Un projet de loi US sur la confidentialité des données donnerait plus de contrôle sur les informations personnelles collectées,

4 ans après le RGPD

Un nouveau projet de loi américain sur la confidentialité des données vise à vous donner davantage de contrôle sur les informations recueillies à votre sujet et à obliger les entreprises à modifier leur mode de traitement des données.Aux États-Unis, la confidentialité des données est, à bien des égards, un vide juridique. S'il existe des protections limitées pour les données sanitaires et financières, le berceau des plus grandes entreprises technologiques du monde, comme Apple, Amazon, Google et Meta (Facebook), ne dispose d'aucune loi fédérale complète sur la confidentialité des données.


Les citoyens américains ne bénéficient donc que de protections minimales en matière de confidentialité des données par rapport aux citoyens d'autres pays. Mais cela pourrait être sur le point de changer. Avec un rare soutien bipartisan, la loi américaine sur la protection des données et de la vie privée a été adoptée par la commission de l'énergie et du commerce de la Chambre des représentants des États-Unis par 53 voix contre 2 le 20 juillet 2022. Le projet de loi doit encore être adopté par la Chambre des représentants et le Sénat, et les négociations sont en cours. Compte tenu de la stratégie de l'administration Biden en matière de pratiques de données responsables, le soutien de la Maison-Blanche est probable si une version du projet de loi est adoptée.

En tant que juriste et avocat qui étudie et pratique le droit des technologies et de la confidentialité des données, j'ai suivi de près cette loi, connue sous le nom d'ADPPA. Si elle est adoptée, elle modifiera fondamentalement la loi américaine sur la confidentialité des données.

Notons qu’une « information personnelle » est « toute information se rapportant à une personne physique identifiée ou identifiable ». Une personne peut être identifiée :

• directement (exemple : nom, prénom) ;
• indirectement (exemple : par un identifiant (n° client), un numéro (de téléphone), une donnée biométrique, plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale, mais aussi la voix ou l’image).

L'ADPPA comble le vide en matière de confidentialité des données, instaure une préemption fédérale sur certaines lois étatiques sur la confidentialité des données, permet aux particuliers d'intenter une action en justice en cas de violation et modifie considérablement l'application de la loi sur la confidentialité des données. Comme tous les grands changements, l'ADPPA reçoit des critiques mitigées de la part des médias, des universitaires et des entreprises. Mais beaucoup considèrent le projet de loi comme un triomphe pour la confidentialité des données aux États-Unis, qui fournit une norme nationale nécessaire pour les pratiques en matière de données.

Qui et que réglementera l'ADPPA ?

L'ADPPA s'applique aux entités « couvertes », c'est-à-dire à toute entité collectant, traitant ou transférant des données couvertes, y compris les organisations à but non lucratif et les propriétaires uniques. Elle réglemente également les fournisseurs de téléphonie mobile et d'accès à Internet, ainsi que d'autres transporteurs publics, ce qui pourrait entraîner des changements importants dans la réglementation fédérale des communications. Elle ne s'applique pas aux entités gouvernementales.

L'ADPPA définit les données « couvertes » comme toute information ou tout dispositif permettant d'identifier une personne ou pouvant être raisonnablement relié à elle. Elle protège également les données biométriques, les données génétiques et les informations de géolocalisation.

Le projet de loi exclut trois catégories de big data : les données dépersonnalisées, les données des employés et les informations accessibles au public. Cette dernière catégorie comprend les comptes de médias sociaux dont les paramètres de confidentialité sont accessibles au public. Bien que les recherches aient montré à plusieurs reprises que les données dépersonnalisées peuvent être facilement réidentifiées, l'ADPPA tente d'y remédier en exigeant des entités concernées qu'elles prennent « des mesures techniques, administratives et physiques raisonnables pour s'assurer que les informations ne peuvent, à aucun moment, être utilisées pour réidentifier un individu ou un appareil ».

Comment l'ADPPA protège-t-elle les données des utilisateurs ?

La loi exige que la collecte de données soit aussi minimale que possible. Le projet de loi permet aux entités couvertes de collecter, d'utiliser ou de partager les données d'une personne uniquement lorsque cela est raisonnablement nécessaire et proportionné à un produit ou service demandé par la personne ou pour répondre à une communication initiée par la personne. Il autorise la collecte à des fins d'authentification, d'incidents de sécurité, de prévention des activités illégales ou des atteintes graves aux personnes, et de respect des obligations légales. Les personnes obtiendraient des droits d'accès et auraient un certain contrôle sur leurs données. L'ADPPA donne aux utilisateurs le droit de corriger les inexactitudes et de supprimer éventuellement les données les concernant détenues par les entités concernées.

Le projet de loi autorise la collecte de données dans le cadre de la recherche pour le bien public. Il autorise la collecte de données dans le cadre de recherches évaluées par des pairs ou de recherches effectuées dans l'intérêt public - par exemple, pour vérifier si un site web est illégalement discriminatoire. Cette disposition est importante pour les chercheurs qui pourraient autrement enfreindre les conditions d'utilisation des sites ou les lois sur le piratage informatique.

L'ADPPA contient également une disposition qui s'attaque au problème des services conditionnés par le consentement - ces ennuyeuses cases "J'accepte" qui obligent les gens à accepter un fatras de clauses juridiques. Lorsque vous cliquez sur l'une de ces cases, vous renoncez contractuellement à vos droits à la vie privée pour pouvoir simplement utiliser un service, visiter un site web ou acheter un produit. Le projet de loi empêchera les entités concernées d'utiliser le droit des contrats pour...