Les Matinales IP&T Les données personnelles Le paysage changeant de la protection des données personnelles aux Etats-Unis et en Inde Jim Halpert, Avocat associé jim.halpert@dlapiper.com jeudi DLA Piper, 15-17 rue Scribe, 75009 Paris
I - Le paysage changeant de la protection des données personnelles aux Etats-Unis
Aperçu de la protection des données personnelles aux Etats-Unis Système de protections en fonction des secteurs Services financiers, santé, évaluation du crédit, agences gouvernementales, télécoms, câble, communications électroniques Télémarketing, marketing par fax, par email Obligation de notification des failles de sécurité L ensemble des 50 Etats ont des lois en matière de protection et/ou de sécurité des données personnelles, la plupart d entre elles sont spécifiques à des secteurs définis Données personnelles en ligne largement autorégulé Autorite de la FTC en matière de «pratiques commerciales «injustes ou trompeuses» 3
Développement de la réglementation US Projet de Rapport de la Federal Trade Commission concluant que le cadre de l autorégulation devrait être renforcé aux US Construction de privacy by design (prise en compte du respect des données dès la conception), conformité dans les processus des entreprises Définition large de données personnelles pour y inclure les adresses IP et les numéros d identification du matériel Chartes de confidentialité plus transparentes, plus courtes Des choix d opt out plus faciles Droit d accès et correction Niveau de sécurité raisonnable (déjà requis) Collection et conservation de données limitées à ce qui est nécessaire Exactitude des données (seulement pour les revendeurs de données?) Do Not Track dans certains contextes - retrait 4
Développement de la réglementation US Actions de la FTC en matière de pratiques commerciales trompeuses Défaut de divulgation claire du suivi en ligne Mécanismes d opt-out pour les consommateurs Défaut de conformité avec les principes de Safe Harbor US-UE Partage non volontaire des coordonnées d utilisateurs à travers les services de réseaux sociaux (Facebook et Google Buzz) Manquements dans la sécurisation des données personnelles 5
Développement de la réglementation US Sécurité des données Terrain majeur de controverses suite aux failles Sony et Epsilon 46 Etats requièrent la notification des failles; les services financiers et les secteurs de la santé exigent la notification par des lois fédérales (nationales) Pour les failles concernant les noms + les numéros d identification gouvernementaux ou les numéros de comptes bancaires ou de cartes de paiement Une loi nationale unique est probable, mais requérant la notification de failles pour plus de données (ex: adresses email) & avec des limites définitives de délais de notification Possible préemption des particularités des lois de securite de donnees personnelles du Massachusetts et du Nevada 6
Développement de la réglementation US Grand intérêt pour la législation en matière de données personnelles, nombreux projets de loi déposés En général, en ligne, localisation, do not track, données personnelles des adolescents, réglementation sur les revendeurs de données Législation probable dans les 3-5 prochaines années Devrait intégrer des concepts des rapports de la FTC / de la révision de la directive EU Chartes de confidentialité transparentes Accès et correction Privacy by design Transférabilité des données Mais opt-in seulement pour les données sensibles Pas de formalités ou de contrats types pour les transferts de données 7
Développements des actions de groupe aux US Augmentation croissante des class actions en matière de protection des données personnelles Fair Credit Reporting Act Junk Fax Act (spam par fax) Divulgation négligente de données de santé Failles de sécurité Suivi personnel en ligne ou par mobile Divulgations de donnees involontaires (Facebook BEACON) Flash cookies Cable Privacy Act Codes postaux ajoutés aux relevés de cartes de crédit (Californie) 8
Développements des actions de groupe aux US Les actions de groupe représentent un risque important en cas de violation des lois sur la protection des données aux US Un nombre significatif de violations peut être attaqué à travers une action de groupe, souvent pour obtenir des dommages fixes multiplier par le nombre d individus Ces demandes peuvent représenter un coût important pour se défendre Les actions de groupe attirent l attention de la presse de façon négative Mais des décisions récentes de la Cour Suprême ont donné aux défendeurs plus de moyens de faire échec aux actions de groupe Recours à une clause d arbitrage obligatoire Empêcher l action de groupe en soulevant des différences parmi les membres du groupe Les défendeurs doivent planifier leur stratégie en amont 9
II - La nouvelle règlementation indienne en matière de vie privée
La nouvelle règlementation indienne Développement inattendu venant s'ajouter à la règlementation en matière de "sécurité raisonnable des données" issue des modifications de la Loi IT Se différencie tant des approches américaines qu'européennes Similarités avec les approches adoptées au Mexique et au Canada Les sociétés ayant une activité en Inde seront confrontées à une importante augmentation du volume des réglementations, sans pouvoir transposer les solutions européennes ou américaines Adoptée afin de renforcer la confiance dans le secteur indien de l'externalisation BPO D'importantes ambigüités quant au texte de cette règlementation Paradoxalement, certains avocats voient dans ces ambigüités des obstacles à l'outsourcing - probablement sans fondement 11
La nouvelle règlementation indienne Applicable aux entités commerciales soumises au droit indien Ne se limite pas aux données des nationaux indiens Exigences en matière de confidentialité et de sécurité des données Applicable, en outre, à toutes les obligations contractées par des entreprises indiennes Les entités étrangères externalisant en Inde devront assimiler ces exigences, en particulier lors de la négociation des clauses relatives à la sécurité des données Probable évolution de l'approche qu'ont les entreprises indiennes d'externalisation en matière de clauses sur la sécurité des données 12
Quelles conséquences de la règlementation indienne? Conséquences pratiques - en cas d'opérations commerciales effectuées en Inde, les règles en matière de protection des données et de sécurité devront être respectées : Nommer une équipe dite de "compliance" compétente Auditer les politiques actuelles de sécurité des données Préparer des stratégies de transferts de données conformes Préparer des notifications en matière de confidentialité des données conformes Prévoir et mettre en place un système d'opposition par opt-out ainsi que des procédures de retraits de consentement Prévoir de recueillir le consentement écrit, télécopié ou envoyé par voie électronique, nécessaire à la collecte, à l'utilisation ou à la communication de données sensibles 13
Quelles conséquences de la règlementation indienne? Conséquences pratiques sur les opérations menées en Inde Prévoir de minimiser les données sensibles et d'interdire leurs utilisations secondaires Désigner un Responsable des Réclamations Mettre en place les procédures d'accès et de rectification prévues par la règlementation Besoin de conseils indiens et étrangers expérimentés et compétents pour mieux appréhender la règlementation et son articulation avec les nombreuses obligations de confidentialité et de sécurité des données applicables à votre organisation 14
Quelles conséquences de la règlementation indienne? Conséquences pratiques sur l'externalisation auprès de sociétés indiennes Nécessité de maitriser les exigences de sécurité des données applicables aux sous-traitants indiens Penser aux autres mesures de sécurité mises en place, nécessaires ou souhaitées, les mesures exigées par la loi n'ayant pas besoin d'être négociées En tant que "fournisseur d'informations", s'assurer que les consentements requis ont bien étés prévus dans les contrats en cours et à venir 15
Questions? 16