Il existe aux États-Unis, mais également dans le monde une multitude de législations relatives à la protection des données, puisque chaque État a passé une sinon plusieurs lois dans cette matière, d’application sectorielle ou générale, selon les cas, auxquelles s’ajoutent un certain nombre de législations et autres réglementations au niveau fédéral. Pour plus d’informations à ce sujet nous vous invitons à consulter notre article comparant les approches réglementaires dans le domaine de la protection des données à caractère personnel en Europe, aux États-Unis, et au Canada. Ces différentes législations s’appliquent parfois simultanément, dès lors qu’elles ont des champs d’application différents, mais sont souvent inconsistantes, si bien qu’une société qui collecte des données de personnes résidant dans plusieurs États devra s’assurer de se conformer à toutes les lois applicables dans le domaine dans chacun des États dans lesquels ces données sont collectées, mais aussi aux lois éventuellement applicables dans le secteur particulier dans lequel elle exerce ses activités.
À la suite de l’adoption du Règlement général sur la protection des données (RGPD) en 2016 et de son entrée en vigueur en 2018, plusieurs États ont soit adopté une loi étatique en matière de protection des données à caractère personnel, lorsque celle-ci n’existait pas, soit modifié leur loi dans le sens du RGPD. L’État de New York ne fait pas exception. Après plusieurs projets avortés, New York a fait une nouvelle proposition en 2021 sous la forme du New York Privacy Act, actuellement en cours d’examen par le Sénat de l’État.
Au vu des grandes probabilités dont dispose le texte d’aboutir cette fois à une promulgation, il nous a paru nécessaire d’en proposer une analyse succincte au bénéfice des entreprises ayant des activités dans l’État de New York, et qui très vite devront se mettre en conformité avec cette nouvelle réglementation, une fois adoptée.
L’objectif poursuivi par le New York Privacy Act
Le New York Privacy Act n’est pas encore adopté qu’il est déjà considéré comme offrant un niveau de protection des données des consommateurs le plus complet, et le plus renforcé que n’ait jamais connu le territoire américain.
L’objectif de ce texte est de permettre aux résidants de New York de bénéficier d’un contrôle renforcé sur leurs données personnelles et une meilleure reconnaissance de leurs droits à la vie privée, en mettant à la charge des entreprises un certain nombre d’obligations relatives à la collecte et au traitement des données, en les obligeant notamment d’obtenir le consentement des consommateurs, avant de traiter ou collecter leurs données personnelles.
Les entreprises concernées par cette loi new yorkaise sur la protection des données personnelles
Outre les consommateurs qui sont les bénéficiaires des dispositions, ce texte vise précisément les entreprises ou toute autre forme d’organisation qui répondent aux critères suivants :
- Dégagent un revenu brut annuel d’à minima 25 millions de dollars ;
- Contrôlent ou traitent les données personnelles d’au moins 100 000 consommateurs new-yorkais, sinon d’au moins 500 000 personnes dans tout le pays et 10 000 consommateurs new-yorkais ;
- Plus de 50 % de leurs revenus bruts sont obtenus par la vente de données personnelles lorsqu’elles traitent ou collectent les données personnelles d’au moins 25 000 consommateurs new-yorkais.
Les obligations mises à la charge des entreprises
En pratique, les obligations des entreprises vont s’articuler autour de quatre paliers de droits garantis aux consommateurs : (i) le consentement, (ii) la notification, (iii) l’accès, le port et la correction des données, et enfin (iv) la suppression.
En matière de consentement, le New York Privacy Act impose aux entreprises d’obtenir un consentement non ambigu et éclairé du consommateur s’agissant de la collecte et du traitement de ses données personnelles.
Ainsi, cette demande de consentement devra clairement informer le consommateur de sa faculté de refuser la collecte et le traitement de ces données.
En matière de notification, les entreprises devront informer les consommateurs des éléments suivants :
- La source et le but de la collecte, ainsi que du traitement des données ;
- La catégorie ou les catégories de données personnelles traitées par la société ou toute entité tierce ;
- La durée de conservation de chaque catégorie de données personnelles collectées et traitées ;
- Les droits des consommateurs sur leurs données, avec notamment la possibilité de retirer à tout moment son consentement ;
- L’identité de toutes les parties à qui la société souhaite divulguer, partager, transférer ou vendre les données personnelles ;
- Si les données personnelles seront utilisées pour de la publicité ciblée, et le revenu moyen par utilisateur (ARPU) attendu de cette publicité.
Sur le droit d’accès, de port et de correction des données, à chaque demande de consommateur, les entreprises devront :
- Confirmer qu’il y a traitement des données personnelles de leur part ;
- Donner accès au consommateur à ses données personnelles, dans un format structuré et lisible par machine ;
- Fournir l’identité de chaque sous-traitant (y compris les tiers) auxquels les données personnelles sont divulguées, transférées ou vendues ;
- Transmettre quelles catégories de données personnelles sont partagée ainsi que la finalité du partage ;
- Sur demande consommateur, transmettre les données à une autre personne désignée ;
- Enquêter sur les inexactitudes relevées dans les données personnelles par un consommateur et les corriger si nécessaire, et ce dans un délai défini.
Enfin, pour le droit de suppression, le texte prévoit que tout consommateur dispose du droit de demander la suppression permanente de ses données personnelles.
L’entreprise devra procéder à la suppression des données dès la réception de la demande du consommateur et communiquer cette demande à tous les tiers avec qui elle a partagé ces données, pour qu’ils les suppriment également.
Il est par ailleurs indiqué que l’entreprise devra mettre en place des procédures permettant de vérifier l’absence de réapparition de ces données dans ses systèmes.
Les exceptions au New York Privacy Act
Le texte liste certaines catégories de données qui ne seront pas concernées par le New York Privacy Act. Il s’agit :
- Des données personnelles traitées par des organismes gouvernementaux pour des processus autres que la vente ;
- Des données personnelles conservées pour les dossiers d’emploi, les informations d’identification des patients, les informations de santé protégées, les données collectées pour la recherche sur des sujets humains comme les essais cliniques, etc.
- Les données personnelles collectées, traitées, vendues ou divulguées conformément à certaines lois fédérales comme : la loi Gramm-Leach-Bliley du 12 novembre 1999, le Driver’s Privacy Protection Act du 13 septembre 1994, le Family Educational Rights and Privacy Act du 21 août 1974, etc.
-
Les sanctions prévues en cas de manquement au New York Privacy Act
Actuellement, le texte prévoit des amendes en cas de violation du New York Privacy Act, allant jusqu’à 15 000 dollars pour chaque violation à l’encontre d’un consommateur, ce qui laisse envisager une multiplication de ce montant, en cas d’infractions répétées par une entreprise sur l’ensemble de ses clients.
En effet, avec ce texte, les consommateurs pourront poursuivre personnellement l’entreprise défaillante, par l’intermédiaire du procureur général de l’État.
Cabinet d’avocat pratiquant aussi bien le droit anglophone de la common law en Grande-Bretagne, au Canada et aux États-Unis que le droit civil francophone au Québec et en France, le cabinet S. Grynwajc dispose en outre d’une expertise particulière en tant qu’avocat RGPD, dans le secteur de la protection des données à caractère personnel. En conséquence, si vous souhaitez vous assurer que votre organisation se conforme aux nouvelles obligations lui incombant, n’hésitez pas à nous contacter, nous serons ravis de vous accompagner.