Appelez-nous : 1.888.484.7266
Essais gratuits
ESSAIS GRATUITS

L’état compliqué des lois sur la notification des atteintes à la protection des données

SHARE WITH YOUR NETWORK!

Table of Contents

L’état compliqué des lois sur la notification des atteintes à la protection des données

Le 1er mars 2018, l’Alabama est devenu le dernier État à exiger que les entreprises informent leurs clients lorsque leurs données ont été violées (dans les 45 jours suivant sa survenance). Quelques jours auparavant, le Sénat de l’État du Dakota du Sud était l’avant-dernier en adoptant le projet de loi no 62, exigeant à l’unanimité des avis de violation aux clients et au bureau du procureur général (également dans les 45 jours).

Bien que l’établissement de lois sur la notification des atteintes à la protection des données et leur ratification aux États-Unis aient traversé un chemin long et sinueux, maintenant qu’il est presque terminé (la loi du Dakota du Sud n’a pas été promulguée), le paysage des différentes exigences en matière d’atteinte à la protection des données qui existent à travers le pays est compliqué et fragmenté. Bien que le gouvernement américain n’ait pas exigé la divulgation des violations de données fédérales dans toutes les entreprises et tous les secteurs au niveau du RGPD pour les organisations opérant dans l’UE, il existe encore de vastes implications pour les entreprises américaines dans les exigences de divulgation État par État. À tout le moins, tous les États ont des lois sur la notification des violations à connaître.

En voici quelques-uns et comment ils varient en fonction des différentes réglementations de l’État.

Les renseignements couverts par la loi sur les avis d’atteinte :

Pour qu’un incident soit considéré comme une atteinte à la protection des données, tous les États exigent que l’incident comprenne la perte d’au moins un prénom ou une initiale et un nom de famille, ainsi que :

  • Un numéro de sécurité sociale,
  • Un numéro de permis de conduire
  • Une pièce d’identité délivrée par l’État,
  • Renseignements liés aux services bancaires privés.

Les renseignements personnels n’incluraient pas ce qui serait généralement considéré comme accessible au public. Ce sont les bases. À l’échelle d’un État à l’autre, des informations telles que les mots de passe avec les noms d’utilisateur, les numéros d’identification fiscale, les informations médicales, les numéros de passeport, les données biométriques et autres peuvent toutes être suffisantes pour exiger des notifications de violation de données. Ceux-ci sont détaillés dans le tableau utile sur les atteintes à la protection des données produit par Baker Law.

Exigence d’avis au procureur général ou aux organismes de l’État :

Le seuil le plus bas pour la notification d’une violation de données par le procureur général ou l’agence d « État est celui de l’Indiana , avec 250 dossiers de résidents de l » État. Pour les autres États, ce seuil (s’il y en a un) commence généralement à 500 ou 1000 dossiers de résidents violés.

Il est important de lire une description du processus État par État. Dans de nombreux États, il est nécessaire d’aviser le procureur général avant de communiquer avec les utilisateurs concernés.

Le tort a-t-il été causé :

Si, après une analyse de l’impact de l’atteinte, il est déterminé qu’aucun préjudice n’a été causé, la plupart des États n’exigent pas de notification. La norme sur les préjudices est délicate, et il incombe à l’entreprise violée de prouver que l’atteinte à la protection des données n’entraînera pas de préjudice pour les personnes touchées. Pourtant, dans plusieurs États, comme la Californie et le Texas, les entreprises sont tenues d’aviser les parties concernées. Notez qu’il n’est pas clair non plus si vous êtes tenu d’aviser l’organisme de réglementation ou le procureur général avant ou après avoir effectué l’analyse.


Longueur des rapports aux clients ou aux organismes de réglementation :

Dans l’ensemble, la production de rapports est requise dans les plus brefs délais. Les organismes publics de l’Idaho ont 24 heures pour informer le procureur général lorsqu’ils prennent connaissance d’une atteinte. Par ailleurs, la durée des rapports semble semblable à celle des clients. En ce qui concerne les maximums pour les personnes touchées, la fourchette se situe généralement entre 30 et 90 jours maximum, avec une médiane d’environ 45. C’est, bien sûr, ceux qui en ont. Sinon, le défaut est l’opportunité et sans délai déraisonnable. Ces lois comportent également généralement une clause de non-responsabilité selon laquelle elles doivent être conformes aux besoins des organismes d’application de la loi (par exemple, les rapports aux clients peuvent ou doivent être retardés dans les cas où cela aurait une incidence sur une enquête en cours).

Format de l’avis à l’abonné :

En général, des formes variables d’avis écrits, téléphoniques ou électroniques sont requises pour les clients , souvent avec la signature électronique dans des étuis numériques, pour des raisons d’authenticité. Certains États, comme New York, exigent un avis physique tangible à moins que le client n’ait choisi de recevoir l’avis par voie électronique (avec la conservation des dossiers). Si par téléphone, certains États exigent une preuve que le client a été contacté avec succès.

D’autres différences intéressantes d’un État à l’autre comprennent :

  • Il semble qu’environ 20 États autorisent des poursuites judiciaires privées si les règles de notification des atteintes à la protection des données sont violées. Ceux-ci vont d’un maximum de 5000 $ en dommages-intérêts en Caroline du Nord à l’Oregon, où l’État peut agir plutôt que d’intenter des poursuites civiles privées.
  • D’après ce que nous avons recueilli, si vos dossiers clients sont cryptés (et que le pirate n’a pas obtenu de clé), vous êtes protégé contre ces règlements sur la notification des violations de données. En Californie, au Delaware et en Iowa, entre autres, il y a une stipulation supplémentaire selon laquelle s’il est possible que la clé ait été obtenue, la sphère de sécurité ne s’applique plus.
  • La façon dont vous informez les organismes de réglementation peut varier d’un État à l’autre, allant du courrier aux formulaires en ligne et même par télécopieur. Les renseignements demandés varient également.

Cela peut être pour le moins déroutant, et la dernière chose qu’une entreprise veut gérer est un risque de responsabilité de cette ampleur, mais traiter rapidement les atteintes à la protection des données est la première étape pour rectifier les dommages qu’elles peuvent causer. Cela peut également donner un peu de répit à tout cauchemar juridique, dans lequel 40 États (et quelques territoires) ont leurs propres protocoles.

Le but de tout cela, cependant, n’est pas de donner des conseils juridiques – nous ne sommes pas des avocats après tout. Tout d’abord, ce qui précède doit mettre en évidence le coût élevé d’une atteinte à la protection des données, bien au-delà des exigences de notification qu’une atteinte implique. Bien que la source principale des violations de données soit généralement soit une erreur humaine, soit un courriel, ou… à la fois, des mesures préventives doivent être prises pour se prémunir contre ce risque.

Le deuxième point est qu’une approche plus complète pour réglementer non seulement la divulgation des atteintes à la protection des données, mais aussi les mesures et les réponses en matière de cybersécurité à tous les niveaux (même au niveau fédéral) simplifierait l’application de la loi et réduirait peut-être la confusion ou les fausses déclarations auxquelles sont confrontés des entreprises comme Equifax et Uber. Avec l’entrée en vigueur du RGPD dans l’ensemble de l’UE et l’adoption probable de la LPRPDE par le Canada au printemps 2018, les États-Unis prennent rapidement du retard sur ce front.

Jusqu’à ce que des politiques fédérales plus complètes soient adoptées, le mieux est de mettre en œuvre un programme de sensibilisation et de formation plus solide, de vous assurer d’utiliser des technologies de pointe en matière de courriel et de cybersécurité, de chiffrer les données en transmission et, si tout le reste peut échouer, de garder un bon avocat sur mandat.

 

 

[highlight_sc bg_color= »#21c2f8″ text_color= »#ffffff » border_color= » »]Autres ressources :[/highlight_sc]

Un résumé visuel des lois des États américains sur la notification des atteintes à la protection des données.

Excellent tableau récapitulatif du RGPD par rapport à la réglementation américaine de l’IAPP.

Un tableau des atteintes à la protection des données État par État avec l’aimable autorisation de Baker Law.

De pertinence : Un aperçu de la réglementation de la protection des données aux États-Unis. Comme vous pouvez le constater, des industries et des situations spécifiques peuvent être réglementées par d’autres lois, notamment HIPAA, FTC Act, COPPA, GLB Act, FINRA ou autres.

Avertissement : Nous ne sommes ni avocats ni experts juridiques, toutes les informations contenues dans cet article ne doivent pas être considérées comme des conseils juridiques – veuillez consulter un avocat pour toute question juridique relative à des violations de données ou à d’autres problèmes.

Explore our Advanced Email Security Solutions

Protect your clients and simplify your operations with reliable, scalable email security solutions. Get in touch today to learn how we can support your success.

CONTACT US
SHARE WITH YOUR NETWORK!
Picture of Joey Tanny
Joey Tanny
Joey is digital marketing strategist with specialties in marketing strategy, brand building, communications and community building. He also speaks 4.5 languages, runs a non-profit, and is looking forward to his next 10 day hike.
All Posts

Ready to See the Difference?
Discover our advanced security products today.

Get Quick Demo
Youtube X-twitter

Produits

Solutions par menace

Solutions par cas d'utilisation

Partenaires

Entreprise

Youtube

Produits

Solutions par menace

Solutions par cas d'utilisation

Partenaires

Entreprise

Vircom © 2025 | Tous droits réservés
Faire défiler vers le haut