Loi sur l'arrêt des piratages et l'amélioration de la sécurité des données électroniques (loi SHIELD)

Quelle est la signification de cette loi ?

La loi SHIELD, promulguée le 25 juillet 2019 par le gouverneur Andrew Cuomo, modifie la loi new-yorkaise de 2005 sur la notification et la violation de la sécurité de l'information. Le SHIELD Act renforce considérablement les lois de New York en matière de sécurité des données en :

  • élargir les types d'informations privées pour lesquelles les entreprises doivent informer les consommateurs en cas de violation.
  • exiger que les entreprises développent, mettent en œuvre et maintiennent des garanties raisonnables pour protéger la sécurité, la confidentialité et l'intégrité des informations privées

Quels types de violations de la sécurité sont couverts par cette loi ?

En vertu de la loi de 2005, une atteinte à la sécurité est définie comme une acquisition non autorisée de données informatisées qui compromet la sécurité, la confidentialité ou l'intégrité d'informations privées. La loi SHIELD élargit la définition d'une atteinte à la sécurité à tout accès "" à des données informatisées qui compromet la confidentialité, la sécurité ou l'intégrité de données privées.

En quoi consistent les informations privées ?

En vertu de la loi de 2005, les informations privées sont toutes les informations personnelles concernant une personne physique en combinaison avec un ou plusieurs des éléments de données suivants en combinaison avec tout code de sécurité requis :

  • Numéro de sécurité sociale
  • numéro de permis de conduire
  • Numéro de compte

La loi SHIELD étend la loi aux informations biométriques, au nom d'utilisateur ou à l'adresse électronique, ainsi qu'au mot de passe.

Quelles sont les garanties prévues par la loi SHIELD ?

La loi SHIELD impose à toute personne ou entreprise qui conserve des informations privées d'adopter des mesures de protection administratives, techniques et physiques. La loi énumère certaines mesures de protection, mais la liste n'est pas exhaustive.

Les garanties administratives raisonnables comprennent

  • la désignation d'un ou plusieurs employés chargés de coordonner le programme de sécurité
  • l'identification des risques internes et externes raisonnablement prévisibles
  • évaluer l'adéquation des mesures de sauvegarde mises en place pour contrôler les risques identifiés
  • former et gérer les employés aux pratiques et procédures du programme de sûreté
  • sélectionner des prestataires de services capables de maintenir des garanties appropriées et exiger ces garanties par contrat
  • adapter le programme de sécurité en fonction de l'évolution de l'activité ou de nouvelles circonstances

Les garanties techniques raisonnables comprennent

  • l'évaluation des risques dans la conception des réseaux et des logiciels
  • l'évaluation des risques liés au traitement, à la transmission et au stockage des informations
  • la détection, la prévention et la réponse aux attaques ou aux défaillances du système
  • tester et surveiller régulièrement l'efficacité des contrôles, systèmes et procédures clés

Les mesures de protection physique raisonnables comprennent

  • évaluer les risques liés au stockage et à l'élimination des informations
  • la détection, la prévention et la réponse aux intrusions
  • la protection contre l'accès non autorisé ou l'utilisation d'informations privées pendant ou après la collecte, le transport, la destruction ou l'élimination des informations
  • éliminer les informations privées dans un délai raisonnable après qu'elles ne sont plus nécessaires à des fins professionnelles, en effaçant les supports électroniques de manière à ce que les informations ne puissent pas être lues ou reconstituées

Quelles sont les obligations des entreprises lorsqu'une violation se produit ?

La loi exige que la personne ou l'entreprise informe les consommateurs concernés après avoir découvert une faille dans la sécurité de son système de données informatiques qui affecte des informations privées. La divulgation doit être faite le plus rapidement possible, en tenant compte des besoins légitimes des organismes chargés de l'application de la loi. Bien que la loi exige que le bureau du procureur général de l'État de New York (OAG), le département d'État de New York et la police de l'État de New York soient informés du moment, du contenu et de la distribution des notifications, ainsi que du nombre approximatif de personnes concernées, la soumission d'un formulaire de notification de violation via le portail de notification de violation de données de l'OAG est suffisante, car les informations sont automatiquement envoyées aux trois entités d'évaluation du crédit énumérées ci-dessous.

EQUIFAX

Boîte postale 105788
Atlanta GA 30348
1-800-349-9960
www.equifax.com

EXPERIAN

Assistance à la fraude à la consommation
P.O. Box 9554
Allen TX 75013
1-888-397-3742
www.experian.com

TRANSUNION

Boîte postale 2000
Chester PA 19016-2000
1-800-909-8872
www.transunion.com

Si vous êtes un consommateur affecté par une violation, déposez une plainte. N'envoyez pas de notification de violation.

Y a-t-il des exceptions aux exigences de notification ?

La loi prévoit également une notification de substitution aux consommateurs si l'entreprise démontre au bureau du procureur général de l'État de New York que :

  • le coût de l'envoi d'un avis régulier dépasserait 250 000 dollars
  • le nombre de personnes concernées est supérieur à 500 000
  • l'entité ou l'entreprise ne dispose pas d'informations de contact suffisantes

Lorsqu'un avis de substitution est utilisé, il doit comprendre tous les éléments suivants, selon le cas :

  • Avis par courrier électronique
  • affichage visible sur le site web de l'entité
  • notification aux médias nationaux

En outre, la loi n'exige pas que le consommateur soit informé si :

  • la divulgation d'informations privées a été faite par inadvertance par des personnes autorisées à accéder à des informations privées
  • la personne ou l'entreprise détermine raisonnablement que cette exposition ne risque pas d'entraîner une utilisation abusive de ces informations ou un préjudice financier pour les personnes concernées, ou un préjudice émotionnel dans le cas d'une divulgation inconnue d'informations d'identification en ligne

Cette décision doit être consignée par écrit et conservée pendant au moins cinq ans. Si l'incident affecte plus de 500 résidents de New York, la personne ou l'entreprise doit fournir la décision écrite à l'Attorney General dans les 10 jours suivant la décision.

Quelles sont les peines encourues en cas de violation de la loi SHIELD ?

En vertu de la loi SHIELD, le procureur général peut demander une injonction, une restitution et des pénalités à l'encontre de toute entité commerciale qui enfreint la loi. En cas de manquement à l'obligation de notification en temps utile, le tribunal peut imposer une amende civile d'un montant maximal de 20 dollars par cas de manquement à l'obligation de notification, sans dépasser 250 000 dollars. En cas de manquement à l'obligation de maintenir des garanties raisonnables, le tribunal peut imposer une amende civile allant jusqu'à 5 000 dollars par infraction.