La réglementation sur la biométrie s’intensifie, laissant présager des problèmes de conformité

Cette année pourrait être une aubaine pour la législation sur la confidentialité biométrique. Le sujet est brûlant et se situe à l'intersection de quatre tendances : l'augmentation des menaces basées sur l'intelligence artificielle (IA), l'utilisation croissante de la biométrie par les entreprises, la nouvelle législation anticipée sur la protection de la vie privée au niveau des États et une nouveau décret émis par le président Biden cette semaine, cela inclut des protections biométriques de la confidentialité.

Mais cette surveillance accrue pourrait avoir l’effet inverse : ces réglementations pourraient créer des conflits et des problèmes de gouvernance complexes pour les entreprises qui tentent de respecter les nouvelles restrictions, en particulier lorsqu’il s’agit d’une série de nouvelles lois étatiques qui sont sur le point d’entrer en vigueur. Cela signifie que les entreprises doivent rester à jour à mesure que ce paysage juridique évolue.

Amy de La Lama — avocate chez Bryan Cave Leighton Paisner, qui suit les lois de l'État sur la confidentialité — affirme que les entreprises doivent être plus tournées vers l'avenir, anticiper et comprendre les risques afin de construire l'infrastructure appropriée pour suivre et utiliser le contenu biométrique.

«Cela signifie qu'ils devraient travailler plus étroitement entre leurs fonctions commerciales et juridiques pour comprendre comment utiliser la biométrie dans leurs produits et services et comprendre les exigences légales», dit-elle.

La réglementation sur la biométrie est à la traîne des efforts des États en matière de confidentialité

Divers États ont adopté des lois sur la confidentialité des données au cours des deux dernières années, notamment le Delaware, l'Indiana, l'Iowa, le Montana, le New Jersey, l'Oregon, le Tennessee et le Texas. Cela s'ajoute aux lois sur la protection de la vie privée déjà adoptées en Californie, au Colorado, au Connecticut, en Utah et en Virginie.

Pourtant, malgré cette enveloppe croissante de protection de la vie privée, tous les États n’ont pas fait grand-chose en matière de réglementation de la biométrie. Par exemple, les lois du Colorado sur la protection de la vie privée ne définissent pas explicitement les données biométriques, mais prévoient des réglementations sur la manière dont elles sont traitées.

Pendant ce temps, cinq États spécifiquement ont adopté des réglementations liées à la biométrie (Illinois, Maryland, New York, Texas et Washington). Bien que cela ressemble à une tendance, bon nombre de ces lois sont limitées, comme la loi de New York qui se concentre uniquement sur l’interdiction de recueillir les empreintes digitales des employés comme condition d’emploi.

Parmi les cinq États dotés de lois relatives à la biométrie, celui de l'Illinois Loi sur la protection des renseignements biométriques est le plus ancien – depuis 2008 – et le plus complet, couvrant la manière dont les données biométriques sont collectées, stockées et utilisées. Pourtant, il a fallu attendre cette semaine pour régler les dommages causés au procès intenté par un groupe de camionneurs contre la société ferroviaire BNSF il y a plusieurs années, à cause de l'obligation de scanner leurs empreintes digitales avant d'entrer dans une gare de triage de l'Illinois.

Les choses pourraient changer : New York envisage cette année au moins trois projets de loi visant à étendre les protections à des contrôles biométriques plus complets, et il existe projets de loi dans au moins 14 comités d’autres États pour une interprétation plus large des questions biométriques également.

Un patchwork déroutant d’exigences en matière de conformité des données

Les différences subtiles entre toutes les lois des États peuvent entraîner des conflits de conformité. Il existe des différences dans la manière dont la confidentialité biométrique sera réglementée, ainsi que dans les dates globales de promulgation et les différentes exigences en matière de reporting.

« La biométrie est clairement dans la ligne de mire en ce moment », déclare David Stauss, un expert du cabinet d'avocats Husch Blackwell, qui suit les lois sur la confidentialité à travers le pays, « et c’est en tête de liste des problèmes de gestion des données sensibles. Il est extrêmement difficile pour les entreprises de suivre toutes ces exigences. Ces réglementations sont une cible en constante évolution et s’apparentent à la construction d’un navire au fur et à mesure que nous le naviguons.

Par exemple, les lois sur la protection de la vie privée du Texas et du Montana entreront en vigueur le 1er juillet, mais celles de l'Indiana n'entreront en vigueur que le 1er janvier 2026. Les lois de la Californie créent de nouvelles exigences concernant les informations personnelles sensibles et permettent aux consommateurs de limiter certaines données qui peuvent être utilisé par les entreprises. La loi de Virginie a une définition plus restrictive des données biométriques et limite la manière dont elles peuvent être traitées.

En outre, chaque État a une combinaison différente de ce que les entreprises doivent déclarer, en fonction du montant des revenus générés dans chaque État, du nombre de consommateurs concernés et du fait qu'elles soient à but lucratif ou non.

Tout cela signifie que cela sera compliqué pour les entreprises exerçant leurs activités à l'échelle nationale, car elles devront auditer leurs procédures de protection des données et comprendre comment elles obtiennent le consentement des consommateurs ou permettent aux consommateurs de restreindre l'utilisation de ces données et de s'assurer qu'elles correspondent aux différentes subtilités. dans les règlements. 

Contribuer aux problèmes de conformité : le décret fixe des objectifs élevés aux diverses agences fédérales en matière de réglementation des informations biométriques, mais il pourrait y avoir une confusion quant à la manière dont ces réglementations sont interprétées par les entreprises. Par exemple, l'utilisation de la biométrie par un hôpital relève-t-elle des règles de la Food and Drug Administration, de la Santé et des Services sociaux, de la Cybersecurity and Infrastructure Security Agency ou du ministère de la Justice ? Probablement les quatre.

Et c'est avant même compte tenu des implications internationales, parce que l’Europe et d’autres pays ajoutent à cette folle série de règles en matière de confidentialité.

L'utilisation de la biométrie se développe, malgré des problèmes de confiance

Ce paysage juridique complexe est motivé par l’utilisation croissante de la biométrie pour protéger les données privées et professionnelles – et les menaces de cybersécurité qui en découlent.

Les fournisseurs réussissent mieux à intégrer ces technologies dans les packages globaux de développement logiciel, comme l'annonce l'automne dernier selon laquelle Amazon va étendre son logiciel de numérisation palmaire One pour permettre de meilleurs contrôles d’accès en entreprise.

Mais même si les technologies de numérisation des empreintes digitales, du visage et de la paume existent depuis des années (la Le FBI a collecté plusieurs millions de scanners palmaires au cours de la dernière décennie), Amazon stocke ses empreintes palmaires dans le cloud, ce qui pourrait rendre plus probables des fuites ou des abus potentiels, selon Mark Hurst, PDG de Creative Good.

"Ces lecteurs palmaires sont destinés à normaliser le fait de divulguer vos données biométriques n'importe où et à tout moment", explique Hurst. « Et que se passe-t-il si les données palmaires – comme tant d’autres systèmes d’identification – sont piratées ? Bonne chance pour trouver un nouveau palmier.

Pendant ce temps, les imitations de vidéos deepfake induites par l’IA par des criminels qui abusent des données biométriques telles que les analyses faciales sont en augmentation. Plus tôt cette année, une attaque deepfake à Hong Kong a été utilisé pour voler plus de 25 millions de dollars, et il y en a certainement d'autres qui suivront comme La technologie de l’IA s’améliore et est plus facile à utiliser pour produire des contrefaçons biométriques.

Les réglementations contradictoires et les abus criminels pourraient expliquer pourquoi la confiance des consommateurs dans la biométrie a chuté. 

Selon Enquête 2024 sur les technologies biométriques de GetApp sur 1,000 28 consommateurs, le nombre de personnes qui font hautement confiance aux entreprises technologiques pour protéger leurs données biométriques est passé de 2022 % en 5 à seulement 2024 % en XNUMX. L'entreprise affirme que cette baisse est due au nombre croissant de violations de données et de rapports de vol d'identité. cas.

« Pour atténuer les risques juridiques, de réputation et financiers, assurez-vous que les données biométriques sont capturées avec le consentement et stockées en toute sécurité conformément aux réglementations en matière de confidentialité », déclare Zach Capers, analyste principal de la sécurité chez GetApp. Mais cela pourrait être plus facile à dire qu’à faire, d’autant plus que les futures lois biométriques imposent des exigences contradictoires.

• Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
• PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
• PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
• PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
• PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
• La source: https://www.darkreading.com/application-security/biometrics-regulation-portending-compliance-headaches