Logo L'avocat Transatlantic

Le nouveau projet de loi new-yorkaise sur les données personnelles

  • Stephan Grynwajc

Il existe aux USA mais également dans le monde une multitude de législations relatives à la protection des données, puisque chaque État a passé une sinon plusieurs lois dans cette matière, d’application sectorielle ou générale, selon les cas, auxquelles s’ajoutent un certain nombre de législations et autres réglementations au niveau fédéral. Pour plus d’informations à ce sujet nous vous invitons à consulter notre article comparant les approches réglementaires dans le domaine de la protection des données à caractère personnel en Europe, aux États-Unis, et au Canada. Ces différentes législations s’appliquent parfois simultanément, dès lors qu’elles ont des champs d’application différents, mais sont souvent inconsistantes, si bien qu’une société qui collecte des données de personnes résidant dans plusieurs États devra s’assurer de se conformer à toutes les lois applicables dans le domaine dans chacun des États dans lesquels ces données sont collectées, mais aussi aux lois éventuellement applicables dans le secteur particulier dans lequel elle exerce ses activités.

A la suite de l’adoption du Règlement général sur la protection des données (RGPD) en 2016 et de son entrée en vigueur en 2018, plusieurs États ont soit adopté une loi étatique en matière de protection des données à caractère personnel, lorsque cette-ci n’existait pas, soit modifié leur loi dans le sens du RGPD. L’État de New York ne fait pas exception. Après plusieurs projets avortés, New York a fait une nouvelle proposition en 2021 sous la forme du New York Privacy Act, actuellement en cours d’examen devant le Sénat et l’Assemblée.

Au vu des grandes probabilités dont dispose le texte d’aboutir cette fois à une promulgation, il nous a paru nécessaire d’en proposer une analyse succincte au bénéfice des entreprises ayant des activités dans l’État de New York, et qui très vite devront se mettre en conformité avec cette nouvelle réglementation, une fois adoptée.

L’objectif poursuivi par le New York Privacy Act

Le New York Privacy Act n’est pas encore adopté qu’il est déjà considéré comme offrant un niveau de protection des données des consommateurs le plus complet, et le plus renforcé que n’ait jamais connu le territoire américain.

L’objectif de ce texte est de permettre aux résidants de New York de bénéficier d’un contrôle renforcé sur leurs données personnelles et une meilleure reconnaissance de leurs droits à la vie privée, en mettant à la charge des entreprises un certain nombre d’obligations relatives à la collecte et au traitement des données, en les obligeant notamment d’obtenir le consentement des consommateurs, avant de traiter ou collecter leurs données personnelles.

Les entreprises concernées par cette loi new-yorkaise sur la protection des données personnelles

Outre les consommateurs qui sont les bénéficiaires des dispositions, ce texte vise précisément les entreprises ou toute autre forme d’organisation qui répondent aux critères suivants :

  • Dégagent un revenu brut annuel d’à minima 25 millions de dollars ;
  • Contrôlent ou traitent les données personnelles d’au moins 100 000 consommateurs new-yorkais, sinon d’au moins 500 000 personnes dans tout le pays et 10 000 consommateurs new-yorkais ;
  • Plus de 50 % de leurs revenus bruts sont obtenus par la vente de données personnelles lorsqu’elles traitent ou collectent les données personnelles d’au moins 25 000 consommateurs new-yorkais.

Les obligations mises à la charge des entreprises

En pratique, les obligations des entreprises vont s’articuler autour de quatre paliers de droits garantis aux consommateurs : (i) le consentement, (ii) la notification, (iii) l’accès, le port et la correction des données, et enfin (iv) la suppression.

En matière de consentement, le New York Privacy Act impose aux entreprises d’obtenir un consentement non ambigu et éclairé du consommateur s’agissant de la collecte et du traitement de ses données personnelles.

Ainsi, cette demande de consentement devra clairement informer le consommateur de sa faculté de refuser la collecte et le traitement de ces données.

En matière de notification, les entreprises devront informer les consommateurs des éléments suivants :

  • Les droits des consommateurs sur leurs données, avec notamment la possibilité de retirer à tout moment son consentement
  • La catégorie ou les catégories de données personnelles traitées par la société ou toute entité tierce ;
  • Les sources desquelles les données personnelles sont collectées ;
  • Le but de la collecte et du traitement des données ;
  • L’identité de toutes les parties à qui la société souhaite divulguer, partager, transférer ou vendre les données personnelles ;
  • La durée de conservation de chaque catégorie de données personnelles collectées et traitées ;
  • Si les données personnelles seront utilisées pour de la publicité ciblée, et le revenu moyen par utilisateur (ARPU) attendu de cette publicité.

Concernant les exigences quant à la notification qui doit être envoyée à l’individu avant le traitement de ses données ou qui doit être rendue publique, la loi exige :

  • Qu’elle soit rédigée dans un vocabulaire accessible ;
  • Que les différentes catégories de données personnelles qui sont traitées, ainsi que l’objectif dudit traitement, soient décrites d’une manière permettant au consommateur d’avoir un réel contrôle sur ses données personnelles. La description de doit néanmoins pas être détaillée au point d’être illisible.
  • L’information retrouvée sur la notification doit être mise à jour au moins une fois par année. S’il n’y a aucun changement, le responsable de traitement doit publier un communiqué selon lequel l’information demeure la même.
  • La notification, ainsi que toute notification rédigée au courant des six (6) dernières années doit être facilement accessible aux consommateurs en tout temps.

Sur le droit d’accès, de port et de correction des données, à chaque demande de consommateur, les entreprises devront :

  • Confirmer qu’il y a traitement des données personnelles de leur part ;
  • Donner accès au consommateur à ses données personnelles, dans un format structuré et lisible par machine ;
  • Fournir l’identité de chaque sous-traitant (y compris les tiers) auxquels les données personnelles sont divulguées, transférées ou vendues ;
  • Transmettre quelles catégories de données personnelles sont partagée ainsi que la finalité du partage ;
  • Sur demande consommateur, transmettre les données à une autre personne désignée ;
  • Enquêter sur les inexactitudes relevées dans les données personnelles par un consommateur et les corriger si nécessaire, et ce dans un délai défini.

Enfin, pour le droit de suppression, le texte prévoit que tout consommateur dispose du droit de demander la suppression permanente de ses données personnelles. Le responsable de traitement devra donner suite à une telle demande dans les 45 jours suivants.

L’entreprise devra procéder à la suppression des données dès la réception de la demande du consommateur et communiquer cette demande à tous les tiers avec qui elle a partagé ces données dans l’année précédent la demande du consommateur, pour qu’ils les suppriment également.

Il est par ailleurs indiqué que l’entreprise devra mettre en place des procédures permettant de vérifier l’absence de réapparition de ces données dans ses systèmes.

Les exceptions au New York Privacy Act

Le texte liste certaines catégories de données qui ne seront pas concernées par le New York Privacy Act. Il s’agit :

  • Des données personnelles traitées par des organismes gouvernementaux pour des processus autres que la vente ;
  • Des données personnelles conservées pour les dossiers d’emploi, les informations d’identification des patients, les informations de santé protégées, les données collectées pour la recherche sur des sujets humains comme les essais cliniques, etc.
  • Les données personnelles collectées, traitées, vendues ou divulguées conformément à certaines lois fédérales comme : la loi Gramm-Leach-Bliley du 12 novembre 1999, le Driver’s Privacy Protection Act du 13 septembre 1994, le Family Educational Rights and Privacy Act du 21 août 1974, etc.

Les sanctions prévues en cas de manquement au New York Privacy Act

Actuellement, le texte prévoit des amendes en cas de violation du New York Privacy Act, allant jusqu’à 15 000 dollars pour chaque violation à l’encontre d’un consommateur, ce qui laisse envisager une multiplication de ce montant, en cas d’infractions répétées par une entreprise sur l’ensemble de ses clients.

En effet, avec ce texte, les consommateurs pourront poursuivre personnellement l’entreprise défaillante, par l’intermédiaire du procureur général de l’État.

Pour plus d’informations sur comment s’implanter aux USA, nous vous invitons à vous référer à notre mini-guide.

Articles similaires:

Articles récents

Recevoir nos futurs articles*

* En renseignant votre adresse email afin de vous abonner à notre lettre d’information, vous consentez expressément au traitement de cette donnée personnelle aux fins de gestion des abonnements et d’envoi de notre lettre d’information. Vous pouvez à tout moment retirer votre consentement et demander à vous désabonner en nous contactant via notre “formulaire de contact”. Pour d’avantage d’information sur les traitements de données personnelles mis en œuvre sur ce site, veuillez consulter notre politique de protection des données.

Copyright © Law Office of S. Grynwajc, PLLC
L’avocat transatlantique® est une marque enregistrée
Tous droits réservés.

Facebook Instagram Linkedin Skype
Open chat
Powered by Joinchat
Hello, how can we help ?