L’expression « fermer les écoutilles » prend de plus en plus d’importance à mesure que les États adoptent, les uns après les autres, des lois sur la protection de la vie privée affectant les cabinets d’avocats.
Les lois sur la protection de la vie privée augmentent les risques pour les cabinets d’avocats
Cela fait longtemps que les cabinets d’avocats se sont habitués aux lois sur les violations de données et aux notifications obligatoires – les 50 États disposent de telles lois. Mais aujourd’hui, les lois sur la confidentialité, un développement relativement nouveau, deviennent rapidement une autre préoccupation pour les cabinets d’avocats. « Fermer les écoutilles » prend une nouvelle urgence à mesure que les États adoptent une loi sur la confidentialité. Ces lois augmentent les risques financiers d’une violation de données ou d’un non-respect des lois sur la confidentialité elles-mêmes – qui régissent la collecte, l’utilisation et la divulgation des données personnelles et établissent des normes pour le traitement des données personnelles sensibles.
Voici une liste des États dotés de lois sur la confidentialité, indiquant la date d’entrée en vigueur pour les États où la loi n’est pas encore en vigueur.
Californie Colorado Connecticut Delaware (en vigueur le 1er janvier 2025) Indiana (en vigueur le 1er janvier 2026) Iowa (en vigueur le 1er janvier 2025) Kentucky (en vigueur le 1er janvier 2026) Maryland (en vigueur le 1er juillet 2025) Minnesota (en vigueur le 1er juillet 2025) Montana (en vigueur le 1er octobre 2024) Nebraska (en vigueur le 1er janvier 2025) New Hampshire (en vigueur le 1er janvier 2025) New Jersey (en vigueur le 1er janvier 2025) Oregon Tennessee (en vigueur le 1er juillet 2025) Texas Utah Virginie
Comme vous le constaterez, seuls sept États avaient des lois sur la confidentialité en vigueur en juillet 2024. Mais une vague d’États ont des lois qui entreront en vigueur dans les deux prochaines années – et de nombreux États supplémentaires sont sur le point d’adopter prochainement des lois sur la confidentialité.
Qu’est-ce qui a provoqué l’assaut des lois sur la confidentialité ?
Au moment même où les cabinets d’avocats venaient de se pencher sur les lois relatives aux violations de données dans les 50 États et territoires, les législateurs ont décidé que des lois sur la protection de la vie privée étaient nécessaires. Tout le monde cherche à récupérer nos informations privées et est prêt à payer pour cela.
Les interconnexions d’Internet facilitent la collecte de données, et la protection est quasiment inexistante. Nos données ne sont plus nos données. Elles sont volées, monétisées et utilisées à des fins malveillantes sans fin. Le tollé des consommateurs et des entreprises dont les données ont été utilisées à mauvais escient a conduit les législateurs des États à prendre des mesures. Plus les fraudes, les vols d’identité et autres méfaits se multipliaient, plus les électeurs faisaient pression sur leurs législateurs pour qu’ils « fassent tomber le marteau ». Non seulement une législation sur la protection de la vie privée était nécessaire, mais il fallait aussi des amendes conçues pour imposer une protection plus stricte aux particuliers et aux entreprises.
Comment la vague de lois sur la confidentialité affecte-t-elle les cabinets d’avocats ?
Bien entendu, il s’agit d’une bonne nouvelle pour tout cabinet d’avocats qui pratique le droit de la vie privée. Le droit de la vie privée est devenu un domaine de pratique de plus en plus prisé, parfois parallèlement au droit relatif aux violations de données.
Il n’y a toutefois rien de bon pour les cabinets d’avocats qui ne protègent pas correctement les informations personnelles de leurs clients. (Un exemple récent et inquiétant est le nombre d’avocats qui ont transmis les données de leurs clients à des systèmes d’intelligence artificielle.) Ne pas protéger correctement les données, notamment en utilisant des mesures de cybersécurité adéquates, pourrait porter atteinte à la vie privée des clients. Une cybersécurité de mauvaise qualité ou obsolète pourrait également enfreindre les lois sur la protection de la vie privée, ce qui pourrait entraîner de lourdes sanctions.
Les cabinets d’avocats ressentiront-ils la pression des nouvelles exigences en matière de cyberassurance ?
Il est fort probable que les sociétés d’assurance cyber, déjà connues pour leurs exigences de plus en plus strictes en matière de cybersécurité, voudront s’assurer qu’elles ne seront pas tenues de payer des amendes pour atteinte à la vie privée. Obtenir une couverture auprès des cyberassureurs est devenu un casse-tête de plus en plus fréquent pour les cabinets d’avocats. Nous avons observé que les cabinets d’avocats paient généralement plus cher et obtiennent une couverture moins importante. Certaines choses peuvent être explicitement exclues de la couverture. Par exemple, si vous n’imposez pas les protections minimales des données requises par les lois nationales sur la confidentialité, vous risquez de ne pas être couvert.
À mesure que les lois sur la confidentialité des données se multiplient, leur impact est certainement susceptible d’augmenter – et jusqu’à présent, nous n’avons pas vu de précipitation à s’y conformer !
La vie privée est illusoire dans le monde interconnecté d’aujourd’hui
Les lois des États peuvent-elles jouer un rôle significatif dans le rétablissement de la vie privée ? C’est pour le moins douteux. Cependant, les nouvelles lois constituent probablement un appel aux armes louable pour les cabinets d’avocats qui doivent se conformer à des règles d’éthique strictes et répondre aux exigences des sociétés d’assurance cyber.
Sharon D. Nelson est avocate et présidente de Sensei Enterprises, Inc. Elle a été présidente du barreau de l’État de Virginie, de la Fairfax Bar Association et de la Fairfax Law Foundation. Elle est co-auteur de 18 livres publiés par l’ABA.
John W. Simek est vice-président de Sensei Enterprises, Inc. Il est un professionnel certifié de la sécurité des systèmes d’information (CISSP), un hacker éthique certifié (CEH) et un expert reconnu à l’échelle nationale dans le domaine de la criminalistique numérique. Lui et Sharon fournissent des services de technologie juridique, de cybersécurité et de criminalistique numérique depuis leur cabinet de Fairfax, en Virginie.
Michael C. Maschke est le directeur général de Sensei Enterprises. Il est un examinateur certifié EnCase (EnCE), un examinateur certifié en informatique (CCE #744), un examinateur certifié AccessData (ACE), un CISSP ainsi qu’un CEH. Il intervient fréquemment sur les sujets de l’informatique, de la cybersécurité et de la criminalistique numérique et il est co-auteur de 14 livres publiés par l’ABA.
En savoir plus sur l’équipe Sensei :
Image © iStockPhoto.com.
Ne manquez pas nos conseils quotidiens en matière de gestion de cabinet. Abonnez-vous à la newsletter gratuite d’Avocat au travail ici >
