Regard des USA en matière de données personnelles
Transcription
Regard des USA en matière de données personnelles
Données Personnelles : Traitement pénal des infractions CNIL Personal Data Misuse: a criminal approach Journée de l’AFDIT le 22 février 2013 Regard des Etats-Unis en matière de protection des données personnelles An American Perspective on personal data protection Alexander Blumrosen Bernard-Hertz-Béjot, Paris Lois Fédérales sur la Protection des données personnelles Bank Secrecy Act (BSA) Computer Fraud and Abuse Act of 1984 (CFAA) Communications Assistance for Law Enforcement Act of 1994 (CALEA) Computer Matching and Privacy Protection Act Consumer Credit Reporting Reform Act Drivers Privacy Protection Act (DPPA) Electronic Communications Privacy Act (ECPA) Electronic Funds Transfer Act (EFT) Equal Credit Opportunity Act (ECOA) Fair and Accurate Credit Transactions Act (FACTA) FACTA Disposal Rule Fair Credit Reporting Act (FCRA) Fair Debt Collection Practices Act (FDCPA) Family Education Rights and Privacy Act (FERPA) Federal Identity Theft and Assumption Deterrence Act Federal Energy Regulatory Commission (FERC) Federal Trade Commission Act Financial Industry Regulatory Authority (FINRA) Financial Services Regulatory Relief Act Gramm-Leach-Bliley Financial Modernization Act (GLBA) Health Insurance Portability Act (HIPAA) Health Information Technology for Economic and Clinical Health (HITECH) Act Identity Theft and Assumption Deterrence Act International Traffic in Arms Regulation (ITAR) North American Electric Reliability Corporation (NERC) Office of Foreign Assets Control (OFAC) Payment Application Data Security Standards (PA DSS) Payment Card Industry Standard (PCI DSS) Privacy Act of 1974 Privacy Protection Act (PPA) Right to Financial Privacy Act (RFPA) Sarbanes-Oxley Act (SOX) Telecommunications Act of 1996 Telephone Consumer Protection Act (TCPA) US Patriot Act Sanctions (surtout FTC): amendes administratives, transaction et « consent decree », « Private right of action », sanctions pénales (amendes, prison) Examples: Google (2012 ; $22.5M); Spokeo (2012 ; $800K) ; PATH (2013; $800K) E-Discovery dans les procédures judiciaires US • La Loi du 16 juillet 1980 • La Convention de la Haye de 1970 • L’arrêt Aérospatiale (US Supreme Court, 1987) • L’arrêt Christopher X (Cour Cass. 12.12.2007) • In re Air Cargo Shipping Services Antitrust Litig. MDL (no. 06-MD-1775, 2010 WL 1189341 (29 March 2010)) • GT29 WP158, 11.02.2009; Délibération CNIL n° 2009-474 du 23 juillet 2009 • Quid de la dérogation de l’article 26(1)(e) de la Directive, « le transfert soit nécessaire à la sauvegarde de l'intérêt vital de la personne concernée » Cyber-Security issues a. Data Breach Notification Laws (+44) (comparer l’ordonnance 2011-1012 du 24 août 2011: 5 ans, 300K€) Exemple: Texas - Amende civile entre $2,000 et $250,000 par violation. - Manquement à l’obligation de notifier communication de données médicales: jusqu’à $250,000 par communication - L’accès ou le transfert de données personnelles médicales sans autorisation: “criminal felony” (prison > un an) b. Drones/UAVs: - en 2012 + 100 drones privés et + 300 drones des autorités publiques déclarés à la FAA - propositions de lois en OR, FL, ND, MO Vers une simplification des lois US sur les données personnelles?? (Les défis politiques du « preemption » dans un état fédéral) • Quelle norme? • « States rights » et l’impacte budgétaire • Réduction de protections dans certains états?? Mais optimiste: mondialisation; coopération; frein à la croissance et l’emploi Me Alexander Blumrosen Avocat aux Barreaux de Paris et de New York Bernard-Hertz-Béjot, Paris 8, rue Murillo, 75008 Paris www.bhbfrance.com