EXCLUSIVITÉ DRONELIFE: Une nouvelle Loi Californienne sur la protection de la vie privée pourrait tout changer pour les opérateurs de drones aux États–Unis.

Une nouvelle loi californienne sur la protection de la vie privée pourrait tout changer pour les opérateurs de drones dans l’État – et pourrait être utilisée comme modèle à travers le pays.

Ce qui suit est un article publié par des avocats du cabinet d’avocats Mintz, Levin, Cohn, Ferris, Glovsky et Popeo, P.C. Cet article a été écrit par Cynthia Larose, Laura Stefani, Jonathan Markman et Elana R. Safner.

Les Opérateurs de Drones Font face à un Nouveau Défi: Le CCPA

C’est 2020, et la boule de cristal n’est pas la seule chose qui est tombée. Le 1er janvier a marqué le début d’une nouvelle année, d’une nouvelle décennie et de la mise en œuvre du California Consumer Privacy Act de 2018 (« CCPA »). Alors que les entreprises qui collectent et traitent plus traditionnellement des informations personnelles (« IP ») se préparent à la date de mise en œuvre de l’ACCP, de nombreuses autres entreprises qui ne collectent des IP qu’incidemment peuvent se retrouver prises au piège par la portée étendue de la loi sur la confidentialité des données la plus étendue du pays.

Où cela laisse-t-il des entreprises comme les opérateurs de drones qui ne créent et ne stockent que accidentellement des images de caméras avec des informations personnelles telles que des images de visages dans le cadre de la réalisation de leur objectif commercial? Que se passe-t-il si ces entreprises ne font jamais aucun effort pour identifier ces informations personnelles? Comme l’explique cet article, ces entreprises ne sont pas entièrement exemptées de la conformité à la CCPA et doivent examiner attentivement leurs pratiques commerciales et les prochaines étapes pour se conformer.

Ce problème se pose parce que l’ACCP définit très largement les  » renseignements personnels « , alors que les exceptions à la définition – telles que les renseignements accessibles au public et les renseignements anonymisés – sont définies de manière assez étroite. Ces choix délibérés de la législature californienne font de la CCPA la loi américaine sur la protection de la vie privée la plus étendue à ce jour. Ils attribuent également des obligations à des entreprises et à des fournisseurs de services définis qui se livrent à des pratiques commerciales – telles que la collecte accidentelle d’images de visages – qui n’avaient généralement pas été touchées par d’autres lois sur la protection de la vie privée aux États-Unis. Cet article expose les questions à considérer et un ensemble de mesures à prendre pour que ces entreprises travaillent à la conformité à l’ACCP.

Pourquoi les Opérateurs de drones devraient-ils être concernés ?

Le CCPA s’applique à une gamme de données étonnamment large. Une idée fausse au sujet de l’ACCP est qu’elle ne s’applique que dans le contexte de la collecte directe de renseignements personnels auprès des consommateurs au moyen de méthodes telles que les achats en ligne, les historiques de recherche, les témoins et d’autres préférences comportementales. En réalité, la définition de l’IP de l’ACCP jette un filet beaucoup plus large. Elle s’applique également aux PI collectées en ligne et hors ligne.

En vertu de l’ACCP, les  » renseignements personnels  » sont définis comme des  » renseignements qui identifient, se rapportent, décrivent, peuvent raisonnablement être associés ou pourraient raisonnablement être liés, directement ou indirectement, à un consommateur ou à un ménage particulier. »Cela inclut, entre autres, des informations biométriques telles que des visages capturés par des drones, des caméras de surveillance et d’autres moyens d’enregistrement vidéo. Les « informations personnelles » excluent spécifiquement les informations accessibles au public. On pourrait raisonnablement penser que la présence et le visage d’une personne à l’extérieur ou sur une propriété publique pourraient être considérés comme accessibles au public. L’ACCP adopte toutefois une position différente. Il précise :  » « ublicly available » ne signifie pas des informations biométriques collectées par une entreprise sur un consommateur à l’insu de ce dernier. »Cela signifie que les photos et les vidéos – ainsi que les données audio, thermiques, olfactives et autres – entrent dans la définition des informations personnelles. Il est important de noter que l’IP collectée par vidéo n’a pas à être réellement liée par l’entreprise au consommateur, seulement raisonnablement capable d’être liée « directement ou indirectement ».

Mais Nous N’Identifions pas les Données !

Les définitions de ces termes soulèvent de nombreuses questions sur la façon dont l’ACCP sera appliquée dans certains contextes. Bien que les informations accessibles au public soient exemptées de la définition des informations personnelles, nous constatons que cela n’épargne pas nécessairement les opérateurs de drones de la conformité à l’ACCP, comme décrit ci-dessus. L’ACCP exempte également les renseignements dépersonnalisés. Cela évitera-t-il sûrement aux entreprises de drones et autres collectionneurs de séquences vidéo accessoires des obligations de l’ACCP? Après tout, ces entreprises ne relient pas les visages qu’elles ont collectés à des personnes réelles, et encore moins tentent de créer tout type de profil comportemental basé sur ces informations.

La législature californienne a examiné – et n’a pas adopté – un amendement (AB-873) qui aurait résolu ce problème. Cela est probablement dû au fait que l’ACCP visait en partie à réduire le risque que, même si l’entreprise qui collecte l’IP ne cherche pas à l’identifier, l’IP puisse être violée et ré-identifiée à l’aide d’un ensemble de données externe. AB-873 aurait répondu aux préoccupations opérationnelles des entreprises telles que les sociétés de drones qui collectent des PI incidemment, plutôt que intentionnellement dans le cours normal des affaires. Les renseignements dépersonnalisés ne sont pas considérés comme des renseignements personnels en vertu de l’ACCP, et AB-873 aurait élargi la définition de  » dépersonnalisé  » pour inclure tout renseignement qui  » ne permet pas d’identifier un consommateur et n’est pas raisonnablement lié « . Le législateur a finalement restreint la définition de « renseignements personnels » pour n’inclure que des renseignements « raisonnablement » susceptibles d’être associés à un consommateur ou à un ménage, ce qui donne aux entreprises de drones et à celles qui se trouvent dans une situation similaire une raison d’optimisme. Ils pourront peut-être faire valoir que les mesures qu’ils ou d’autres entreprises devraient prendre pour lier réellement leurs informations ne sont pas raisonnables. On ne sait pas, cependant, ce que les tribunaux interprétant la loi considéreront comme « raisonnable. » Il est possible que nous devions nous appuyer sur des mesures d’application de la loi pour interpréter la portée du caractère raisonnable. »Avec des bases de données de reconnaissance faciale robustes maintenant largement disponibles, un argument pourrait être avancé de toute façon.

L’ACCP soulève de nombreuses autres questions. Par exemple, un drone volant à l’altitude légalement autorisée peut-il réellement capturer des images raisonnablement identifiables de visages? Cela compte-t-il si la vidéo doit être zoomée pour que les visages soient raisonnablement liés aux individus? Un consommateur « a–t–il connaissance » de la collecte de séquences vidéo ou d’informations biométriques – rendant ainsi les informations  » accessibles au public » et en dehors de l’ACCP – si une entreprise affiche des panneaux indiquant que des séquences vidéo et / ou de la surveillance sont collectées dans une zone? Dans l’affirmative, combien de signes et où doivent-ils être affichés pour imputer la connaissance?

Et alors ?

Le CCPA accorde aux consommateurs divers droits concernant leurs IP détenus par les entreprises, notamment un droit de se retirer de la vente des IP, un droit de connaître les IP qui ont été collectées à leur sujet, un droit à la portabilité des données, un droit de demander la suppression des informations personnelles, et un droit à la non-discrimination pour avoir exercé leurs droits en vertu de la loi. En plus de nombreuses exigences sur la manière dont les consommateurs doivent être informés de ces droits par le biais d’avis de confidentialité, les entreprises seront également confrontées au défi de créer des processus métier pour se conformer à ces demandes lorsqu’elles les recevront.

Ces défis sont particulièrement aigus pour les entreprises telles que les opérateurs de drones, qui ne traitent pas le type d’information que l’ACCP considère comme PI en premier lieu. Fait significatif, le récent projet de règlement du procureur général de Californie sur la CCPA a précisé que « si une entreprise conserve des informations sur les consommateurs qui sont anonymisées, une entreprise n’est pas obligée de fournir ou de supprimer ces informations en réponse à une demande de consommateur ou de réidentifier des données individuelles pour vérifier une demande de consommateur. »Les entreprises devraient éviter de collecter de nouvelles informations personnelles, à moins que cela ne soit nécessaire pour vérifier les demandes des clients. Cela pourrait étayer les arguments des entreprises de drone ou de surveillance selon lesquels elles ne peuvent tout simplement pas satisfaire le droit des clients de savoir ou de supprimer les demandes parce qu’elles ne peuvent pas vérifier l’identité du demandeur ou ré-identifier leurs images sans obtenir de nouvelles IP. Il s’agit d’une question ouverte pour laquelle il n’y a actuellement aucune réponse claire en vertu de l’ACCP, et il n’est pas clair si les données faciales non floues seront considérées comme dépersonnalisées.

Mesures à prendre

Donnant un aperçu de l’application prévue de la loi en Californie, le procureur général Xavier Becerra a déclaré: « nous examinerons avec bienveillance ceux qui. . . démontrer un effort pour se conformer. »Cela signifie que même si les entreprises ne sont pas raisonnablement en mesure de satisfaire toutes les demandes des consommateurs, elles doivent tout de même faire tout leur possible pour se conformer aux autres parties de la loi.

Pour se préparer à la mise en œuvre de l’ACCP, les entreprises de surveillance et de drones devraient:

• Mettre à jour leurs politiques de confidentialité pour expliquer leurs processus, leurs droits des clients, la collecte accidentelle d’informations personnelles et d’autres utilisations de données en « anglais clair »
• Réviser leurs politiques de confidentialité pour informer les clients qu’ils ne vendent pas d’informations personnelles (si, en fait, ils ne le font pas)
• Revoir les objectifs commerciaux de leur collecte d’informations personnelles et s’assurer que leur politique de conservation ne dure pas plus longtemps que nécessaire à ces fins
• Dépersonnaliser autant de données que les objectifs commerciaux le permettent, y compris brouiller les visages chaque fois que possible.Cela comprend:
  • mettre en œuvre des mesures de protection techniques qui interdisent la réidentification du consommateur auquel les informations peuvent se rapporter,
  • mettre en œuvre des processus opérationnels qui interdisent spécifiquement la réidentification des informations,
  • mettre en œuvre des processus opérationnels pour empêcher la divulgation par inadvertance d’informations dépersonnalisées, et
  • ne pas tenter de réidentifier les informations.
• S’ils sont des fournisseurs de services, examinez leurs accords avec leurs clients professionnels
• Mettre en œuvre des processus permettant aux clients de déposer des demandes et d’exercer leurs droits en vertu de la loi
• Si certaines demandes, ou catégories de demandes, ne peuvent pas être satisfaites en raison de la nature de la collecte de données de l’entreprise, déterminez comment celles-ci seront traitées. Les demandes ne peuvent pas simplement être ignorées!

Quelle est la prochaine étape ?

La transition ne semble pas se faire sans heurts. En raison de la vaste portée de la loi et des nombreuses questions qu’elle laisse sans réponse, de nombreuses entreprises ne réalisent probablement même pas que la loi s’appliquera à elles. Une enquête publiée en novembre par Osterman Research and Egress Software Technologies a révélé que seulement 48% des entreprises ont déclaré qu’elles seraient conformes d’ici la fin de 2019. Mais avec des pénalités potentielles pouvant aller jusqu’à 2 500 $ par violation ou 7 500 per par violation intentionnelle, les entreprises non préparées prennent un risque commercial important. Le procureur général Becerra n’imposera aucune pénalité en vertu de l’ACCP avant le 1er juillet 2020, ce qui donne aux entreprises un délai supplémentaire de six mois pour s’adapter aux nouvelles exigences. Mais si des violations importantes se sont produites au cours de cette période de six mois, l’AG conserve son pouvoir discrétionnaire de « revenir en arrière. »Offrant aux entreprises un autre petit point de réconfort, la CCPA n’autorise un droit d’action privé que pour les violations impliquant les IP non expurgées et non cryptées des consommateurs californiens, pas pour d’autres violations de la CCPA.

De nombreuses entreprises citent les nombreuses zones grises et le manque de clarté comme un obstacle majeur à la conformité. Le règlement publié par le bureau de l’AG a clarifié certaines questions, mais de nombreuses questions concernant la mise en œuvre de l’ACCP restent non résolues. Le bureau de l’AG examine actuellement les commentaires du public qu’il a reçus sur son projet de règlement, mais il semble probable que les questions sans réponse de la loi seront résolues par des mesures d’application, des litiges ou éventuellement des clarifications législatives bien après l’entrée en vigueur de la loi. Cela signifie que les entreprises devront trouver une ligne de mire et s’envoler dans le brouillard.

Les représentants suivants de Mintz, Levin, Cohn, Ferris, Glovsky et Popeo, P.C. sont les auteurs de cet article.

Cynthia Larose est Présidente de la Pratique de cybersécurité de Mintz &, une Professionnelle Certifiée de la Confidentialité des Informations – États-Unis (CIPP-États-Unis) et une Professionnelle Certifiée de la Confidentialité des Informations – Europe (CIPP-E). Elle travaille avec des clients de divers secteurs pour développer des programmes complets de sécurité de l’information sur le front end, et fournit des conseils en temps opportun lorsqu’il devient nécessaire de réagir à une violation de données.

Laura Stefani conseille des clients cherchant à commercialiser de nouvelles technologies sans fil sur des questions réglementaires. Ses domaines d’intérêt incluent les technologies sans fil sans licence et sous licence, les aéronefs sans pilote, les satellites, les dispositifs médicaux et l’Internet des objets.

Jonathan Markman se concentre sur les technologies sans fil et émergentes, avec un accent particulier sur les drones (communément appelés drones) et le spectre sans fil. Il a de l’expérience des procédures et des règlements de la FCC et de la FAA, des plaintes formelles et informelles et des enquêtes de la FCC, ainsi que du dépôt et de la poursuite des demandes auprès de la FCC et de la FAA.

Elana Safner (CIPP-US) conseille ses clients sur des questions de politique publique, de réglementation et de litiges touchant le secteur TechComm, ainsi que sur des questions de confidentialité et de cybersécurité. Elle a également de l’expérience avec les procédures et les règlements de FAC.