Le 8 février 2024, le Center for Information Policy Leadership de Hunton Andrews Kurth LLP (« CIPL ») a publié un document de discussion sur la comparaison des lois des États américains sur la protection de la vie privée : évaluations de la protection des données. Le document analyse les exigences en matière d’évaluation de la protection des données énoncées dans un nombre toujours croissant de lois complètes des États américains sur la protection de la vie privée. Le document représente le premier résultat du projet en cours du CIPL sur les lois des États américains sur la protection de la vie privée, dans lequel le CIPL collabore avec ses organisations membres pour identifier les domaines d’alignement et de divergence entre les lois des États sur la protection de la vie privée. Le document examine également les défis de conformité auxquels les organisations sont confrontées en raison de ces divergences et fournit des recommandations aux législateurs des États et aux décideurs politiques qui pourraient envisager de modifier les lois existantes ou d’en introduire de nouvelles.
Les principales recommandations du document de discussion comprennent :
- Les organisations ont besoin de cohérence dans la terminologie et les définitions afin de créer des programmes cohérents et efficaces d’évaluation et de conformité de la protection des données.
- Les organisations s’efforcent d’élaborer des programmes complets de protection de la vie privée, dont les évaluations de la protection des données constituent un élément fondamental, pour satisfaire aux obligations de conformité importantes dans un certain nombre d’États américains et de juridictions mondiales, et pour garantir des protections cohérentes à leurs clients. De nombreuses organisations utilisent les exigences du Règlement général sur la protection des données (« RGPD ») de l’UE comme plus grand dénominateur commun. Mais à mesure que les nouvelles lois des États introduisent des éléments supplémentaires, la nécessité de prendre diverses mesures ad hoc les modifications apportées à une évaluation déjà complète rendent une approche par ailleurs rationalisée inefficace et irréalisable.
- Les organisations responsables s’engagent de manière significative avec un éventail d’organisations internes et externes (y compris des sociétés d’audit) pour mener des évaluations complètes de la protection des données, mais la forme et le contenu de l’engagement varient d’une organisation à l’autre. Les régulateurs et les législateurs devraient encourager un engagement significatif concernant des évaluations efficaces des risques en tant que meilleure pratique, mais ne pas prescrire des méthodes ou des éléments particuliers.
- Dans un paysage réglementaire et technologique dynamique, il est inutile et fastidieux que les organisations soient tenues de partager de manière proactive et régulière leurs évaluations de la protection des données avec les régulateurs ou les organismes d’application, sous forme détaillée ou résumée. Au lieu de cela, les organisations devraient être tenues de tenir des registres. de leurs évaluations en matière de protection des données et être prêts à les présenter aux autorités compétentes sur demande en cas d’enquête ou d’autres mesures coercitives.
- Dans la mesure où les organisations sont tenues de fournir aux régulateurs une version résumée d’une évaluation de la protection des données, les régulateurs devraient fournir des orientations claires sur les éléments à inclure dans ces résumés pour garantir la cohérence. Cela permettra également d’éviter les questions potentielles sur les divergences apparentes ou les allégations potentielles de fausses déclarations liées à une comparaison entre une évaluation complète et sous-jacente de la protection des données et le résumé de celle-ci.
- Les exigences existantes en matière d’évaluation de la protection des données doivent être écrites et/ou interprétées pour permettre aux organisations d’utiliser une seule évaluation pour satisfaire aux exigences de la plupart ou de la totalité des États, et pour les rendre interopérables entre les juridictions, dans la mesure du possible.
Pour plus d’informations sur les résultats, les recommandations et d’autres idées, lisez le document de discussion complet.