises qui font des affaires dans le New Jersey et qui collectent des données personnelles des résidents du New Jersey seraient tenues de fournir des informations en langage clair aux consommateurs sur la façon dont ils utiliseront les données. En général, les consommateurs pourraient demander aux entreprises de leur fournir leurs propres données personnelles qu’elles vendent à des tiers. Et les consommateurs pourraient demander aux entreprises qui collectent ces données de supprimer leurs informations personnelles.

Similitudes de la Loi sur la justice pénale avec l’ACCP

La législation du New Jersey est à bien des égards une copie conforme de la CCPA. En particulier, leurs similitudes sont les suivantes.

Premièrement, les deux ont des définitions complètes des données personnelles à protéger – c’est-à-dire, «toute information qui identifie personnellement, se rapporte à, décrit, est capable d’être associée à, ou pourrait raisonnablement être liée, directement ou indirectement, à un consommateur ou ménage », y compris: i) des identifiants tels qu’un vrai nom, un pseudonyme, une adresse postale, un identifiant personnel unique, un identifiant en ligne, une adresse de protocole Internet, une adresse de messagerie électronique, un nom de compte, un numéro de sécurité sociale, un numéro de permis de conduire, un numéro de passeport ou autre identifiants similaires; ii) les caractéristiques des classifications protégées en vertu de la législation nationale ou fédérale; iii) des informations commerciales, y compris des enregistrements de biens personnels, de produits ou de services achetés, obtenus ou considérés, ou d’autres historiques ou tendances d’achat ou de consommation; iv) informations biométriques; v) Internet ou d’autres informations sur les activités du réseau électronique, y compris, mais sans s’y limiter, l’historique de navigation, l’historique des recherches et les informations concernant l’interaction d’un consommateur avec un site Web, une application ou une publicité Internet; vi) données de géolocalisation; vii) des informations audio, électroniques, visuelles, thermiques, olfactives ou similaires; viii) informations professionnelles ou liées à l’emploi; et ix) les dossiers scolaires.

De plus, les entreprises devraient non seulement faire des affaires dans le New Jersey, mais elles devraient également: i) avoir des revenus bruts annuels d’au moins 25 millions de dollars; ii) tirer 50% ou plus de ses revenus annuels de la vente des données personnelles des consommateurs; ou iii) acheter et / ou vendre annuellement les données personnelles d’au moins 50 000 consommateurs.

Deuxièmement, les consommateurs auraient en grande partie les mêmes droits qu’en vertu de la CCPA: i) demander à l’entreprise de divulguer au consommateur avant la collecte les catégories de données personnelles qui seraient collectées et les finalités pour lesquelles ces données seraient utilisées; ii) après la collecte, demander à l’entreprise de divulguer quelles catégories et éléments spécifiques de données ont été collectés auprès de ce consommateur; iii) après la collecte, pour demander que l’entreprise supprime toutes les données personnelles qu’elle a collectées auprès de ce consommateur; iv) après la collecte, pour demander à l’entreprise de divulguer les catégories de données collectées, les catégories de sources à partir desquelles les données ont été collectées, les finalités pour lesquelles ces données ont été collectées, les catégories de tiers avec lesquels l’entreprise partage des données personnelles , et les données spécifiques qu’il a collectées sur ce consommateur.

Troisièmement, les entreprises devraient divulguer aux consommateurs demandeurs (sous réserve de la vérification par l’entreprise de l’authenticité de la demande) les informations recherchées (comme indiqué dans le paragraphe ci-dessus).

Quatrièmement, il serait interdit aux entreprises de discriminer tout consommateur en réponse à l’exercice par un consommateur de ses droits découlant de la législation (par exemple en refusant des biens ou des services, en facturant des prix différents pour des biens ou des services ou en fournissant des biens ou des services de qualité différente) . Cependant, les entreprises seraient en mesure d’offrir des incitations financières pour la collecte de données personnelles (et donc de fournir des niveaux de qualité différents ou des prix différents tant que les différences sont directement liées à la valeur apportée à l’entreprise par les données personnelles en question).

Cinquièmement, les entreprises qui collectent des données personnelles devraient fournir aux consommateurs des moyens désignés par lesquels les consommateurs pourraient contacter l’entreprise pour exercer leurs droits – par exemple par adresse électronique, site Web en ligne et numéros de téléphone sans frais, selon la façon dont les données ont été collectées. .

Sixièmement, les entreprises qui collectent des données personnelles devraient fournir des politiques de confidentialité accessibles aux consommateurs et qui fournissent les lignes générales d’informations susmentionnées – les types d’informations collectées, les finalités pour lesquelles les données seraient collectées, la demande du consommateur et d’autres droits.

Septièmement, les entreprises qui collectent des données personnelles pourraient créer une page Web distincte de sa page d’accueil générale, qui serait destinée spécifiquement aux résidents du New Jersey.

Différences par rapport à l’ACCP

Cependant, malgré les similitudes ci-dessus, il existe quelques différences notables et significatives entre l’AB 3255 et l’ACCP.

Premièrement, le projet de loi du New Jersey utilise un régime d’adhésion pour la collecte et la vente de renseignements personnels, ainsi que pour la vente de renseignements personnels. En revanche, l’ACCP utilise une approche de désinscription représentée par l’emblématique bouton / lien «Ne pas vendre» à utiliser sur le site Web d’une entreprise de collecte. Par conséquent, sans opt-in, une entreprise ne serait pas en mesure de collecter ou de vendre les informations personnelles d’un consommateur.

Deuxièmement, conformément aux deux conditions d’adhésion susmentionnées, une entreprise devrait inclure deux liens sur sa page d’accueil – «J’autorise cette entreprise à collecter mes informations personnellement identifiables» et «J’autorise cette entreprise à vendre mes informations personnellement identifiables. « 

Troisièmement, le projet de loi du New Jersey n’a aucun mandat pour l’application de protocoles de sécurité des données ou de normes de protection applicables aux données personnelles collectées.

Quatrièmement, contrairement à la CCPA, la législation du New Jersey adopte une exclusion permanente en ce qui concerne les registres / données d’emploi. Ainsi, les divers droits / obligations créés pour la protection des données personnelles ne s’appliqueraient pas à ces données lorsqu’elles sont utilisées pour le traitement par une entreprise des données des employés à des fins d’emploi. L’exclusion comparable de la Californie ne faisait pas partie de la CCPA d’origine, mais a plutôt été mise en œuvre par amendement fin 2019 (juste avant sa date d’entrée en vigueur) et devrait expirer le 31 décembre 2020, à moins qu’elle ne devienne permanente par une législation supplémentaire.

Cinquièmement, le projet de loi du New Jersey ne dispose d’aucun droit d’action privé résultant de violations de la sécurité des données des données personnelles des consommateurs.

Sixièmement, le projet de loi du New Jersey ne dispose pas d’un droit d’action privé direct pour les particuliers, mais plutôt d’un droit d’action privé indirect uniquement via la loi sur la fraude des consommateurs du New Jersey. Plus précisément, une violation de l’AB 3255 constituerait une violation du New Jersey Consumer Fraud Act, N.J. Stat. §56: 8-1 et seq. (¶14), qui comprend un droit d’action privé. Cependant, il est difficile de savoir comment les grands risques d’application de la loi sur la fraude à la consommation s’appliqueraient aux entreprises en violation de l’AB3255.

Le résumé qui se trouve actuellement à la fin de AB 3255 – une partie non opérationnelle du projet de loi – prévoit qu’une première infraction « est passible d’une peine pécuniaire ne dépassant pas 10 000 $ » et une deuxième infraction, « pas plus de 20 000 $.  » Cela est parallèle à N.J. Stat. §56: 8-13 (Pénalités), mais ce paragraphe fait également référence aux articles 8-14 et 8-15, qui introduisent des nuances aux sanctions auxquelles une entreprise peut être confrontée en vertu de la Consumer Fraud Act. Il est également difficile de savoir si les sanctions pourraient être appliquées au cas par cas, ou si une violation de la procédure de l’AB 3255 compterait comme une violation unique (quel que soit le nombre de consommateurs susceptibles d’avoir été affectés). Par conséquent, étant donné le potentiel de droits d’action privés, le projet de loi du New Jersey crée également le potentiel de recours collectifs.

Septièmement, contrairement à la CCPA – qui a reporté sa date d’entrée en vigueur de plus d’un an après son adoption pour donner aux entreprises le temps d’effectuer des modifications de systèmes pour se conformer à ses exigences, le projet de loi du New Jersey adopte une date d’entrée en vigueur immédiatement après son adoption. Ainsi, les entreprises ne disposent pas de temps réel pour mettre en œuvre des mesures de conformité après l’adoption du projet de loi.

Questions fédérales et d’État

Les diverses propositions législatives en matière de confidentialité aux États-Unis reflètent l’absence de consensus sur la meilleure approche des lois sur la confidentialité numérique. Comme pour les diverses lois de notification des violations promulguées par chacun des 50 États, ces efforts individuels des États pourraient conduire à une mosaïque similaire de lois dans lesquelles les entreprises seront obligées de créer des systèmes de conformité spécifiques à l’État qui pourraient être incompatibles au mieux, et extrêmement difficile à contrôler ou à mettre en œuvre, au pire.

En conséquence, pour les entreprises opérant dans plusieurs États, la conformité pourrait devenir extrêmement difficile – en particulier si deux États mettent en œuvre des mandats contradictoires.

Le CCPA montre également comment les efforts pour renforcer les lois sur la protection de la vie privée au niveau de l’État peuvent être moins ordonnés. En Californie, le bureau du procureur général de l’État est toujours en train de préparer le règlement final pour son application – des mois après l’entrée en vigueur de la CCPA et les entreprises devaient s’y conformer. De plus, plusieurs projets de loi ont été déposés devant le législateur de l’État afin de modifier la loi actuelle et une mesure de vote est en cours de vote en novembre, ce qui pourrait encore plus changer la loi.

Cependant, compte tenu des divisions actuellement en place sur Capitol Hill, une législation fédérale complète sur la confidentialité ne semble pas très probable – du moins dans un avenir proche – laissant une version patchwork des lois des États une possibilité plus probable pour l’instant.

Prochaines étapes du New Jersey

L’effort actuel du New Jersey semble être la tentative la plus complète de législation en matière de protection de la vie privée (du moins par rapport à la CCPA), mais il n’a pas encore été soumis à l’examen minutieux du processus législatif. Cette difficulté est aggravée par l’urgence COVID-19 en cours, qui retardera encore le processus – probablement pendant au moins un an en 2021 – à la suite de laquelle seront rédigés et mis en œuvre des règlements d’application par le procureur général du New Jersey.

Selon toute vraisemblance, l’effort actuel du New Jersey tel que reflété par l’AB 3255 – s’il est effectivement adopté – ne deviendra pleinement exécutoire qu’à la fin de 2021 ou 2022 au plus tôt.

Kenneth K. Dort est partenaire de Faegre Drinker Biddle & Reath LLP dans son bureau de Chicago, spécialisé dans les technologies de l’information, la confidentialité et le droit de la cybersécurité. Mitchell S. Noordyke est un associé de Faegre Drinker Biddle & Reath LLP dans son bureau de Minneapolis, spécialisé en droit de la confidentialité et de la cybersécurité.

Inscris-toi à notre newsletter !

Partage cet article avec tes amis !

Share on facebook
Share on google
Share on twitter
Share on linkedin