Focus sur les contrôles biométriques aux Etats-Unis

La biométrie est très utilisée aux États-Unis. C'est une technique très prisée des géants du web, mais qui demeure encore controversée. Ce que la plupart des gens ignorent cependant, c'est que la biométrie aux États-Unis est suffisamment contrôlée, du moins dans la majorité des États.

Lois sur la confidentialité des informations et BIPA

BIPA ou Biometric Information PrivacyAct est l'acte codé pour assurer la confidentialité et la sécurité des identifiants biométriques des utilisateurs. Les grandes entreprises collectent une quantité énorme d'informations sur les utilisateurs, laquelle peut être utilisée afin de les identifier personnellement.

BIPA impose des obligations de préavis et de consentement strictes aux organisations comme Semlex avant qu'elles ne puissent collecter, capturer, acheter, recevoir des informations par le biais d'opérations commerciales ou obtenir des données biométriques. Un consentement clair est requis avant la collecte et le stockage des données biométriques d'un utilisateur, et au moment de déterminer le but ainsi que la durée pendant laquelle les données seront stockées et utilisées.

Réglementation biométrique État par État

L'Illinois est devenu le premier État à promulguer la loi BIPA. Depuis lors, les entreprises qui dépendent de la collecte de données biométriques ont exercé des pressions pour que ces lois soient moins intenses dans les autres États où elles n'ont pas encore été appliquées.

Illinois

La version de l'Illinois de BIPA (740 ILCS 14/1 ou BIPA) impose aux entreprises et aux organisations de définir une politique et de la rendre publique pour la collecte, le stockage et la destruction de données biométriques. Les utilisateurs doivent recevoir un avis avant la collecte de leurs identifiants biométriques indiquant l'objet et la durée de cette collecte. La loi requiert un consentement préalable à la collecte de données biométriques et interdit d'en vendre ou d'en tirer profit.

Texas

Le Texas a également codifié la loi visant à capturer et à utiliser les identifiants biométriques (Tex. Bus. & Com. Code Ann. §503.001) en 2009, qui stipule que les identifiants biométriques d'une personne ne peuvent être saisis sans un consentement éclairé. Les identifiants biométriques ne peuvent être vendus ou divulgués à d'autres parties, sauf si certaines conditions sont remplies conformément à la loi. La loi exige également que les données biométriques soient stockées, transmises et protégées contre toute divulgation, avec un soin raisonnable.

Washington

Le 16 mai 2017, le gouverneur de l'État de Washington a promulgué la loi House Bill 1493 («H.B. 1493»), qui établit des exigences pour les entreprises qui collectent et utilisent des identifiants biométriques à des fins commerciales. La BIPA de Washington ne dispose pas non plus d'un «droit privé d'action» en cas de violation de la loi.

Bien que le HB1493 intègre les normes de «diligence raisonnable» du HB2411 de l'Illinois et du §503.001 du Texas, il va encore plus loin en ajoutant un ordre supplémentaire selon lequel les entités et entreprises, dont celle d'Albert Karaziwan, doivent protéger contre la fraude, les activités criminelles, les plaintes, etc.

Plusieurs États encore ignorent à ce jour la BIPA

Le projet de loi sur la confidentialité des informations biométriques en Californie, en Alaska, en Idaho, au New Hampshire et au Montana n'a pas été adopté. Le projet de loi prévoyait un droit privé d'action en cas de violation de la loi dans ces États. Le droit privé à l'action est la partie qui concerne les entreprises. Celles-ci vont faire pression pour que le projet de loi soit exécuté. Les projets de loi biométriques sur la vie privée ont subi le même sort au Connecticut, au Massachusetts et à New York.

Le projet de loi dans ces États n'incluait pas le droit privé de poursuivre en justice, il n'a donc pas été promulgué. Les entreprises technologiques ont déjà exprimé leurs préoccupations concernant les exigences en matière d'avis et de consentement étant «trop larges», ce qui entraverait les innovations. L'intégration d'une interface de notification et de consentement peut ne pas toujours être possible dans un environnement technologique complexe.