Lorsque l’avant-projet bipartisan des coûts de la loi américaine sur la confidentialité et la sécurité des données personnelles (ADPPA) a été lancé plus tôt ce mois-ci, les spéculations ont abondé sur l’effet que les toutes nouvelles exigences de confidentialité des informations auraient sur les entreprises aux États-Unis et au-delà.
L’une des modifications les plus substantielles est que les « entités couvertes » – largement décrites dans la dépense comme toute entité sujette à la loi FTC – doivent minimiser la collecte, le traitement et le transfert des « données couvertes ». » L’ADPPA définit les données couvertes comme « des informations qui identifient ou sont liées ou pouvant être liées de manière équitable à un individu ou un gadget qui détermine ou sont liées ou pouvant être liées de manière équitable à un ou plusieurs individus, y compris les données obtenues et les identifiants distincts. »
En pratique, les données couvertes pourraient être aussi simples que les numéros d’identification gouvernementaux ou les numéros de sécurité sociale (SSN) dans les communications privées, ou tout détail associé à des sujets de moins de 17 ans.
Que signifierait ADPPA pour les entreprises ?
Tout comme la politique générale de protection des données (RGPD), l’ADPPA imposerait de nouvelles exigences de protection des données aux entreprises, les obligeant à mettre en œuvre des politiques pour protéger les informations couvertes contre l’accès par des personnes non autorisées.
« L’ADPPA, si elle est adoptée, est une offre assez énorme : elle représenterait une étape indispensable pour les droits à la vie privée et la manière dont les entreprises s’associent. le plus grand écosystème numérique au monde », a déclaré Victor Platt, un professionnel accrédité de la sécurité des systèmes d’information (CISSP) et responsable de la sécurité et de la confidentialité chezintegrate.ai,
Bien que l’ADPPA puisse soulever des responsabilités substantielles en matière de défense de l’information, comme la définition Le nombre d’informations couvertes est vaste et de nombreuses informations peuvent éventuellement se connecter à un appareil privé ou à un gadget.
Comme l’explique Platt, « il codifie un sens large des informations couvertes et des barres élevées pour l’approbation, la limitation des fonctions et l’opt-out, les politiques de confidentialité impénétrables de haut niveau ne suffiront plus et les choses que vous croyez ne le sont pas Les détails individuels identifiables (PII) aujourd’hui, comme les identifiants distincts, le seront à l’avenir. »
En outre, Platt note également que les entreprises seront tenues de démontrer comment elles réduisent les informations qu’elles collectent, comment elles les protègent et s’assurent que les transferts d’informations couvertes à des tiers subissent des désactivations et sont renforcés. conditions.
Comment ADPPA pourrait sécuriser les informations des individus
ADPPA accorderait également aux individus de tout nouveaux droits de confidentialité sur leurs données.
Par exemple, « le projet de loi offrirait aux personnes à travers les États-Unis des droits complets pour corriger, supprimer, accéder et transférer des informations individuelles », a déclaré Alex Iftimie, Morrison Foerster, partenaire et coprésident du le groupe mondial de gestion des menaces et des crises de l’entreprise,
En même temps, cela donnerait également aux gens le droit d’intenter une action civile contre les infractions.
« L’un des éléments controversés de ce projet de loi est qu’il offre aux résidents américains un droit d’action personnel contre les entités couvertes pour les infractions, ce qui permettra aux parties personnelles de faire appliquer les dispositions de la loi par le biais d’un litige civil », Iftimie déclaré.
Plus généralement, la Federal Trade Commission (FTC) serait également responsable de l’application des charges aux entreprises non conformes. En pensant à la portée de la loi au moins dans le projet actuel, la FTC aurait de nombreuses occasions de porter des jugements sur ce qui constitue une infraction et ce qui ne l’est pas.
Comment les entreprises peuvent se préparerBien que l’ADPPA ne soit encore qu’un projet de loi et nécessiterait l’adoption d’un contrat bipartite, il est essentiel que les entreprises réfléchissent aux contrôles qu’elles doivent satisfaire ces responsabilités potentielles en matière de sécurité des données.
Parmi les toutes nouvelles exigences, les entreprises auraient besoin de savoir combien de données étaient proportionnelles à collecter sur les individus, et de garantir qu’elles disposent d’une procédure pour réduire leur collecte, afin de pouvoir la limiter à cela ce qui est assez nécessaire.
En outre, les entreprises devraient également se préparer à désactiver les publicités ciblées et offrir aux enfants ou aux mineurs une assistance accrue en matière de protection des informations pour garantir la sécurité de leurs données.
Pour l’instant, les entreprises devront attendre et voir et, comme le mentionne Iftimie, il pourrait s’écouler beaucoup de temps avant qu’une décision ne soit prise, en particulier avec le congrès en vacances pour la majorité des élections d’août et de mi-mandat commençant à l’automne.
L’objectif de VentureBeat est d’être une place publique numérique permettant aux décideurs techniques de comprendre la technologie d’entreprise transformatrice et d’effectuer des transactions. En savoir plus sur l’adhésion.
Toute l’actualité en temps réel, est sur L’Entrepreneur