Les 2 et 5 juin 2023, les législatures des États du Connecticut et du Nevada, respectivement, ont voté en faveur de l’envoi d’une législation à leurs gouverneurs pour signature qui imposerait des restrictions, entre autres, sur le traitement des données de santé des consommateurs, y compris des dispositions de géorepérage. Nevada SB 370 a été signé par le gouverneur du Nevada, Joe Lombardo, le 16 juin 2023. Ces projets de loi contiennent des dispositions similaires à la loi My Health My Data Act de Washington et étendent les protections de la loi de 1996 sur la portabilité et la responsabilité en matière d’assurance maladie et d’autres lois sur la confidentialité.
SB 3 du Connecticut
Le SB 3, en attente de signature par le gouverneur du Connecticut, Ned Lamont, modifierait certaines parties de la loi sur la confidentialité des données du Connecticut (« CTDPA ») pour fournir des protections supplémentaires pour les données de santé. En particulier, le SB 3 s’appliquerait aux « données de santé des consommateurs », c’est-à-dire à toutes les données personnelles qu’un responsable du traitement utilise pour identifier l’état ou le diagnostic de santé physique ou mentale d’un consommateur, et comprend, mais sans s’y limiter, les données de santé affirmant le genre et données sur la santé génésique ou sexuelle. Le SB 3 ajouterait les « données sur la santé des consommateurs » à la définition de « données sensibles » de la CTDPA.
Le SB 3 exigerait un consentement volontaire avant que toute personne puisse vendre ou proposer de vendre des données de santé des consommateurs. Le « consentement » peut inclure une déclaration écrite ou toute autre action positive sans ambiguïté. Le SB 3 interdirait également à toute personne d’utiliser une clôture géographique pour établir une limite virtuelle située à moins de 1 750 pieds de tout établissement de santé mentale ou de santé reproductive ou sexuelle dans le but d’identifier, de suivre, de collecter des données ou d’envoyer une notification à un consommateur. concernant les données de santé du consommateur.
SB 3 imposerait également de nouvelles restrictions concernant le traitement des données en ligne des enfants. En particulier, tout responsable du traitement qui propose un service, un produit ou une fonctionnalité en ligne à des consommateurs dont ce responsable a connaissance ou ignore délibérément qu’ils sont mineurs se verrait, sous réserve d’exceptions (par exemple, le consentement), interdit de :
- traiter les données personnelles de tout mineur à des fins de (1) publicité ciblée, (2) toute vente de données personnelles, ou (3) certains types de profilage ;
- recueillir la géolocalisation précise d’un mineur ; ou
- utiliser toute fonctionnalité de conception du système pour augmenter, maintenir ou étendre de manière significative l’utilisation par un mineur de ce service, produit ou fonctionnalité en ligne.
Chaque responsable du traitement qui propose un service, un produit ou une fonctionnalité en ligne aux consommateurs dont ce responsable a une connaissance réelle, ou qu’il ignore volontairement, sont des mineurs serait tenu de procéder à une évaluation de la protection des données pour ce service, produit ou fonctionnalité en ligne.
SB 3 permettrait également :
- imposer des exigences aux opérateurs de rencontres en ligne, y compris pour maintenir un centre de sécurité en ligne et adopter une politique pour le traitement par la plateforme de rencontres en ligne des signalements de harcèlement par ou entre les utilisateurs ; autre
- créer un « groupe de travail sur les crimes contre les enfants sur Internet dans le Connecticut ».
SB 3 ne contient pas de droit d’action privé. La plupart des dispositions relatives à la protection des mineurs ne s’appliqueraient pas avant le 1er octobre 2024, mais d’autres dispositions entreraient en vigueur le 1er juillet 2023, date d’entrée en vigueur de la CTDPA.
SB 370 du Nevada
Le SB 370 a été signé par le gouverneur du Nevada, Joe Lombardo, le 16 juin 2023. La plupart de ses dispositions de fond s’appliquent à une « entité réglementée » qui exerce ses activités au Nevada ou produit ou fournit des produits ou des services destinés aux consommateurs du Nevada, et, seule ou avec d’autres personnes, détermine la finalité et les moyens du traitement, du partage ou de la vente des données de santé des consommateurs. « Données sur la santé des consommateurs » désigne les informations personnellement identifiables qui sont liées ou raisonnablement susceptibles d’être liées à un consommateur et « qu’une entité réglementée utilise pour identifier l’état de santé passé, présent ou futur du consommateur ».
Parmi ses principales dispositions, le SB 370 interdirait à une entité réglementée de :
- collecter des données de santé des consommateurs sauf (1) avec le consentement préalable du consommateur, ou (2) dans la mesure nécessaire pour fournir un produit ou un service que le consommateur auquel les données de santé des consommateurs se rapportent a demandé à l’entité réglementée ; ou
- partager les données de santé des consommateurs sauf (1) avec le consentement préalable du consommateur qui est « séparé et distinct » du consentement fourni pour la collecte des données de santé des consommateurs ; (2) dans la mesure nécessaire pour fournir un produit ou un service que le consommateur auquel se rapportent les données de santé du consommateur a demandé à l’entité réglementée ; ou (3) lorsque requis ou autorisé par une autre disposition de la loi.
Le SB 370 obligerait également une entité réglementée à maintenir une politique détaillée de confidentialité des données de santé des consommateurs et interdirait à une entité réglementée de :
- collecter, utiliser ou partager des catégories de données de santé des consommateurs, autres que celles incluses dans la politique de confidentialité des données de santé des consommateurs de l’entité réglementée, sans divulguer ces catégories supplémentaires à chaque consommateur dont les données seront collectées, utilisées ou partagées et obtenir le consentement du consommateur ;
- partager les données de santé des consommateurs avec un tiers ou une société affiliée, autres que ceux inclus dans la politique de confidentialité des données de santé des consommateurs de l’entité réglementée, sans divulguer ces tiers ou sociétés affiliées supplémentaires à chaque consommateur dont les données seront partagées et sans obtenir le consentement du consommateur ;
- collecter, utiliser ou partager des données de santé des consommateurs à des fins autres que celles incluses dans la politique de confidentialité des données de santé des consommateurs de l’entité réglementée sans divulguer ces finalités supplémentaires à chaque consommateur dont les données seront collectées, utilisées ou partagées et obtenir le consentement du consommateur ; ou
- conclure un contrat avec un sous-traitant pour traiter les données de santé des consommateurs qui ne sont pas conformes à la politique de confidentialité des données de santé des consommateurs de l’entité réglementée.
Le SB 370 fournirait aux consommateurs des droits d’accès, de retrait et de suppression concernant leurs données de santé.
D’autres dispositions du SB 370 s’appliquent à toute « personne » (c’est-à-dire pas seulement aux entités réglementées). En particulier, le SB 370 interdirait à toute personne de :
- vendre ou offrir de vendre des données sur la santé des consommateurs (a) sans l’autorisation écrite du consommateur auquel les données se rapportent ; ou (b) si le consommateur fournit une telle autorisation écrite, d’une manière qui sort du cadre de l’autorisation écrite ou qui est incompatible avec celle-ci ; ou
- mettre en place une clôture géographique à moins de 1 750 pieds de tout établissement médical, établissement pour personnes à charge ou de toute autre personne ou entité qui fournit des services ou des produits de soins de santé en personne dans le but de : (1) identifier ou suivre les consommateurs à la recherche de services de soins de santé en personne ou produits ; (2) collecter des données sur la santé des consommateurs ; ou (3) envoyer des notifications, des messages ou des publicités aux consommateurs concernant leurs données de santé ou leurs services ou produits de soins de santé.
« Services ou produits de soins de santé » désigne tout service ou produit fourni à une personne pour évaluer, mesurer, améliorer ou en savoir plus sur la santé d’une personne.
Le SB 370 ne contient pas de droit d’action privé et entrerait en vigueur le 31 mars 2024.