Que pourrait signifier une loi fédérale sur la protection de la vie privée pour les États-Unis ?

Le gouvernement fédéral américain a vu son lot de propositions de lois générales sur la protection de la vie privée des consommateurs, qui semblent toutes s'estomper. Son dernier pourrait être différent.

Alors que la plupart des autres tentatives législatives ont été partisanes, les auteurs du Loi américaine sur le droit à la vie privée (APRA), la représentante Cathy McMorris Rodgers (R-WA) et la sénatrice Maria Cantwell (D-WA), viennent de chaque côté du Sénat. Le sénateur Cantwell opposé Le prédécesseur de l'APRA, le Loi américaine sur la confidentialité et la protection des données (ADPPA), qui n’a pas réussi à atteindre le bureau du président en 2022. Elle est désormais l’auteur bipartisan de son remplacement. Même si cette proposition n’est encore qu’un projet de discussion, cela à lui seul pourrait en faire le projet de loi fédéral américain le plus proche à ce jour d’un projet de loi fédéral américain de type RGPD.

Large couverture

Si elle est adoptée, les organisations relevant du champ d'application de l'APRA devraient suivre des normes de minimisation des données, en les collectant uniquement à des fins limitées. Les consommateurs pourraient accéder à leurs données, exiger leur suppression, leur correction et leur exportation, et pourraient refuser les transferts de données non sensibles pour des tiers. Ils devraient également opter pour les transferts de données sensibles.

Les organisations couvertes par le projet de loi sont celles qui déterminent la finalité de la collecte ou du traitement des données et qui relèvent de la loi FTC. Il existe un sous-groupe de grands détenteurs de données avec des seuils minimums plus élevés (250 millions de dollars et cinq millions de personnes), dont les membres sont confrontés à des contraintes plus strictes. Les entreprises gagnant moins de 40 millions de dollars par an et traitant les données de 200,000 XNUMX personnes maximum ne relèvent pas de son champ d’application.

La loi couvre les données raisonnablement liées à un appareil, mais pas les informations publiques ou relatives aux employés. Il existe également un sous-ensemble de données sensibles qui comprend des points de données tels que : la santé ; informations biométriques (pas de photos, audio ou vidéo) et génétiques ; course; l'origine ethnique ; origine nationale; religion; et le sexe ; ainsi que les données de compte financier et de paiement. Cette catégorie sensible est plus large et couvre des informations de géolocalisation précises, des données de connexion, des communications privées, des journaux téléphoniques et même des données de calendrier.

Il existe également des définitions explicites incluant les photos et enregistrements à usage privé, les images nues ou privées et les informations révélant un comportement sexuel.

Ben Sperry, chercheur principal en politique d'innovation au Centre international de droit et d'économie, s'inquiète d'un type particulier de données dans la catégorie des données sensibles : les activités en ligne collectées au fil du temps et sur des sites Web tiers.

"C'est généralement ainsi que fonctionne la publicité ciblée", explique-t-il à ISMS.online, ajoutant que restreindre la capacité de cibler les publicités affectera les modèles économiques des plateformes en ligne et des créateurs de contenu qui les utilisent.

Obligations générales

Les obligations des personnes visées par le projet de loi sont nombreuses. Il existe une section interdisant les pratiques de manipulation destinées à détourner l'attention des consommateurs de leurs droits à la vie privée (appelées « modèles sombres ») et une autre exigeant des pratiques de sécurité appropriées. Un autre encore exige une diligence raisonnable lors de la sélection des fournisseurs de services tiers qui traiteront les données des utilisateurs.

Les algorithmes sont également soumis à une réglementation en vertu de la loi proposée, les grands détenteurs de données étant tenus de mener des évaluations d'impact sur ceux présentant un « risque de préjudice conséquent ». Ils doivent les signaler à la FTC. Les consommateurs auraient le droit de se désinscrire de ces algorithmes.

Les organisations couvertes devraient publier des politiques de confidentialité expliquant les finalités du traitement des données et la durée de leur conservation. Les politiques devraient répertorier les tiers auxquels les données sont transférées, y compris explicitement les courtiers en données. La FTC devrait également établir un registre de courtiers en données avec une option de désinscription pour les consommateurs.

La FTC joue un rôle majeur dans cette législation, servant d'organisme d'application dans la mesure où elle mettrait fin à son application. Réglementation sur la surveillance commerciale et la sécurité des données lorsque la loi est entrée en vigueur.

Ashley Johnson, responsable politique principale du groupe de pression de l'industrie technologique Information Technology & Innovation Foundation (ITIF), identifie le rôle de la FTC comme un point de friction pour le projet de loi proposé. L'exigence d'un registre FTC central de désinscription compromet les dispositions de désinscription pour les données couvertes, a-t-elle déclaré à ISMS.online, ajoutant que cela réduirait les revenus publicitaires des services en ligne.

Quelle loi compte ?

Une autre pomme de discorde concerne les lois qui auraient préséance ; APRA ou législation au niveau de l’État. Dans l’état actuel des choses, la loi fédérale prévaudrait sur les lois des États – sauf lorsque ce n’est pas le cas, ce qui, en fin de compte, est assez fréquent.

"Bien que l'APRA vise à établir une norme nationale, elle cherche également à intégrer les fortes protections des lois des États comme celles de Californie, de l'Illinois et de Washington", prévient Perla Khattar, doctorante au Tech Ethics Lab de la faculté de droit de l'Université de Notre Dame. . « Trouver un équilibre entre ces objectifs et répondre aux préoccupations des États dotés de solides protections de la vie privée pose un défi complexe. »

La question de la préemption joue sur un autre point de tension : la disposition du projet de loi prévoyant des poursuites privées ainsi que des sanctions imposées par les procureurs généraux des États et la FTC. Cela laisse l’ITIF s’inquiéter de l’emballement des coûts.

« En vertu de la Loi sur la confidentialité des informations biométriques de l'Illinois (BIPA), d'énormes règlements de procès se chiffrant en millions de dollars, rien que pour cette seule loi d'État », explique Johnson de l'ITIF. La loi autorise les particuliers à intenter des poursuites privées.

"Beaucoup d'entreprises examinent des exemples comme celui-là et se demandent 'à quoi cela ressemblerait-il si c'était au niveau fédéral ?'."

La loi permettrait aux individus de l'Illinois de poursuivre en justice en vertu du BIPA et de sa loi sur la confidentialité des informations génétiques lorsque la violation s'y produit. Il permet également aux Californiens de poursuivre en justice en vertu du California Privacy Rights Act. Johnson appelle cela une « transaction en coulisses » qui donnerait aux États un avantage injuste.

De tels différends sont difficiles à résoudre, compte tenu des nombreux acteurs et programmes impliqués, et le temps presse.

« Si le projet de loi traîne trop longtemps sans progrès, il risque de perdre son élan et le soutien des principales parties prenantes », prévient Khattar.

« Puisque 2024 est une année électorale, le moment choisi devient encore plus critique pour l’adoption d’une législation comme l’APRA. Les législateurs sont généralement plus sensibles à l’opinion publique pendant cette période. Cependant, ils pourraient également se montrer prudents quant à leur soutien à des mesures controversées ou source de discorde.»

Même la loi la plus prometteuse ne sert à rien si elle ne parvient pas à franchir les limites. Néanmoins, les entreprises devraient se préparer à l’APRA – ou à toute tentative ultérieure de législation – comme un risque commercial.

« Tout d'abord, évaluez dans quelle mesure votre traitement actuel des données est conforme aux lois strictes des États, comme celles de la Californie ou de l'Illinois », conclut Khattar. « Les entreprises déjà conformes à des réglementations aussi strictes pourraient trouver la transition vers la conformité APRA plus fluide. Cependant, si vos pratiques ont été adaptées pour répondre à des normes moins strictes, vous pourriez avoir besoin d’ajustements importants.

Dans la mesure du possible, le fait de se conformer dès maintenant aux dispositions clés pourrait éviter des problèmes plus tard. Cela pourrait également contribuer à renforcer la confiance des clients.