Le projet de "RGPD" américain et ses promesses

Début avril, la nouvelle retentit dans les sphères du petit monde de la protection des données. 

Les spécialistes européens ont beau être devenus blasés des nouvelles provenant du continent américain en matière de données, cette nouvelle est pourtant prometteuse. 

Jusqu'à présent, les Etats Unis n'ont jamais eu de loi fédérale encadrant de manière générale la protection des données personnelles, de la même manière que le RGPD encadre la protection des données personnelles des citoyens européens. 

Le cadre juridique américain ne se trouve que de manière très transversale à travers différentes lois fédérales sur certains secteurs clefs, ou dans des législations d'états fédérés. L'exemple peut être le plus frappant est le California Consumer Privacy Act, protégeant de comparable les données à caractère personnel des citoyens résidant dans l'état de Californie. 

L'American Privacy Rights Act ou "APRA", projet de loi bipartisane, s'appliquerait ainsi aux: 

-Sociétés soumises à l'autorité de la Federal Trade Commission.

-Société de transports publics

-Organismes à but non lucratif

et exclurait par principe les petites entreprises si elles génèrent moins de 40 millions annuels de bénéfice, traitent les données personnelles de moins de 200k d'individus, et ne tirent pas de bénéfices de transferts de données couvertes par la loi à des tiers. 

Pour l'instant l'intensité des obligations envisagée pour les sociétés soumises à l'APRA est significative, même si de grandes latitudes semblent avoir été concédées aux fournisseurs de services. Les obligations de documentation et vérification de la conformité des tiers semblera donc être un point à surveiller du point de vue des spécialistes de la protection des données européens et DPO ayant la charge de surveiller la conformité des prestataires au RGPD.