Quelles sont les lois applicables en matière de protection de la vie privée ? – Autobala.com

Lorsque les prêteurs partagent des données en dehors de leur organisation, la question se pose souvent de savoir quelles lois s’appliquent à ce partage. Qu’est-ce que mon organisation est autorisée à partager avec qui, et comment ces lois affectent-elles l’avis de confidentialité financière de mon entreprise ?

© Can Stock Photo / zolnierek

Au niveau fédéral, les réponses à ces questions concernent la relation entre la loi Gramm-Leach-Bliley (GLBA, et son règlement d’application P), la loi sur les rapports de crédit équitables (FCRA, et son règlement d’application V), et les pratiques courantes en matière de protection de la vie privée dans le domaine financier. Les avis utilisés pour satisfaire aux exigences de divulgation et d’exclusion en vertu des deux lois.

Pour comprendre les lois régissant le partage en question, il est important de se poser les questions suivantes : Avec qui (affilié ou non affilié) partagez-vous vos données et dans quel but ?

Partage de données avec des non-affiliés

En vertu de la GLBA, un prêteur peut divulguer des informations personnelles non publiques identifiables (NPI) concernant un consommateur à un tiers non affilié (avec certaines exceptions), ou avant ou au moment où l’institution financière devient un client permanent.

L’avis doit donner aux consommateurs le droit de refuser la divulgation des NPI à des tiers non liés. En d’autres termes, la GLBA limite expressément le partage de son NPI à des tiers non affiliés.

dans le Formulaire type d’avis de confidentialité financière fournie par le Consumer Financial Protection Bureau (CFPB), une catégorie particulière de partage de données se rapporte spécifiquement à l’exigence de non-participation de la GLBA et à ses exceptions. Plus précisément, les catégories qui décrivent le partage.

• (i) à des fins commerciales courantes, telles que le traitement de vos transactions, la gestion de votre compte, la réponse à des ordonnances judiciaires et à des enquêtes légales, ou l’établissement de rapports à l’intention des agences d’évaluation du crédit ;
• (ii) à des fins de marketing – pour vous fournir nos produits et services ;
• (iii) à des fins de marketing conjoint avec d’autres sociétés financières ; et
• (iv) pour que des sociétés non affiliées vous fassent du marketing ;  »

Dans les catégories ci-dessus, les institutions financières doivent expliquer si elles partagent chaque type d’information spécifique et si les consommateurs peuvent limiter le partage. Les trois premières catégories représentent des exceptions aux exigences du GLBA. Cela signifie que les consommateurs ne disposent pas de droits fédéraux pour restreindre ces types de partage. Toutefois, bien que des droits de retrait puissent exister en vertu de la législation de l’État, les institutions sont également libres d’offrir des possibilités de retrait volontaire.

Le partage relevant de la quatrième catégorie est soumis aux exigences de la GLBA en matière d’opt-out et d’opt-in affirmatif en vertu de certaines lois nationales. Il est essentiel de remplir correctement ces catégories pour maintenir la conformité à la GLBA en ce qui concerne les cas où le NPI peut être partagé avec des non-affiliés.

Partage de données avec des sociétés affiliées

Contrairement au GLBA, le FCRA réglemente l’échange d’informations entre entités apparentées. Le terme « affilié » fait généralement référence à une société qui contrôle, est contrôlée par ou est sous contrôle commun avec une autre société. En général, la FCRA s’applique lorsque des informations sur les consommateurs sont partagées entre des sociétés affiliées.

Toutefois, le fait de comprendre les types d’informations partagées et à quelles fins (marketing ou non) nous aidera à comprendre comment les informations sont divulguées dans nos avis et comment les consommateurs peuvent partager et/ou utiliser ces informations. détermine si vous avez le droit de refuser de recevoir des informations.

Les règles de partage et de marketing des affiliés du FCRA affectent les sections suivantes de l’avis de confidentialité financière, qui traitent des informations relatives aux objectifs commerciaux quotidiens de l’affilié et aux transactions et expériences de marketing de l’affilié, ainsi qu’à la solvabilité.

Opérations et expérience versus solvabilité

La première question consiste à déterminer si le partage est effectué à des « fins commerciales » ou à des fins de marketing. Dans le contexte des objectifs commerciaux quotidiens, l’entité doit ensuite se demander si l’échange concerne des « informations sur les transactions et les expériences » ou des « informations sur la solvabilité ». Ces deux catégories correspondent à la définition des « rapports sur les consommateurs » du FCRA.

Plus précisément, les rapports sur les consommateurs, aux fins des « informations sur les transactions et les expériences », sont les suivants non inclure :

• (i) les rapports qui ne contiennent que des informations relatives à des transactions ou à des expériences entre le consommateur et l’auteur du rapport ; encore une fois
• (ii) la communication de ces informations entre les parties sous le contrôle des copropriétaires ou de l’entreprise ; « 

En ce qui concerne la « solvabilité », comme le fait Consumer Reports non inclure :

• « (i) le propriétaire commun ou le contrôle d’une société s’il est clairement et visiblement indiqué au consommateur que des informations peuvent être communiquées entre les parties conjointes et que le consommateur a la possibilité de le faire à l’avance ; la transmission d’autres informations entre des personnes sous-reliées, que ces informations doivent être transmises en premier, et le fait d’ordonner que ces informations ne soient pas transmises entre ces personnes ».

Cela signifie que si une institution financière souhaite partager des informations sur les « transactions et expériences » avec des sociétés affiliées, elle doit l’indiquer dans son avis sur la protection de la vie privée, mais elle n’est pas tenue de donner aux consommateurs un droit de refus.

Si une institution financière souhaite divulguer des informations sur la « qualité du crédit » à une société affiliée, elle peut le faire en ligne d’une manière telle que les informations peuvent être considérées comme des « rapports sur les consommateurs » (c’est-à-dire à des fins commerciales quotidiennes de la société affiliée). Dans le cas contraire, les institutions financières risquent d’être considérées comme des « agences de renseignements sur les consommateurs » et d’être soumises à une série d’exigences réglementaires onéreuses.

Partage à des fins de marketing

Si le partage est effectué à des fins de marketing et non à des fins commerciales courantes, les règles spécifiques du FCRA régissent l’utilisation de ces informations. Le FCRA stipule qu’une personne réglementée ne peut pas utiliser les « références » des consommateurs reçues d’une société affiliée pour solliciter des consommateurs à des fins de marketing, à l’exception des cas suivants :

• (i) être clairement et ostensiblement communiquées aux consommateurs ;
• (ii) les consommateurs se voient offrir une possibilité raisonnable et un moyen raisonnable et facile de se désengager ; et
• (iii) le consommateur ne s’est pas désinscrit ; « 

En vertu du FCRA, si les informations relatives à l’éligibilité sont partagées pour effectuer des sollicitations à des fins de marketing, l’entité divulguera le partage afin de donner aux consommateurs la possibilité de s’exclure avant que les informations ne soient utilisées à des fins de marketing. est nécessaire. Veuillez noter que cette option de refus est distincte de l’option de refus prévue lorsque le partage a lieu entre des sociétés affiliées à des fins commerciales courantes.

Par conséquent, si les informations relatives à l’éligibilité sont partagées entre des affiliés à des fins de sollicitation ou de marketing, ce partage doit être dûment divulgué dans la catégorie « Affiliés vous commercialisant » et les consommateurs ne seront pas autorisés à le faire à des fins de marketing. Vous devez avoir le droit de refuser toute utilisation de vos informations à cette fin.

Dans l’ensemble, il peut être difficile de saisir les nuances entre le GLBA et le FCRA, et la manière dont les différentes catégories de partage de données dans les avis de confidentialité financière sont liées aux exigences de chaque loi. Il est important de comprendre l’interaction de ces deux lois lors de l’échange d’informations sur les consommateurs, quel que soit le destinataire.

Paul Lithovay est un associé de mcgrincheeIl conseille ses clients sur le respect de la loi sur les prêts (TILA), de la loi sur les pratiques équitables de recouvrement des dettes (FDCPA), de la loi sur le secours aux militaires (SCRA), de la loi sur les rapports de crédit équitables (FCRA) et de la loi sur l’égalité des chances en matière de crédit (ECOA). À faire.

David Tolman Membre (associé) de McGlinchey. Il conseille les clients sur leurs obligations en vertu des lois fédérales et étatiques sur le crédit à la consommation, y compris la confidentialité des données, la cybersécurité et les exigences en matière de traitement des paiements.