Les citoyens américains ne bénéficient donc que de protections minimales en matière de confidentialité des données par rapport aux citoyens d'autres pays. Mais cela pourrait être sur le point de changer. Avec un rare soutien bipartisan, la loi américaine sur la protection des données et de la vie privée a été adoptée par la commission de l'énergie et du commerce de la Chambre des représentants des États-Unis par 53 voix contre 2 le 20 juillet 2022. Le projet de loi doit encore être adopté par la Chambre des représentants et le Sénat, et les négociations sont en cours. Compte tenu de la stratégie de l'administration Biden en matière de pratiques de données responsables, le soutien de la Maison-Blanche est probable si une version du projet de loi est adoptée.
En tant que juriste et avocat qui étudie et pratique le droit des technologies et de la confidentialité des données, j'ai suivi de près cette loi, connue sous le nom d'ADPPA. Si elle est adoptée, elle modifiera fondamentalement la loi américaine sur la confidentialité des données.
Notons qu’une « information personnelle » est « toute information se rapportant à une personne physique identifiée ou identifiable ». Une personne peut être identifiée :
- directement (exemple : nom, prénom) ;
- indirectement (exemple : par un identifiant (n° client), un numéro (de téléphone), une donnée biométrique, plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale, mais aussi la voix ou l’image).
L'ADPPA comble le vide en matière de confidentialité des données, instaure une préemption fédérale sur certaines lois étatiques sur la confidentialité des données, permet aux particuliers d'intenter une action en justice en cas de violation et modifie considérablement l'application de la loi sur la confidentialité des données. Comme tous les grands changements, l'ADPPA reçoit des critiques mitigées de la part des médias, des universitaires et des entreprises. Mais beaucoup considèrent le projet de loi comme un triomphe pour la confidentialité des données aux États-Unis, qui fournit une norme nationale nécessaire pour les pratiques en matière de données.
Qui et que réglementera l'ADPPA ?
L'ADPPA s'applique aux entités « couvertes », c'est-à-dire à toute entité collectant, traitant ou transférant des données couvertes, y compris les organisations à but non lucratif et les propriétaires uniques. Elle réglemente également les fournisseurs de téléphonie mobile et d'accès à Internet, ainsi que d'autres transporteurs publics, ce qui pourrait entraîner des changements importants dans la réglementation fédérale des communications. Elle ne s'applique pas aux entités gouvernementales.
L'ADPPA définit les données « couvertes » comme toute information ou tout dispositif permettant d'identifier une personne ou pouvant être raisonnablement relié à elle. Elle protège également les données biométriques, les données génétiques et les informations de géolocalisation.
Le projet de loi exclut trois catégories de big data : les données dépersonnalisées, les données des employés et les informations accessibles au public. Cette dernière catégorie comprend les comptes de médias sociaux dont les paramètres de confidentialité sont accessibles au public. Bien que les recherches aient montré à plusieurs reprises que les données dépersonnalisées peuvent être facilement réidentifiées, l'ADPPA tente d'y remédier en exigeant des entités concernées qu'elles prennent « des mesures techniques, administratives et physiques raisonnables pour s'assurer que les informations ne peuvent, à aucun moment, être utilisées pour réidentifier un individu ou un appareil ».
Comment l'ADPPA protège-t-elle les données des utilisateurs ?
La loi exige que la collecte de données soit aussi minimale que possible. Le projet de loi permet aux entités couvertes de collecter, d'utiliser ou de partager les données d'une personne uniquement lorsque cela est raisonnablement nécessaire et proportionné à un produit ou service demandé par la personne ou pour répondre à une communication initiée par la personne. Il autorise la collecte à des fins d'authentification, d'incidents de sécurité, de prévention des activités illégales ou des atteintes graves aux personnes, et de respect des obligations légales. Les personnes obtiendraient des droits d'accès et auraient un certain contrôle sur leurs données. L'ADPPA donne aux utilisateurs le droit de corriger les inexactitudes et de supprimer éventuellement les données les concernant détenues par les entités concernées.
Le projet de loi autorise la collecte de données dans le cadre de la recherche pour le bien public. Il autorise la collecte de données dans le cadre de recherches évaluées par des pairs ou de recherches effectuées dans l'intérêt public - par exemple, pour vérifier si un site web est illégalement discriminatoire. Cette disposition est importante pour les chercheurs qui pourraient autrement enfreindre les conditions d'utilisation des sites ou les lois sur le piratage informatique.
L'ADPPA contient également une disposition qui s'attaque au problème des services conditionnés par le consentement - ces ennuyeuses cases "J'accepte" qui obligent les gens à accepter un fatras de clauses juridiques. Lorsque vous cliquez sur l'une de ces cases, vous renoncez contractuellement à vos droits à la vie privée pour pouvoir simplement utiliser un service, visiter un site web ou acheter un produit. Le projet de loi empêchera les entités concernées d'utiliser le droit des contrats pour contourner les protections qu'il prévoit.
S'inspirer de la législation fédérale sur la surveillance électronique
La loi américaine sur la confidentialité des communications électroniques peut servir de guide aux législateurs fédéraux pour la finalisation de l'ADPPA. Comme l'ADPPA, la législation ECPA de 1986 a entraîné une révision massive de la loi américaine sur la protection de la vie privée dans le domaine électronique, afin de remédier aux effets néfastes sur la vie privée et les libertés civiles des progrès des technologies de surveillance et de communication. Une fois encore, les progrès des technologies de surveillance et de données, telles que l'intelligence artificielle, affectent considérablement les droits des citoyens.
L'ECPA, toujours en vigueur aujourd'hui, fournit une norme nationale de base pour la protection de la surveillance électronique. L'ECPA protège les communications contre l'interception, sauf si l'une des parties à la communication y consent. Mais l'ECPA n'empêche pas les États d'adopter des lois plus protectrices, de sorte qu'ils peuvent choisir d'accorder des droits plus importants en matière de protection de la vie privée.
Le résultat final : environ un quart des États américains exigent le consentement de toutes les parties pour intercepter une communication, offrant ainsi à leurs citoyens des droits accrus en matière de protection de la vie privée. L'équilibre fédéral/étatique de l'ECPA fonctionne depuis des décennies maintenant, et l'ECPA n'a pas submergé les tribunaux ni détruit le commerce.
Préemption nationale
Telle qu'elle est rédigée, l'ADPPA préempte certaines lois étatiques sur la confidentialité des données. Cela concerne la loi californienne sur la protection de la vie privée des consommateurs, mais pas la loi de l'Illinois sur la confidentialité des informations biométriques ni les lois des États régissant spécifiquement la technologie de reconnaissance faciale. Les dispositions relatives à la préemption sont toutefois en cours de modification, car les membres de la Chambre continuent de négocier le projet de loi.
Les normes nationales de l'ADPPA fournissent des exigences de conformité uniformes, au service de l'efficacité économique ; mais sa préemption de la plupart des lois des États inquiète certains spécialistes, et la Californie s'oppose à son adoption. Si la préemption est maintenue, toute version finale de l'ADPPA sera la loi du pays, ce qui empêchera les États de protéger plus fermement la confidentialité des données de leurs citoyens.
Droit d'action privé et application
L'ADDPA prévoit un droit d'action privé, permettant aux personnes de poursuivre les entités couvertes qui violent leurs droits en vertu de l'ADPPA. Cela donne un grand coup de pouce aux mécanismes d'application du projet de loi, bien qu'il y ait des restrictions importantes. La Chambre de commerce des États-Unis et l'industrie technologique s'opposent à un droit d'action privé, préférant que l'application de l'ADPPA soit limitée à la Commission fédérale du commerce. Mais la FTC a beaucoup moins de personnel et beaucoup moins de ressources que les avocats américains.
L'ECPA, à titre de comparaison, dispose d'un droit d'action privé. Elle n'a pas submergé les tribunaux ou les entreprises, et les entités se conforment probablement à l'ECPA pour éviter les procès civils. De plus, les tribunaux ont affiné les termes de l'ECPA, fournissant un précédent clair et des directives de conformité compréhensibles.
Quelle est l'ampleur des changements ?
Les changements apportés à la loi américaine sur la confidentialité des données sont importants, mais l'ADPPA offre aux citoyens américains une sécurité et des protections des données dont ils ont grandement besoin, et je pense qu'elle est applicable moyennant quelques modifications.
Compte tenu du fonctionnement d'Internet, les données circulent régulièrement au-delà des frontières internationales, de sorte que de nombreuses entreprises américaines ont déjà intégré dans leurs systèmes la conformité aux lois d'autres pays. Cela inclut le règlement général sur la protection des données de l'Union européenne, une loi similaire à l'ADPPA. Facebook, par exemple, offre aux citoyens de l'Union européenne les protections du RGPD, mais n'offre pas ces protections aux citoyens américains, car il n'est pas tenu de le faire. Le Congrès a fait peu de choses en matière de confidentialité des données, mais l'ADPPA est sur le point de changer cela.
Le règlement général sur la protection des données - RGPD
Tout organisme quels que soient sa taille, son pays d’implantation et son activité, peut être concerné. En effet, le RGPD s’applique à toute organisation, publique et privée, qui traite des données personnelles pour son compte ou non, dès lors :
- qu'elle est établie sur le territoire de l’Union européenne ;
- ou que son activité cible directement des résidents européens.
- jusqu’à 4 % du chiffre d’affaires annuel mondial ou 20 millions d’euros pour tout manquement relatif aux droits des personnes ;
- jusqu’à 2 % du chiffre d'affaires annuel mondial ou 10 millions d’euros pour un manquement au principe de Privacy By Design, etc. ;
- une publication de la sanction aux frais de l’organisme ;
- un rappel à l’ordre de la CNIL ;
- des injonctions sous astreintes allant jusqu’à 100 000 euros par jour ;
- des sanctions pénales ;
- des dommages et intérêts au civil ;
- et autres mesures spécifiques.
Pour les associations n'ayant pas de chiffre d'affaires, les sanctions maximales sont limitées par les montants pécuniaires c'est-à-dire jusqu'à 20 millions d’euros. Les sanctions sont prononcées par la formation restreinte de la CNIL ou par sa Présidente.
- Plus de 14 143 plaintes en 2021 ont été adressées à la CNIL contre 13 585 en 2020.
- Augmentation de 54 % des contrôles effectués par la CNIL en 2021 en comparaison de 2020.
- Augmentation de 175 % des mises en demeure prononcées en 2021 en comparaison de 2020.
- 214 106 000 € d’amendes prononcées par la CNIL en 2021 contre 138 489 300 € en 2020.
En France, Google a été condamné à 50 millions d'euros, car les informations mises à disposition des utilisateurs étaient difficilement accessibles et compréhensibles.
En Allemagne, la société immobilière allemande Deutsche Wohnen a été condamnée à 14,5 millions d'euros. Elle conservait des données outre mesure en enfreignant le Règlement Général sur la Protection des Données.
Au Royaume-Uni (hors UE), 110 millions d'euros pour les hôtels Marriott suite à une violation de données de plus de 330 millions de personnes. La compagnie British Airways a été condamnée à plus de 204 millions d'euros pour avoir révélé les données de ses clients.
Sources : U.S. Congress, CNIL
Et vous ?
Le projet de loi US sur la confidentialité des données est-il pertinent ?
Quelle appréciation faites-vous du GDPR ?
Quelle appréciation faites-vous de la CNIL ?
Voir aussi :
GDPR : votre entreprise est-elle bien préparée au nouveau règlement européen sur la protection des données ? Mise en lumière de quelques points clefs
Facebook minimise les impacts du GDPR sur ses affaires et rassure ses investisseurs, qui ont exprimé des inquiétudes
USA : Microsoft appelle à une réglementation fédérale de l'industrie technologique, qui devrait être interopérable avec le GDPR
OVHcloud s'associe à Aiven pour enrichir son offre de Database-as-a-Service, pour permettre aux organisations d'accélérer leur innovation et d'assurer la protection de leurs données (GDPR)