Deux projets de loi fédéraux COVID-19 sur la protection de la vie privée: un bon départ et un faux pas

COVID-19 et les efforts de confinement qui reposent sur des données personnelles mettent en lumière un problème de longue date: le manque de lois suffisantes dans notre pays pour protéger la confidentialité des données. Deux projets de loi soumis au Congrès tentent de résoudre ce problème concernant les données COVID-19. L'un est un bon début qui nécessite des améliorations. L'autre est un faux pas auquel l'EFF s'oppose fortement.

La Public Health Emergency Privacy Act (PHEPA) a été présentée par les sénateurs américains Richard Blumenthal et Mark Warner, et les représentants américains Anna Eshoo, Jan Schakowsky et Suzan DelBene. Il comporte certains éléments majeurs que les défenseurs de la vie privée ont réclamés. Il nécessite un consentement préalable et une minimisation des données, et limite la divulgation des données au gouvernement. Il dispose d'un droit d'action privé solide et ne préjuge pas les lois des États. Et cela interdit le refus du droit de vote aux personnes qui refusent de participer aux programmes de suivi. Mais il ne protège pas ces personnes contre la discrimination dans l'accès à l'emploi, aux logements publics ou aux avantages sociaux du gouvernement. En outre, il dispose d'exemptions trop larges pour la recherche manuelle des contacts, la recherche en santé publique, les autorités de santé publique et les entités réglementées par la loi fédérale sur la transférabilité et la responsabilité en matière d'assurance maladie (HIPAA).

Le COVID-19 Consumer Data Protection Act (CCDPA) a été présenté par les sénateurs américains Roger Wicker, Jim Thune, Jerry Moran et Marsha Blackburn. Il prévaut les lois des États, n'a aucun droit d'action privé et exempte un large éventail de surveillance par les employeurs. C'est un non-starter.

Réponses à COVID-19 Burden Our Data Privacy

La façon dont les entreprises et les gouvernements utilisent nos données pour répondre à la crise du COVID-19 illustre notre manque de lois sur la confidentialité des données. Les gouvernements s'associent avec des entreprises pour créer des sites Web sur lesquels nous fournissons nos informations de santé et autres pour obtenir le dépistage des tests et traitements COVID-19. Les États procèdent à la recherche manuelle des contacts, souvent en passant des contrats avec des entreprises pour construire de nouveaux systèmes de gestion des données . Les autorités de santé publique nous encouragent à télécharger des applications de suivi de proximité . Certaines de ces applications suivent également notre emplacement , ce que l' EFF s'oppose à l' art .

Il existe de nombreuses façons de mal utiliser nos données COVID. Certains restaurants collectent les coordonnées des clients pour les informer plus tard de tout risque d'infection; de manière inquiétante mais sans surprise , un employé du restaurant a utilisé les informations d'un client pour lui envoyer plusieurs messages de harcèlement . Les entreprises peuvent détourner nos données COVID vers la publicité. Les agences de santé publique peuvent partager nos données COVID avec la police ou d' autres agences. Toutes ces données peuvent être volées en identifiant des voleurs, des harceleurs et des nations étrangères.

Nous avons besoin d'une loi complète sur la confidentialité…

Les lois américaines existantes ne nous protègent pas suffisamment contre l'utilisation abusive des données liées à COVID. Par exemple, les protections HIPAA des données de santé ne s'appliquent qu'aux prestataires de soins de santé étroitement définis et à leurs associés. Les lois les plus strictes de l'État en matière de confidentialité des données ne s'appliquent qu'à certains types de données (comme la loi biométrique sur la confidentialité de l' Illinois ), aux processeurs de données (comme la loi sur l'enregistrement des courtiers de données du Vermont ) ou à la protection des données (comme les droits d'accès, de suppression et de désactivation de la Californie). la vente de données).

Nous avons donc besoin d'une loi fédérale solide et complète sur la confidentialité des données des consommateurs. L'EFF a trois priorités principales pour une loi fédérale sur la confidentialité : pas de préemption fédérale des lois des États sur la confidentialité des données; une application stricte en donnant aux consommateurs un droit d'action privé contre les entreprises qui violent les règles de confidentialité; et une interdiction de discrimination à l' encontre des consommateurs qui exercent leur droit à la vie privée. Une telle législation doit également exiger le consentement préalable avant le traitement des données et la minimisation du traitement des données à ce qui est nécessaire pour une entreprise de donner au consommateur ce qu'il a demandé.

Ainsi, il y a beaucoup à aimer à propos de la Consumer Online Privacy Rights Act introduite l'année dernière par les sénateurs américains Maria Cantwell, Brian Schatz, Amy Klobuchar et Edward Markey. Bien que ce projet de loi doive être renforcé, une telle loi ferait beaucoup pour protéger nos données liées aux COVID.

… Ou au moins une loi COVID-19 sur la confidentialité

Si notre pays n'a actuellement pas la volonté politique de promulguer une loi complète sur la confidentialité des données des consommateurs, nous avons au moins besoin d'une loi spécifique au COVID. Pour les raisons ci-dessus, il faudrait un consentement préalable, une minimisation des données, un droit d'action privé, aucune préemption et des protections pour empêcher la discrimination contre les personnes qui ne consentent pas.

La non-discrimination revêt ici une urgence particulière. Il n'y a pas seulement un risque qu'un gouvernement ou une entité commerciale traite les données d'une personne ou leur fasse utiliser une application de suivi sans leur consentement. Il existe également un risque de refus des avantages et de l'accès aux personnes qui refusent de partager leurs données ou d'utiliser une application. Par exemple, si une personne refuse de télécharger une application de suivi, un employeur peut refuser l' accès au lieu de travail , un restaurant peut refuser le service à table ou un organisme gouvernemental peut refuser un avantage. Mais toute utilisation de ces applications doit être vraiment volontaire .

Il est également important de restreindre le flux de données personnelles vers le gouvernement. L'épidémie a incité de nouvelles institutions et de nouvelles technologies à recueillir de nouveaux types de données sur nous. L'histoire montre que les gouvernements ne donnent généralement pas de pouvoirs d'urgence .

PHEPA est un bon début…

La PHEPA s'applique largement aux données qui sont raisonnablement liées à une personne ou à un appareil et qui concernent COVID-19. Il comprend expressément les données de santé (telles que les résultats des tests médicaux) et les données de suivi des épidémies (telles que l'emplacement, la proximité ou toutes les données collectées par un appareil personnel). Le projet de loi s'étend aux entités gouvernementales et privées qui traitent électroniquement les données couvertes ou qui développent des sites Web ou des applications mobiles à des fins COVID-19.

Le projet de loi prévoit d'importantes protections de la vie privée COVID-19. Une entité couverte:

• Ne traitera pas les données couvertes sans le consentement préalable du sujet (à certaines exceptions près).
• Pratiquer la minimisation des données, en traitant uniquement les données comme «nécessaires, proportionnées et limitées à des fins de santé publique de bonne foi».
• Ne doit pas divulguer les données couvertes au gouvernement, sauf à une autorité de santé publique, et uniquement dans un but de santé publique de bonne foi.
• Ne doit pas utiliser les données couvertes pour les annonces commerciales.
• Doit permettre aux gens de corriger les données inexactes les concernant.
• Doit publier une politique de confidentialité et (pour les grandes entités) des rapports trimestriels.
• Doit prendre des mesures raisonnables pour sécuriser les données couvertes.

Le projet de loi interdit le déni du droit de vote en raison des données couvertes d'une personne, de son état de santé ou de sa non-participation à un programme de collecte de données couvertes. Cela donnerait une certaine protection aux personnes qui refusent de télécharger une application de suivi. Il offre un droit d'action privé solide, en plus de l'application par la Federal Trade Commission (FTC) et les procureurs généraux des États. Il prévoit explicitement que les lois des États ne sont pas anticipées.

En bref, il y a beaucoup à aimer ici, y compris le consentement opt-in, la minimisation des données, un droit d'action privé, aucune préemption, aucune discrimination dans les droits de vote, etc. Nous apprécions le leadership de Sens. Blumenthal et Warner, et des représentants Schakowsky et DelBene.

… Et il y a place à amélioration

Nous suggérons respectueusement les modifications suivantes au renforcement de la LPFP.

Premièrement, il devrait interdire la discrimination à l'encontre des personnes qui refusent d'utiliser une application de suivi COVID-19, notamment en leur refusant un emploi, des études, des logements publics ou des avantages sociaux. Une telle discrimination – et la pression qui en résulte pour télécharger une application de suivi – est une menace urgente pour la vie privée. Le projet de loi prend un bon départ: il interdirait le refus du droit de vote à une personne qui ne participerait pas à un programme de suivi COVID-19. Mais plus de protections sont nécessaires.

Deuxièmement, le projet de loi prévoit de larges exemptions qui devraient être supprimées ou fortement limitées:

• Il exempte les programmes de recherche manuelle des contacts. Mais ceux-ci amasseront de vastes trésors de données personnelles. Et ces données seront détenues par les sociétés privées qui concluent un contrat avec les États pour entreprendre la recherche des contacts.
• Il exempte la recherche en santé publique sur COVID-19. Mais les gens devraient pouvoir utiliser les ressources COVID, telles que le suivi des applications ou le filtrage des sites Web, sans avoir à devenir des sujets de recherche.
• Il exempte les autorités de santé publique. Mais ces fonctionnaires devraient être tenus de suivre les règles du projet de loi concernant, par exemple, le consentement du sujet, la minimisation des données, la confidentialité et la non-divulgation à d'autres unités du gouvernement.
• Il exonère les entités couvertes par la HIPAA, y compris les associés commerciaux des prestataires de soins de santé. Mais ces entités devraient être tenues de suivre les nouvelles règles importantes de confidentialité du projet de loi, sauf si ces règles entrent en conflit avec la HIPAA.

Troisièmement, le projet de loi stipule que si une personne révoque son consentement au traitement des données, alors une entité visée doit arrêter le traitement «dès que possible, mais en aucun cas au plus tard dans les 15 jours», et doit détruire ou anonymiser les données déjà collectées. Mais si quelqu'un révoque son consentement, cela doit être respecté immédiatement. Une entité qui souhaite traiter des données couvertes doit être prête à cesser de les traiter dès que quelqu'un révoque son consentement. De plus, les données couvertes devraient être détruites, sans possibilité de les conserver sous une forme anonymisée. Il existe un risque inhérent que les données anonymisées puissent être ré-identifiées .

Quatrièmement, le projet de loi prévoit qu'une entité couverte doit détruire ou dépersonnaliser les données couvertes dans les 60 jours suivant la fin de l'épidémie, selon la définition du gouvernement fédéral et des États. Mais la gestion de l'épidémie de COVID-19 pourrait durer des années , tandis que de nombreuses données liées à COVID seront périmées dans quelques semaines. Par exemple, la période d'incubation du COVID-19 est de 14 jours , il n'est donc pas nécessaire de conserver plus longtemps les données collectées par les applications de suivi de proximité. De plus, les données périmées doivent être détruites et non simplement anonymisées, comme cela vient d'être expliqué. Nous exhortons les auteurs à prendre ces mesures cruciales pour renforcer leur projet de loi.

Le CCDPA est un faux pas

Le CCDPA est un nonstarter pour EFF.

Premièrement, il préempterait les lois des États «liées» au traitement des données couvertes (localisation, proximité, identifiants persistants et informations sur la santé) à des fins couvertes (suivi COVID-19, mesure de la distance sociale et traçage des contacts). Cela réduirait les droits légaux existants des Californiens d'accéder, de supprimer ou de refuser la vente des données collectées à des fins COVID, et des Illinoisans d'être à l'abri d'une surveillance biométrique sans consentement à des fins COVID. Lorsque des données COVID-19 sont impliquées, la CCDPA réduirait également les lois étatiques existantes qui traitent de la confidentialité médicale, de la sécurité des informations, de la notification de violation de données et des pratiques commerciales déloyales. Pire encore, le CCDPA mettrait fin au pouvoir des législatures des États, agissant comme des « laboratoires de la démocratie », pour innover de nouvelles façons de protéger la vie privée liée aux COVID. Et la préemption en vertu de la CCDPA serait permanente – même après la fin de l'épidémie.

Deuxièmement, la CCDPA ne dispose pas d'un droit d'action privé et ne permet l'exécution que par la FTC et les procureurs généraux des États. Mais la tâche de l'application est trop grande pour ces agences, qui ont des budgets limités et de nombreuses obligations concurrentes. En outre, de nombreuses agences subissent une capture réglementaire , ce qui signifie que les entreprises réglementées ont une influence indue sur les décisions d'application des lois des agences.

Troisièmement, la CCDPA exempte les données COVID que les employeurs utilisent pour filtrer l'entrée sur les lieux de travail. C'est un feu vert pour que les entreprises licencient des employés à moins qu'elles ne se soumettent à la surveillance de leurs mouvements, associations et santé – tant que les entreprises disent qu'elles essaient de prévenir une épidémie sur le lieu de travail.

Conclusion

Les gouvernements et les entreprises collectent de vastes données liées aux COVID, y compris notre santé, nos emplacements, nos associations avec d'autres, et bien plus encore. Cela montre en outre qu'une loi complète sur la confidentialité des données est attendue depuis longtemps. Au minimum, nous avons besoin d'une loi sur la confidentialité COVID-19. PHEPA est un bon début. Nous espérons que le Congrès s'appuiera sur elle.

Correction: Une version antérieure de ce message a omis par inadvertance la représentante Anna Eshoo de la liste des sponsors de la Public Health Emergency Privacy Act. Cette version a été corrigée.