Si les Etats-Unis n’ont pas, à l’inverse de l’Union Européenne, de réglementation nationale - sauf dans des secteurs particuliers - en matière de protection des données personnelles, en revanche tous les Etats américains, certains depuis déjà de nombreuses années, ainsi que le District de Columbia, ont une réglementation en matière de failles sécuritaires.

Si le RGPD introduit pour la première fois au niveau européen une obligation de notification des failles sécuritaires affectant les données personnelles des résidents européens, les Etats-Unis ont depuis longtemps légiféré dans ce domaine.

Je dresse dans cet article un panorama d’ensemble de la situation aux US.A l’heure où le Règlement Général sur la Protection des Données (RGPD), entré en vigueur le 25 mai 2018, introduit pour la première fois une obligation de notification des failles sécuritaires au niveau européen, il est utile de rappeler que si les Etats-Unis n’ont pas, à l’inverse de l’Union Européenne, de réglementation nationale - sauf dans des secteurs particuliers - en matière de protection des données personnelles, en revanche tous les Etats américains, certains depuis déjà de nombreuses années, ainsi que le District de Columbia, ont une réglementation en matière de failles sécuritaires.

Ces réglementations étatiques dans un domaine, la protection des données à caractère personnel, qui constitue souvent un enjeu électoral très important pour les candidats au poste très puissant de Procureur Général (Attorney General) étatique, imposent des obligations souvent très différentes aux sociétés victimes d’une faille sécuritaire, ce qui rend particulièrement difficiles les efforts de conformité des acteurs économiques ayant une activité sur l’ensemble sur territoire américain.

Certaines affaires récentes en matière de failles sécuritaires, parmi lesquelles Equifax (148 millions d’utilisateurs affectés), Yahoo (3 milliards), Adult Friend Finder (412 millions de comptes affectés), eBay (145 millions), ou encore Target (110 millions) ont choqué l’opinion américaine et sensibilisé le public sur l’importance de protéger ses données personnelles. De nombreux Etats ont intensifié leurs efforts afin de sensibiliser leurs résidents, et modifié leur législation en conséquence. Si vous opérez déjà, ou avez pour ambition d’opérer, dans plusieurs Etats des Etats-Unis, vous devez être attentif aux exigences des diverses juridictions étatiques dans ce domaine, et aux tendances croissantes des récentes modifications législatives.

Un certain nombre d’exigences sont communes à tous les Etats, d’autres varient d’État à État.

Les exigences communes aux lois étatiques en matière de failles sécuritaires :
 L’obligation de notification des résidents de l’Etat affectés dans un délai raisonnable ;
 L’obligation de notification de certains organismes, et notamment du procureur général de l’Etat et/ou de l’agence de protection des consommateurs dans certaines circonstances ;
 Des exceptions à l’obligation de notification lorsque la faille a été commise de bonne foi par un employé, que les données ont fait l’objet d’un chiffrement, et qu’il y a un faible risque de dommage ;
 Des exigences spécifiques s’agissant du contenu de la notification ; et
 Des sanctions civiles imposées par le procureur général de l’Etat.

La majorité des lois définissent un seuil minimal de risque de préjudice avant que les obligations de notification soient déclenchées. Le langage législatif spécifique peut varier : le risque doit être « substantiel » ou « matériel », selon les cas. Certaines lois exigent des entreprises de consulter les forces de l’ordre ou d’aviser le procureur général afin de déterminer si la notification est vraiment nécessaire en cas de risque de préjudice limité.

Des variantes entre les lois étatiques.

Malgré ces points communs, d’importantes variations existent entre les dispositions des différents Etats.

Notification aux entités gouvernementales et aux agences de protection des consommateurs.

Par exemple, dans certains Etats, la notification aux organismes d’Etat n’est requise que lorsqu’un certain nombre de résidents de l’Etat sont concernés par la faille :

Californie : la notification au procureur général est requise quand plus de 500 résidents californiens sont concernés.
Caroline du Sud : la notification au Département de la consommation est requise quand plus de 1 000 résidents de la Caroline du Sud sont concernés.
Floride : la notification au Département de la justice est requise quand plus de 500 personnes en Floride sont concernés.
New York : Si plus de 5 000 résidents sont concernés, l’entreprise doit également aviser les agences de protection des consommateurs du moment, du contenu et de l’envoi des notifications, ainsi que du nombre approximatif de personnes affectées.

Dans d’autres Etats, tels que celui du Massachusetts, la notification aux organismes d’Etat est requise, quel que soit le nombre de résidents concernés par la faille.

Délai pour notifier les personnes concernées.

Bien que tous les Etats exigent une notification « dans un délai raisonnable », certains Etats prévoient un délai précis à compter de la découverte de la faille :

Floride : dans les 30 jours à compter de la violation avec une extension de 15 jours sous certaines conditions.
Ohio et Wisconsin : dans les 45 jours à compter de la violation.
Maine : Si l’entreprise tarde à notifier les personnes concernées du fait qu’une enquête de police concernant cette faille a été ouverte, elle doit en aviser la personne dans les sept jours qui suivent la détermination par la police que la notification ne compromettra pas l’enquête.

Les exceptions.

De nombreux Etats prévoient certaines exceptions aux obligations de notification.

Certaines exceptions sont raisonnables. Par exemple, un Etat peut ne pas exiger de notification si les données piratées étaient chiffrées et ne risquent pas d’être déchiffrées.

D’autres exceptions sont moins raisonnables. Certains Etats permettent ainsi aux entreprises d’ignorer l’obligation de notification si elles déterminent que le risque de préjudice financier est faible…. Il va sans dire qu’une entreprise qui usera de cette discrétion devra pouvoir documenter de façon robuste les critères ayant servi de base à cette décision, et si possible s’appuyer sur une opinion d’un avocat en cas de plainte ultérieure d’une personne concernée ou, sous pression des consommateurs, du procureur général de l’Etat ou de l’agence étatique de protection des consommateurs.

Certaines lois prévoient également des exceptions pour :
 Les entreprises couvertes par le « Health Insurance Portability and Accountability Act » (HIPAA), la loi fédérale en matière de données de santé ;
 Les institutions financières sujettes au « Gramm-Leach-Bliley Act » (GLBA), la loi fédérale en matière de protection des données à caractère personnelles traitées par les organismes bancaires et financiers.

De lourdes conséquences.

Les conséquences d’une faille sécuritaire pour les sociétés qui opèrent aux Etats-Unis peuvent être très importantes en termes de coût et de réputation, que ce soit le coût réel de l’enquête interne, de la réponse à la faille, y compris les coûts de notification, les pertes de revenu pour l’entreprise et l’exposition aux amendes du gouvernement, sans compter les poursuites privées, voire les actions de groupe (class actions) exercées par les agences de protection des consommateurs…

Une bonne illustration est ce qui s’est passé avec Uber. En octobre 2016, une faille sécuritaire chez Uber a compromis les données personnelles d’au moins 57 millions d’utilisateurs. Pendant plus d’un an, Uber a caché cette faille massive, et a même utilisé son programme interne d’identification des vulnérabilités sécuritaires pour payer la rançon des assaillants. En conséquence, en mai de cette année, le procureur général de Pennsylvanie a déposé une plainte contre la société. Même si les conséquences financières pour la société découlant de l’application de la loi stricto sensu peuvent être limitées, les effets sur les personnes concernées par la faille peuvent être dramatiques, décourageront probablement d’autres personnes d’utiliser Uber, et pourront avoir l’effet d’adresser un message fort à d’autres entreprises s’agissant des pertes financières, pertes de réputation, et pertes confiance des utilisateurs.

La plupart des juridictions permettent des actions par le procureur général de l’Etat, ou par l’agence de protection des consommateurs, qui peut généralement faire une demande de dommages et intérêts ou en référé (injunction). Une minorité d’Etats, parmi lesquels la Californie, le Texas et le New Jersey, prévoient un droit d’action qui autorise les individus concernés par une faille sécuritaire à faire une demande de dommages et intérêts pour les dommages résultant de la défaillance de l’entreprise à notifier la faille.

En conséquences, les entreprises qui opèrent sur le territoire américain sont avisées de se préparer aux possibles failles sécuritaires et de développer un plan de réponse conforme aux obligations légales.

Comment se préparer ?

Les entreprises doivent prendre en compte les éléments suivants pour répondre de façon effective aux exigences légales en établissant de bonnes politiques et pratiques internes :
 Développer une politique interne écrite en matière de sécurité informatique ;
 Former les employés de la société sur la politique interne de sécurité des données ;
 Effectuer des évaluations régulières de la sécurité des données ;
 Exécuter des exercices de sécurité au sein de l’entreprise ; et
 Préparer des modèles de lettres de notification des failles sécuritaires adaptées aux exigences légales de chacun des Etats dans lesquels elles opèrent.

Stéphane Grynwajc Avocat aux barreaux de Paris, de New-York, et du Québec Solicitor (England and Wales) Cabinet S. Grynwajc www.transatlantic-lawyer.com/fr [->stephane@avocat-transatlantique.com]