Le GDPR, le HIPAA et le CCPA comptent parmi les lois les plus influentes et les plus discutées dans le secteur de la protection de la vie privée, mais il existe bien sûr des différences importantes entre elles. Une des différences les plus évidentes est que le GDPR est une réglementation de l'UE alors que l'HIPAA et la CCPA sont des lois américaines. Plus précisément, la HIPAA est une loi fédérale tandis que la CCPA est une loi de l'État de Californie. Mais les différences sont plus profondes que cela.
- Sur quoi portent ces lois ?
- Quel est le champ d'application de ces lois ?
- À qui s'appliquent le GDPR, le CCPA et le HIPAA ?
- Comment ces lois sont-elles appliquées ?
- Comment ces lois protègent-elles les données à caractère personnel ?
- Comment ces lois protègent-elles les informations sensibles ?
- Ces lois prévalent-elles sur d'autres lois ?
- Conclusions
Sur quoi portent ces lois ?
Le GDPR est le plus simple à expliquer : il s'agit d'une loi sur la protection de la vie privée, pure et simple. La CCPA se situe quelque part entre la loi sur la protection de la vie privée et la loi sur la protection des consommateurs, c'est pourquoi elle se concentre principalement sur les entreprises.
Quant à l'HIPAA, il s'agit d'une loi relative au secteur médical qui ne s'applique qu'aux prestataires de soins de santé et aux entités qui travaillent avec eux. Contrairement au GDPR et au CCPA, la HIPAA couvre bien plus que la protection de la vie privée : il s'agit d'une législation sectorielle qui comprend des normes de sécurité, des exigences administratives, etc.
Quel est le champ d'application de ces lois ?
Le GDPR a le champ d'application le plus large des trois, car il couvre tous les traitements de données à caractère personnel, à quelques exceptions près - par exemple, les enquêtes criminelles sont couvertes par une autre loi européenne (la directive relative à l'application des lois). Le GDPR ne couvre pas non plus la défense nationale, car cette question ne relève pas du mandat de l'UE.
Le CCPA ne s'applique qu'aux informations personnelles des consommateurs, ce qui explique qu'il ne s'applique généralement qu'aux entreprises.
Enfin, l'HIPAA ne s'applique qu'aux informations de santé protégées (PHI). Les ISP sont une notion complexe : le fait que des données soient ou non des ISP dépend non seulement de la nature des données, mais aussi de la personne qui les contrôle. Pour plus d'informations sur la notion de RPS, n'hésitez pas à consulter notre blog.
À qui s'appliquent le GDPR, le CCPA et le HIPAA ?
Le GDPR a une portée générale et s'applique à presque tout le monde, bien qu'il contienne une exemption domestique pour les activités de nature purement personnelle. Vous n'avez donc pas à vous préoccuper du GDPR lorsque vous publiez des informations sur votre page d'accueil Facebook, mais vous devez vous en préoccuper lorsque vous publiez des informations sur le profil ou la page d'accueil de votre entreprise.
Le CCPA ne s'applique qu'à certaines entreprises. Il s'agit des entreprises suivantes
- les entreprises dont le revenu annuel brut est égal ou supérieur à 25 millions de dollars
- les entreprises qui achètent, vendent ou partagent les informations personnelles de 100 000 résidents, ménages ou appareils californiens ou plus
- les entreprises qui tirent la moitié ou plus de leur chiffre d'affaires de la vente d'informations personnelles de résidents californiens.
En d'autres termes, il s'agit soit de grandes entreprises, soit de petites entreprises qui traitent beaucoup d'informations personnelles. La charcuterie d'à côté n'a probablement pas besoin de se préoccuper de la CCPA, mais une chaîne de supermarchés pourrait en avoir besoin, et les courtiers en données en ont certainement besoin.
Les organisations à but non lucratif sont généralement exemptées de la CCPA, bien qu'il puisse y avoir des exceptions lorsque la propriété et la marque d'une organisation à but non lucratif peuvent être liées à une entreprise.
Quant à la loi HIPAA, elle s'applique aux entités impliquées dans les soins de santé (hôpitaux, praticiens, assureurs, etc.). Elle s'applique également aux entreprises qui travaillent avec elles (associés commerciaux), à condition qu'elles collectent des informations personnelles.
Les règles relatives au champ d'application de la HIPAA sont assez complexes, il s'agit donc d'une simplification grossière. Pour plus d'informations, consultez notre blog sur le champ d'application de la HIPAA ou le site web du NHS.
Comment ces lois sont-elles appliquées ?
Le GDPR est appliqué à la fois par les tribunaux et par les autorités de protection des données (DPA). Les deux jouent des rôles légèrement différents : en règle générale, les tribunaux accordent des dommages-intérêts, tandis que les autorités de protection des données imposent des amendes.
D'un point de vue pratique, les autorités chargées de la protection des données manquent souvent de personnel, ce qui tend à constituer un goulot d'étranglement pour l'application du GDPR. Le système de traitement des affaires transfrontalières dans l'UE est également lent et parfois désordonné en raison des différences de règles procédurales entre les États membres (un problème que l'UE s'efforce de résoudre).
Jusqu'à présent, c'est l'avocat général de Californie qui s'est chargé de l'application de la loi sur la protection des données. En 2024, l'Avocat général sera rejoint par l'Agence californienne de protection de la vie privée (CPPA - oui, les acronymes prêtent à confusion !).
La loi HIPAA est appliquée par l'Office des droits civils des services de santé et des services sociaux.
Comment ces lois protègent-elles les données à caractère personnel ?
Le GDPR et le CCPA concernent tous deux essentiellement ce qui peut et ne peut pas être fait avec des données, mais les deux lois adoptent des approches différentes.
Le GDPR fixe des règles strictes pour le traitement des données personnelles. Les données personnelles ne peuvent être collectées et traitées que sur une base légale spécifique, et quiconque contrôle les données est soumis à certaines obligations générales.
Un mythe répandu veut que le GDPR exige toujours le consentement. En réalité, le GDPR exige toujours une base légale, et le consentement n'est pas la seule option. Mais il y a une part de vérité dans ce mythe, de même que des cas spécifiques où le consentement est la seule option viable.
Le CCPA fixe également des règles pour le traitement des informations personnelles des consommateurs, mais elles sont un peu plus laxistes. Les entreprises n'ont pas besoin de consentement ou de base juridique pour collecter des informations personnelles, mais elles doivent offrir aux consommateurs la possibilité de refuser la vente et le partage de leurs informations personnelles et de restreindre l'utilisation d'informations sensibles. Dans l'ensemble, la CCPA est moins prescriptive que le GDPR et s'appuie davantage sur des systèmes d'opt-out.
Quant à l'HIPAA, ses principaux principes en matière de protection de la vie privée sont énoncés dans la règle sur la protection de la vie privée (Privacy Rule). Selon cette règle, certaines divulgations d'informations sanitaires protégées ne peuvent avoir lieu qu'avec le consentement écrit du patient, tandis que d'autres ne le peuvent pas. La CCPA autorise la divulgation sans consentement lorsqu'elle est strictement nécessaire au fonctionnement du système de santé : par exemple, la transmission des antécédents médicaux d'un patient à son nouvel hôpital, ou la divulgation des frais médicaux à son assureur à des fins de facturation.
Le règlement sur la protection de la vie privée s'applique également aux associés commerciaux et limite ce qu'ils peuvent faire avec les PHI.
Comment ces lois protègent-elles les informations sensibles ?
Le GDPR et le CCPA protègent tous deux les informations sensibles, mais ils les définissent en des termes différents et les protègent de manière différente.
Selon le GDPR, les données sensibles sont celles dont on ne veut pas qu'elles fassent l'objet d'abus ou qu'elles tombent entre de mauvaises mains : les données relatives à la religion, à la santé, à la vie sexuelle, à l'appartenance politique, à l'origine ethnique, etc. Ces données ne peuvent être traitées que dans des scénarios spécifiques énumérés par le GDPR - en dehors de ces scénarios, elles ne peuvent être touchées.
La notion de données sensibles au sens du CCPA est quelque peu similaire, mais elle inclut également des données couramment utilisées pour la fraude, telles que les numéros de sécurité sociale et les informations d'identification des comptes bancaires.
Contrairement au GDPR, le CCPA n'exige pas de raison spécifique pour collecter ces données. Toutefois, les entreprises doivent offrir au consommateur la possibilité de limiter l'utilisation et la divulgation d'informations sensibles à ce qui est strictement requis, de la même manière qu'elles doivent permettre de s'opposer à la vente et au partage d'informations personnelles.
L'HIPAA ne prévoit pas de règles spécifiques pour les données sensibles. C'est logique : pratiquement tout ce qui est couvert par l'HIPAA serait considéré comme des données sensibles dans la plupart des législations.
Les données de santé collectées en dehors du secteur des soins de santé ne bénéficient que d'une protection limitée, voire inexistante, car** elles n'entrent pas dans le champ d'application de la loi HIPAA**. Comme il n'existe pas de loi fédérale américaine sur la protection des données, les entreprises sont libres de faire plus ou moins ce qu'elles veulent avec ces données, à moins que la législation de l'État ne le leur interdise.
Il s'agit là d'un énorme problème de protection de la vie privée, en particulier pour les femmes. L'année dernière, la Cour suprême des États-Unis, à majorité républicaine, a levé une interdiction de plusieurs décennies sur la législation anti-avortement avec l'arrêt Dobbs v. Jackson. À la suite de l'interdiction législative de l'avortement dans les États conservateurs, les femmes qui recherchent des soins reproductifs sont poursuivies sur la base de leur empreinte numérique - et l'accès facile aux données de santé rend l'application de la loi trop aisée.
Ces lois prévalent-elles sur d'autres lois ?
En général, le GDPR s'applique directement et l'emporte sur les lois des États membres. Toutefois, certains articles laissent une certaine marge de manœuvre à la législation des États membres pour ajouter des garanties supplémentaires.
En règle générale, la loi HIPAA l'emporte sur les lois des États, à moins qu'elles ne prévoient des mesures de protection de la vie privée plus strictes. Les règles de préemption de la HIPAA étant complexes, il convient de se référer au site web du NHS pour plus de détails.
Conclusions
Le GDPR, le CCPA et le HIPAA sont des lois importantes mais très différentes. Nous espérons que cet article a donné à nos lecteurs une idée plus claire de ces lois et de leur objectif.
Nous aimons écrire sur la protection de la vie privée parce que nous pensons qu'elle est importante. C'est également la raison pour laquelle nous avons fait de la protection de la vie privée la pierre angulaire de Simple Analytics. Simple Analytics ne collecte pas de données personnelles, ne suit pas les visiteurs et ne viole en aucun cas leur vie privée, tout en fournissant au client toutes les informations dont il a besoin ! Si cela vous convient, n'hésitez pas à nous essayer !