Position de la commissaire à la protection de la vie privée du Canada à la clôture des audiences sur l’Examen, prévu par la loi, de la LPRPDE

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Annexe VI

Aperçu des lois américaines en matière de notification des atteintes à la protection des données

À la fin de 2006, 34 États avaient adopté un certain type d’exigence relative à la notification des atteintes à la protection des données. Plusieurs lois en matière de notification ont été déposées au niveau fédéral, mais aucune n’a été adoptée. La Californie, qui est un chef de file dans bon nombre de dossiers liés à la protection de la vie privée et à la sécurité des données, a promulgué la première loi en matière de notification des atteintes à la protection des données. Cette loi, qui est entrée en vigueur en juillet 2003, oblige toute organisation à aviser les résidants de la Californie lorsque leurs renseignements personnels non chiffrés sont tombés entre les mains de personnes non autorisées ou qu’on a des motifs raisonnables de le croire.      

Bien que beaucoup d’États se soient inspirés du modèle californien, on observe plusieurs différences entre les lois des divers États. Cet ensemble disparate de lois s’est formé dans un environnement marqué par l’absence d’une réglementation exhaustive en matière de protection de la vie privée et des données, autant à l’échelle des États qu’à l’échelle fédérale. 

Définition des renseignements personnels

Ces lois comportent une définition plus étroite des renseignements personnels que les lois habituelles relatives à la protection des renseignements personnels, telles que la Loi sur la protection des renseignements personnels et les documents électroniques. Dans le contexte des atteintes à la protection des données, la loi californienne définit les « renseignements personnels » comme suit : le prénom ou le nom et la première initiale d’une personne, utilisés en combinaison avec les numéros de sécurité sociale, de permis de conduire ou de toute autre carte d’identification de l’État, ou les numéros de compte, de carte de crédit ou de carte de débit accompagnés du code d’accès ou du mot de passe requis. Bon nombre d’États ont adopté cette définition de base. D’autres y ont ajouté des variantes. Par exemple, le Dakota du Nord a élargi sa définition pour inclure le nom de jeune fille de la mère, le numéro attribué par l’employeur et la signature numérique d’une personne ou autre signature électronique. La définition du Nebraska englobe tous les éléments figurant dans la définition de la Californie, mais inclut également les données biométriques uniques ou autre représentation physique unique. La loi new yorkaise comporte une définition plus large des éléments de données initiaux, qui s’étendent à tous les renseignements concernant une personne physique qui pourraient servir à identifier cette personne parce qu’ils renferment un nom, un numéro, une marque personnelle ou un autre identificateur. Le Kansas inclut les numéros de compte financier et de carte de crédit et de débit, même s’ils ne sont pas accompagnés du code d’accès requis. En général, les lois incluent les renseignements personnels qui peuvent être utilisés à des fins de vol d’identité ou d’autre forme de fraude.   

Exigence en matière de chiffrement

Selon bon nombre de lois des États, les exigences en matière de notification ne s’appliquent que dans les cas où une partie ou la totalité des renseignements personnels compromis ne sont pas chiffrés (p. ex. le Rhode Island, la Californie, le Tennessee, le Texas, l’Utah). Dans les États de New York, de la Caroline du Nord et de la Pennsylvanie, les exigences en matière de notification s’appliquent aux renseignements personnels chiffrés si les clés de chiffrement ont été compromises tout comme les données chiffrées. Certains États ont défini le terme « chiffrement » (le Maine, le Dakota du Nord, l’Indiana), d’autres non (la Californie, l’Arkansas, la Louisiane, l’Illinois). 

La plupart des lois des États, y compris les lois new yorkaise et californienne, ne s’appliquent qu’aux données informatisées. Les lois de la Caroline du Nord et du Wisconsin visent également les documents papier.

Élément déclencheur de l’émission des avis

L’exigence en matière de notification s’applique lorsqu’il y a eu atteinte à la protection des renseignements personnels d’un consommateur; toutefois, on observe certaines variations d’un État à l’autre en ce qui a trait au seuil. Par exemple, selon la loi californienne, les consommateurs doivent être avisés dès qu’il y a eu infraction à la sécurité de leurs données, c’est-à-dire lorsque leurs renseignements personnels non chiffrés sont tombés entre les mains d’une personne non autorisée ou qu’on a des motifs raisonnables de le croire. Plusieurs États sont plus rigoureux et avisent les consommateurs dès qu’il y a apparence de vol d’identité ou d’un tort commis. Par exemple, en Arizona, la loi s’applique lorsque l’atteinte à la protection des données cause ou est susceptible de causer une perte économique importante pour une personne.  

Entités visées

Les lois des États varient en ce qui a trait aux entités assujetties aux exigences en matière de notification des atteintes à la protection des données. Certains ont suivi l’exemple de la Californie et obligent toutes les entités qui font des affaires dans un État particulier à satisfaire aux exigences en matière de notification (p. ex. le Colorado, le Connecticut, le Delaware, la Floride, le Minnesota, le Montana et Washington). D’autres États ont allongé cette liste de façon à inclure, notamment, les entreprises qui acquièrent, détiennent ou autorisent l’exploitation des renseignements personnels de résidants de l’État en question (p. ex. l’Arkansas et l’Illinois). D’autres ont écourté cette liste; par exemple, certains États ont exempté certaines institutions financières soumises à la Gramm-Leacn-Bliley Act (GLB) et à la Health Insurance Portability and Accountability Act of 1996 (HIPAA). La loi géorgienne ne vise que les « courtiers en information » définis comme les personnes ou entités qui, moyennant tout honoraire ou toute redevance, s’adonnent totalement ou partiellement à des activités de collecte, de rassemblement, d’évaluation, de compilation, de déclaration, de transmission, de transfert ou de communication de renseignements concernant des personnes dans le but premier de fournir des renseignements personnels à des tierces parties non affiliées. La loi géorgienne exclut expressément les organismes gouvernementaux de cette définition.     

Méthode de notification

La Californie exige que la notification se fasse au moyen d’une lettre expédiée par la poste, sauf dans des circonstances particulières. Les entreprises peuvent informer les intéressés par d’autres moyens, tels que le courrier électronique et l’affichage sur des sites Web, ou par l’entremise d’un message transmis par les médias dans l’ensemble de l’État si les coûts associés à la notification dépassent 250 000 $ ou si le nombre de personnes à aviser dépasse 500 000. Bien que beaucoup d’États aient les mêmes exigences que la Californie, certains permettent que la notification se fasse par téléphone (p. ex. la Géorgie, l’Illinois et Washington). En Indiana, on peut également aviser les intéressés par télécopieur. L’Illinois suit l’exemple de la Californie en autorisant d’autres méthodes de notification si les coûts dépassent 250 000 $ ou que le nombre de consommateurs à aviser dépasse 500 000. Au Rhode Island, d’autres moyens de notification sont permis si les coûts dépassent 25 000 $ ou si le nombre de personnes à aviser dépasse 50 000.    

Avis aux agences d’évaluation du crédit et aux organismes de surveillance

Selon certaines lois, les consommateurs ne sont pas les seules personnes que l’on doit informer des atteintes à la protection des données. Par exemple, au Colorado, toutes les agences de renseignement sur la consommation doivent être avisées si plus de 1 000 résidants sont touchés. En Georgie, ces agences doivent être informées si plus de 10 000 résidants sont touchés tandis qu’au Minnesota, on doit aviser les fournisseurs de crédit à la consommation si plus de 500 personnes sont touchées. À New York, on doit informer le procureur général de l’État, le conseil de la protection des consommateurs et le bureau de l’État chargé de la coordination de la sécurité informatique et de l’infrastructure essentielle de ce qui suit : la distribution et le contenu des avis, le moment choisi pour leur diffusion et le nombre approximatif de personnes touchées. Selon la loi du New Jersey, il faut informer la Division of State Police, Department of Law and Public Safety, avant de notifier les consommateurs.

Choix du moment pour la diffusion des avis

Certains États ont établi des calendriers précis pour la diffusion des avis, par exemple,  45 jours au plus tard dans le cas de la Floride. D’autres États exigent que la notification se fasse dans les plus brefs délais, mais reconnaissent que le processus puisse être retardé à des fins d’application de la loi. En Californie, par exemple, les intéressés doivent être avisés dans les meilleurs délais, conformément aux besoins légitimes en matière d’application de la loi ou aux mesures nécessaires pour déterminer l’ampleur de l’atteinte à la protection des données et rétablir l’intégrité du système de données. D’autres États ont adopté une formule semblable. Très peu d’États font abstraction des besoins en matière d’application de la loi dans leurs dispositions relatives au choix du moment pour la diffusion des avis.

Droit privé d’action et pénalités

De nombreux États suivent l’exemple de la Californie et accordent à leurs citoyens un droit privé d’action contre les entreprises qui dérogent aux dispositions en matière de notification. Certains États, cependant, n’accordent pas ce droit à leurs citoyens, confiant plutôt à leur procureur général le soin de faire appliquer les exigences en matière de notification.

Le montant des sanctions éventuelles varie grandement. En Californie, on peut réclamer des dommages-intérêts et dans d’autres États, on peut dénoncer les lois commerciales injustes et trompeuses ou imposer des sanctions légales pouvant atteindre 500 000 $ aux personnes qui contreviennent aux dispositions en matière de notification. Selon la loi du Rhode Island, la pénalité maximale est de 100 $ et la somme maximale pouvant être adjugée contre les défendeurs est de 25 000 $.

Date de modification :