Si le RGPD introduit pour la première fois au niveau européen une obligation de notification des failles sécuritaires affectant les données personnelles des résidents européens, les Etats-Unis ont depuis longtemps légiféré dans ce domaine. Nous dressons dans cet article un panorama d’ensemble de la situation aux US.A l’heure où le Règlement Général sur la Protection des Données (RGPD), entré en vigueur le 25 mai, introduit pour la première fois une obligation de notification des failles sécuritaires au niveau européen, il est utile de rappeler que si les États-Unis n’ont pas, à l’inverse de l’Union Européenne, de réglementation nationale – sauf dans des secteurs particuliers – en matière de protection des données personnelles, en revanche tous les États américains, certains depuis déjà de nombreuses années, ainsi que le District de Columbia, ont une réglementation en matière de failles sécuritaires.
Ces réglementations étatiques dans un domaine, la protection des données à caractère personnel, qui constitue souvent un enjeu électoral très important pour les candidats au poste très puissant de Procureur Général (Attorney General) étatique, imposent des obligations souvent très différentes aux sociétés victimes d’une faille sécuritaire, ce qui rend particulièrement difficiles les efforts de conformité des acteurs économiques ayant une activité sur l’ensemble sur territoire américain.
Certaines affaires récentes en matière de failles sécuritaires, parmi lesquelles Equifax (148 millions d’utilisateurs affectés), Yahoo (3 milliards), Adult Friend Finder (412 millions de comptes affectés), eBay (145 millions), ou encore Target (110 millions) ont choqué l’opinion américaine et sensibilisé le public sur l’importance de protéger ses données personnelles. De nombreux États ont intensifié leurs efforts afin de sensibiliser leurs résidents, et modifié leur législation en conséquence. Si vous opérez déjà, ou avez pour ambition d’opérer, dans plusieurs États des Etats-Unis, vous devez être attentif aux exigences des diverses juridictions étatiques dans ce domaine, et aux tendances croissantes des récentes modifications législatives.
Un certain nombre d’exigences sont communes à tous les États, d’autres varient d’État à État.
Les exigences communes aux lois étatiques en matière de failles sécuritaires
- L’obligation de notification des résidents de l’État affectés dans un délai raisonnable ;
- L’obligation de notification de certains organismes, et notamment du procureur général de l’État et / ou de l’agence de protection des consommateurs dans certaines circonstances ;
- Des exceptions à l’obligation de notification lorsque la faille a été commise de bonne foi par un employé, que les données ont fait l’objet d’un chiffrement, et qu’il y a un faible risque de dommage ;
- Des exigences spécifiques s’agissant du contenu de la notification ; et
- Des sanctions civiles imposées par le procureur général de l’État.
La majorité des lois définissent un seuil minimal de risque de préjudice avant que les obligations de notification soient déclenchées. Le langage législatif spécifique peut varier : le risque doit être “substantiel” ou « matériel”, selon les cas. Certaines lois exigent des entreprises de consulter les forces de l’ordre ou d’aviser le procureur général afin de déterminer si la notification est vraiment nécessaire en cas de risque de préjudice limité.
Des variantes entre les lois étatiques
Malgré ces points communs, d’importantes variations existent entre les dispositions des différents États.
- Notification aux entités gouvernementales et aux agences de protection des consommateurs
Par exemple, dans certains États, la notification aux organismes d’État n’est requise que lorsqu’un certain nombre de résidents de l’État sont concernés par la faille :
- Californie : la notification au procureur général est requise quand plus de 500 résidents californiens sont concernés.
- Caroline du Sud : la notification au Département de la consommation est requise quand plus de 1000 résidents de la Caroline du Sud sont concernés.
- Floride : la notification au Département de la justice est requise quand plus de 500 personnes en Floride sont concernés.
- New York : Si plus de 5 000 résidents sont concernés, l’entreprise doit également aviser les agences de protection des consommateurs du moment, du contenu et de l’envoi des notifications, ainsi que du nombre approximatif de personnes affectées.
Dans d’autres États, tels que celui du Massachusetts, la notification aux organismes d’État est requise, quel que soit le nombre de résidents concernés par la faille.
- Délai pour notifier les personnes concernées
Bien que tous les États exigent une notification «dans un délai raisonnable», certains États prévoient un délai précis à compter de la découverte de la faille :
- Floride : dans les 30 jours à compter de la violation avec une extension de 15 jours sous certaines conditions.
- Ohio et Wisconsin : dans les 45 jours à compter de la violation.
- Maine : Si l’entreprise tarde à notifier les personnes concernées du fait qu’une enquête de police concernant cette faille a été ouverte, elle doit en aviser la personne dans les sept jours qui suivent la détermination par la police que la notification ne compromettra pas l’enquête.
Les exceptions
De nombreux États prévoient certaines exceptions aux obligations de notification.
Certaines exceptions sont raisonnables. Par exemple, un État peut ne pas exiger de notification si les données piratées étaient chiffrées et ne risquent pas d’être déchiffrées.
D’autres exceptions sont moins raisonnables. Certains États permettent ainsi aux entreprises d’ignorer l’obligation de notification si elles déterminent que le risque de préjudice financier est faible…. Il va sans dire qu’une entreprise qui usera de cette discrétion devra pouvoir documenter de façon robuste les critères ayant servi de base à cette décision, et si possible s’appuyer sur une opinion d’un avocat en cas de plainte ultérieure d’une personne concernée ou, sous pression des consommateurs, du procureur général de l’État ou de l’agence étatique de protection des consommateurs.
Certaines lois prévoient également des exceptions pour :
- Les entreprises couvertes par le « Health Insurance Portability and Accountability Act » (HIPAA), la loi fédérale en matière de données de santé ;
- Les institutions financières sujettes au « Gramm-Leach-Bliley Act » (GLBA), la loi fédérale en matière de protection des données à caractère personnelles traitées par les organismes bancaires et financiers.
De lourdes conséquences
Les conséquences d’une faille sécuritaire pour les sociétés qui opèrent aux États-Unis peuvent être très importantes en termes de coût et de réputation, que ce soit le coût réel de l’enquête interne, de la réponse à la faille, y compris les coûts de notification, les pertes de revenu pour l’entreprise et l’exposition aux amendes du gouvernement, sans compter les poursuites privées, voire les actions de groupe (class actions) exercées par les agences de protection des consommateurs…
Une bonne illustration est ce qui s’est passé avec Uber. En octobre 2016, une faille sécuritaire chez Uber a compromis les données personnelles d’au moins 57 millions d’utilisateurs. Pendant plus d’un an, Uber a caché cette faille massive, et a même utilisé son programme interne d’identification des vulnérabilités sécuritaires pour payer la rançon des assaillants. En conséquence, en mai de cette année, le procureur général de Pennsylvanie a déposé une plainte contre la société. Même si les conséquences financières pour la société découlant de l’application de la loi stricto sensu peuvent être limitées, les effets sur les personnes concernées par la faille peuvent être dramatiques, décourageront probablement d’autres personnes d’utiliser Uber, et pourront avoir l’effet d’adresser un message fort à d’autres entreprises s’agissant des pertes financières, pertes de réputation, et pertes confiance des utilisateurs.
La plupart des juridictions permettent des actions par le procureur général de l’État, ou par l’agence de protection des consommateurs, qui peut généralement faire une demande de dommages et intérêts ou en référé (injunction). Une minorité d’États, parmi lesquels la Californie, le Texas et le New Jersey, prévoient un droit d’action qui autorise les individus concernés par une faille sécuritaire à faire une demande de dommages et intérêts pour les dommages résultant de la défaillance de l’entreprise à notifier la faille.
En conséquences, les entreprises qui opèrent sur le territoire américain sont avisées de se préparer aux possibles failles sécuritaires et de développer un plan de réponse conforme aux obligations légales.
Comment se préparer ?
Les entreprises doivent prendre en compte les éléments suivants pour répondre de façon effective aux exigences légales en établissant de bonnes politiques et pratiques internes :
- Développer une politique interne écrite en matière de sécurité informatique ;
- Former les employés de la société sur la politique interne de sécurité des données ;
- Effectuer des évaluations régulières de la sécurité des données ;
- Exécuter des exercices de sécurité au sein de l’entreprise; et
- Préparer des modèles de lettres de notification des failles sécuritaires adaptées aux exigences légales de chacun des États dans lesquels elles opèrent.
Pour toutes informations complémentaires, n’hésitez pas à nous contacter.
—
Cet article a été écrit en collaboration avec Sarah Lasson