Regard des USA en matière de données personnelles

Données Personnelles : Traitement pénal des infractions CNIL
Personal Data Misuse: a criminal approach
Journée de l’AFDIT
le 22 février 2013
Regard des Etats-Unis en matière de protection des données
personnelles
An American Perspective on personal data protection
Alexander Blumrosen
Bernard-Hertz-Béjot, Paris
Lois Fédérales sur la Protection des données personnelles
Bank Secrecy Act (BSA)
Computer Fraud and Abuse Act of 1984 (CFAA)
Communications Assistance for Law Enforcement Act of
1994 (CALEA)
Computer Matching and Privacy Protection Act
Consumer Credit Reporting Reform Act
Drivers Privacy Protection Act (DPPA)
Electronic Communications Privacy Act (ECPA)
Electronic Funds Transfer Act (EFT)
Equal Credit Opportunity Act (ECOA)
Fair and Accurate Credit Transactions Act (FACTA)
FACTA Disposal Rule
Fair Credit Reporting Act (FCRA)
Fair Debt Collection Practices Act (FDCPA) Family
Education Rights and Privacy Act (FERPA)
Federal Identity Theft and Assumption Deterrence Act
Federal Energy Regulatory Commission (FERC)
Federal Trade Commission Act
Financial Industry Regulatory Authority (FINRA)
Financial Services Regulatory Relief Act
Gramm-Leach-Bliley Financial Modernization Act (GLBA)
Health Insurance Portability Act (HIPAA)
Health Information Technology for Economic and Clinical
Health (HITECH) Act
Identity Theft and Assumption Deterrence Act
International Traffic in Arms Regulation (ITAR)
North American Electric Reliability Corporation (NERC)
Office of Foreign Assets Control (OFAC)
Payment Application Data Security Standards (PA DSS)
Payment Card Industry Standard (PCI DSS)
Privacy Act of 1974
Privacy Protection Act (PPA)
Right to Financial Privacy Act (RFPA)
Sarbanes-Oxley Act (SOX)
Telecommunications Act of 1996
Telephone Consumer Protection Act (TCPA)
US Patriot Act
Sanctions (surtout FTC): amendes administratives, transaction et « consent decree »,
« Private right of action », sanctions pénales (amendes, prison)
Examples: Google (2012 ; $22.5M); Spokeo (2012 ; $800K) ; PATH (2013; $800K)
E-Discovery dans les procédures judiciaires US
• La Loi du 16 juillet 1980
• La Convention de la Haye de 1970
• L’arrêt Aérospatiale (US Supreme Court, 1987)
• L’arrêt Christopher X (Cour Cass. 12.12.2007)
• In re Air Cargo Shipping Services Antitrust Litig. MDL
(no. 06-MD-1775, 2010 WL 1189341 (29 March 2010))
• GT29 WP158, 11.02.2009; Délibération CNIL n° 2009-474 du 23
juillet 2009
• Quid de la dérogation de l’article 26(1)(e) de la Directive, « le
transfert soit nécessaire à la sauvegarde de l'intérêt vital de la personne
concernée »
Cyber-Security issues
a. Data Breach Notification Laws (+44)
(comparer l’ordonnance 2011-1012 du 24 août 2011: 5 ans, 300K€)
Exemple: Texas
- Amende civile entre $2,000 et $250,000 par violation.
- Manquement à l’obligation de notifier communication de données médicales: jusqu’à
$250,000 par communication
- L’accès ou le transfert de données personnelles médicales sans autorisation: “criminal felony”
(prison > un an)
b. Drones/UAVs:
- en 2012 + 100 drones privés et + 300 drones des autorités publiques déclarés à la FAA
- propositions de lois en OR, FL, ND, MO
Vers une simplification des lois US sur les données personnelles??
(Les défis politiques du « preemption » dans un état fédéral)
• Quelle norme?
• « States rights » et l’impacte budgétaire
• Réduction de protections dans certains états??
Mais optimiste: mondialisation; coopération; frein à la
croissance et l’emploi
Me Alexander Blumrosen
Avocat aux Barreaux de Paris et de New York
Bernard-Hertz-Béjot, Paris
8, rue Murillo, 75008 Paris
www.bhbfrance.com