A l’approche du premier anniversaire du règlement général sur la protection des données (GDPR) de l’Union européenne, Microsoft appelle à une réglementation fédérale américaine de l'industrie technologique. Selon la firme, au-delà des initiatives étatiques telles que la California Consumer Privacy Act (CCPA) de la Californie, le vif intérêt que suscite l'exercice d'un contrôle sur les données personnelles des consommateurs américains, les États-Unis devraient encore se joindre à l'UE et à d'autres pays dans le monde pour adopter une législation nationale qui tienne compte de la façon dont les gens utilisent la technologie dans leur vie quotidienne. L’autorégulation des entreprises de la technologie depuis plusieurs années a conduit à certains abus qui ont ensuite entraîne l’érosion de la confidentialité sur certaines plateformes numériques telles que Facebook. Le problème de confidentialité le plus médiatisé reste le scandale Cambridge Analytica qui a affecté les données personnelles de plus de 87 millions d’utilisateurs. Depuis l’année dernière, les pratiques de collecte de données personnelles ont été placées au cœur de l'intérêt public. Des gouvernements en ont fait l’une de leurs priorités comme en France où une législation est en cours de préparation pour réglementer certaines pratiques sur Internet.
Dans un billet de blog Microsoft publié lundi, Julie Brill, vice-présidente et avocate générale adjointe à Microsoft, a fait un point sur les acquis de la réglementation générale de l'Union européenne sur la protection des données qui a été promulguée il y a près d'un an. Brill estime que le GDPR a été très efficace pour changer la façon dont les entreprises de technologie traitent les données personnelles. GDPR est un cadre de protection de la vie privée novateur qui permet aux résidents de l'UE de contrôler leurs informations personnelles afin qu'ils puissent utiliser les technologies numériques pour interagir librement et en toute sécurité entre eux et avec le monde. On peut lire dans le billet de blog de Brill :
« Beaucoup de choses se sont passées sur le front mondial de la protection de la vie privée depuis l'entrée en vigueur de la réglementation GDPR. Dans l'ensemble, les entreprises qui collectent et traitent les informations personnelles des personnes vivant dans l'UE se sont adaptées, mettant en place de nouveaux systèmes et processus pour s'assurer que les personnes comprennent quelles données sont collectées à leur sujet et peuvent les corriger si elles sont inexactes et les supprimer ou les déplacer ailleurs si elles le souhaitent ».
En plus des avancées apportées en Europe, la vice-présidente de Microsoft souligne que le GDPR a inspiré d'autres pays à adopter des réglementations similaires. Certains pays comme « Le Brésil, la Chine, l'Inde, le Japon, la Corée du Sud et la Thaïlande comptent parmi les pays qui ont adopté de nouvelles lois, proposé de nouvelles lois ou envisagé d'apporter des modifications aux lois existantes afin de mieux aligner leur réglementation en matière de protection de la vie privée sur le GDPR », peut-on lire dans le billet de blog.
Microsoft se vante également d'être « la première entreprise à fournir les droits de contrôle des données au cœur de GDPR à nos clients dans le monde entier, et pas seulement en Europe ». D’après le billet de blog, depuis presqu’un an que le GDPR est en vigueur, un nombre croisant de personnes utilise le tableau de bord sur la protection de la vie privée de Microsoft, signe indiscutable que les gens veulent avoir la possibilité de contrôler leurs données. Selon Brill, depuis un an, plus de 18 millions de personnes de partout dans le monde ont utilisé l’outil de confidentialité de Microsoft pour gérer leurs renseignements personnels, dont plus de 6,7 millions de personnes aux Etats-Unis et plus de 4 millions dans l'UE.
Selon Brill, les entreprises qui ont adhéré au GDPR comme Microsoft ont subi un profond changement culturel qui touche toute leur organisation. Dans le cadre de l’application du GDPR, Microsoft a développé les outils à l’intention des utilisateurs, des développeurs, des entreprises et des administrateurs informatiques des entreprises afin de leur permettre de mieux appliquer les politiques de protection de la confidentialité et de la sécurité telles que la protection des numéros des cartes de crédit et de sécurité sociale en ligne.
Certains Etats américains comme la Californie et l’Illinois disposent de lois solides en matière de protection des données, toutefois, Brill pense que les États-Unis ont besoin d'une loi semblable au GDPR au niveau fédéral. La California Consumer Privacy Act, les règles de confidentialité approuvées par les législateurs californiens et signées par le gouverneur Jerry Brown en juin dernier et qui entreront en vigueur en 2020, exige aux grandes entreprises (plus précisément celles qui disposent des données sur plus de 50 000 personnes), entre autres, de permettre aux consommateurs de voir les données qu'elles ont collectées, d’autoriser la suppression des données et même de leur permettre de refuser la vente des données à tiers.
Selon Brill, l'ACCP a été la première loi aux États-Unis à inclure des droits inspirés par le GDPR, ce qui a marqué un tournant dans la législation américaine en matière de protection de la vie privée. Toutefois, Brill a déclaré dans son billet de blog que malgré les avancées déjà réalisées par les entreprises et les Etats, force sera aux règles de droit qui viennent l’Etat fédéral :
« Quelle que soit l'ampleur du travail que font des entreprises comme Microsoft pour aider les organisations à sécuriser les données sensibles et à donner aux individus les moyens de gérer leurs propres données, la préservation d'un droit à la vie privée solide sera toujours fondamentalement une question de droit qui relève des gouvernements ».
Brill a affirmé que les règles californiennes permettent déjà aux consommateurs de contrôler leurs informations et de tenir les entreprises à un degré plus élevé de responsabilité et de transparence dans la manière dont elles collectent et utilisent les données des clients, mais elle recommande que les nouvelles lois fédérales aillent encore plus loin.
L’un des problèmes que posent les lois actuelles sur la protection de la vie privée est qu'elles sont problématiques en matière d'application de la loi
Selon Brill, l'un des problèmes que posent les lois actuelles sur la protection de la vie privée est qu'elles sont problématiques en matière d'application de la loi. D’après elle, la Commission fédérale du commerce en charge d'appliquer ces lois ne peut pas imposer une amende à une entreprise sans un décret de consentement. C’est-à-dire, lorsque les entreprises enfreignent ces lois, au lieu d’être condamnées à des amendes dès le départ, elles signent plutôt un décret de consentement qui les rend passibles de sanctions si elles sont de nouveau coupables des mêmes infractions. C’est le cas avec Facebook Inc. dans le cadre de la transgression d’un accord juridiquement relatif à un décret d'autorisation de 2011 de la société avec la FTC pour protéger la confidentialité des données personnelles.
Selon le Government Accountability Office, l'organisme d'audit, d'évaluation et d'investigation du Congrès des États-Unis, au cours des dix dernières années, la FTC a pris 101 mesures d'exécution. Presque toutes n'étaient pas assorties de sanctions civiles, mais plutôt d'accord de règlement obligeant les entreprises à prendre des mesures pour empêcher que la violation ne se reproduise. La vice-présidente de Microsoft a écrit à ce propos :
« La loi fédérale doit également inclure des dispositions d'application rigoureuses ». « Les lois actuellement en vigueur ne sont tout simplement pas assez solides pour permettre à la FTC de protéger efficacement la vie privée dans l'économie numérique complexe d'aujourd'hui », a-t-elle ajouté.
Le billet de Blog de Microsoft recommande que, même si la législation fédérale sur la protection de la vie privée devrait refléter le précédent juridique américain, ainsi que les valeurs et normes culturelles de la société américaine, elle doive également être interopérable avec le GDPR. Toute chose qui réduira le coût et la complexité de la conformité « en faisant en sorte que les entreprises n'aient pas à construire des systèmes distincts pour répondre à des exigences différentes, voire contradictoires, en matière de protection de la vie privée dans les pays où elles font affaire ».
Ce n’est pas le premier appel lancé par Microsoft concernant la réglementation de l’industrie technologique. En juillet dernier, Microsoft a appelé à la réglementation de la reconnaissance faciale afin d'éviter des dérives potentielles à l’avenir, tout en proposant des axes de réflexion.
Une réglementation fédérale de l’industrie de la technologie est certainement une bonne chose qui protégera les utilisateurs dans un milieu où l’activité de certaines entreprises est basée essentiellement sur la collecte et l’exploitation des données utilisateur. Toutefois, la question de la réglementation soulève les barrières de coût pour les plus jeunes entreprises qui n’ont pas assez de moyens. Les plus grandes entreprises ayant les moyens et pouvant supporter plus facilement le coût de la réglementation. Aussi, les plus grandes entreprises sont plus susceptibles d'influencer le système de réglementation et l’incliner en leur faveur.
Source : Blog Microsoft
Et vous ?
Que pensez-vous de l’appel de Microsoft ? Un an après l’entrée en vigueur du GDPR, quel commentaire pouvez-vous faire sur les acquis ? Pensez-vous comme Mcrosoft que la future règlementation fédérale américaine devrait être interopérable avec le GDPR ? Pourquoi ?Lire aussi
Microsoft appelle à la réglementation de la reconnaissance faciale afin d'éviter des dérives potentielles, et propose des axes de réflexion Les législateurs californiens approuvent des règles de confidentialité auxquelles la Silicon Valley s'oppose, début d'un RGPD aux USA ? Le premier projet de loi américain sur les voitures autonomes reçoit un appui de dernière minute du Congrès, au regret d'Advocacy Consumers GDPR : votre entreprise est-elle bien préparée au nouveau règlement européen sur la protection des données ? Mise en lumière de quelques points clés Facebook minimise les impacts du GDPR sur ses affaires et rassure ses investisseurs, qui ont exprimé des inquiétudes