Protection des données personnelles : vers un RGPD américain ?

Les membres du Congrès travaillent actuellement sur un projet de loi fédéral nommé « American Data Privacy and Protection Law ». Il a pour ambition d’instaurer des règles en matière de collecte de données, de leur revente par des courtiers en données et de leur utilisation par l’IA. Quels sont les droits et les devoirs que ce nouveau texte occasionnerait ? Quelles en sont les limites ?

Contrairement à l’Union européenne, au Canada, au Brésil et à la Chine, les États-Unis ne disposent pas de loi fédérale sur la protection des données personnelles. Seuls certains États américains (Californie, Nevada, Colorado…) en disposent. Le niveau de protection de la vie privée d’un Américain est donc très disparate à l’échelle du pays, faute de règles également appliquées.

Pour mettre fin à cette situation, les parlementaires américains travaillent depuis le mois de juillet 2022 sur un texte de loi comparable au RGPD en Europe. Baptisée « American Data Privacy and Protection Law » (ADPPA), sa première mouture a été rédigée par le comité en charge de l’Énergie et du Commerce à la Chambre des représentants. Il doit être approuvée par les membres de cette chambre, puis par le Sénat, pour être officiellement promulgué. Une échéance encore lointaine avant l’application de cette loi mais qui n’en rend pas moins important son contenu.

Les nouvelles règles pour la collecte de données

Objectif : rendre plus transparente la collecte des données personnelles en se limitant à celles « raisonnablement nécessaire à une entreprise ou une association pour fournir à ses clients internautes les produits ou les services qu’ils sont susceptibles de demander ». Par « données personnelles », le texte entend toute information indiquant l’identité d’une personne ou permettant de reconnaître l’appareil qu’elle utilise. Des mesures de protection supplémentaires sont prévues pour les données « sensibles » comme celles issues de la géolocalisation, celles qui concernent l’état de santé d’une personne ou toutes les données d’internautes de moins de 17 ans.

Quelles entités sont visées par ce projet de loi ? Celles qui « collectent, traitent ou encore transfèrent des données personnelles recueillies en ligne » et dont les activités sont surveillées par le Federal Trade Commission (FTC), comme les sites de e-commerce conservant les formulaires de leurs clients, les applications mobiles et les logiciels analysant des données provenant des cookies. Cette loi concerne aussi les organismes à but non lucratif ainsi que les entreprises de télécommunications.

Toutes ces entités devront réduire la quantité de données recueillies. Il sera aussi nécessaire d’indiquer aux internautes comment demander l’effacement, la modification ou la portabilité de leurs données personnelles. Chaque entité devra enfin nommer au moins un responsable de la protection et de la confidentialité des informations personnelles et en indiquer ses coordonnées. Enfin, ces entités devront indiquer si les données qu’elles collectent seront disponibles dans des pays « sensibles » tels que la Chine, la Russie, l’Iran et la Corée du Nord.

Outre la protection de la vie privée, l’ADPPA souhaite aussi discipliner l’utilisation de l’IA. Les organismes qui en font usage devront veiller à « ne pas opérer de discrimination lors de la collecte, du traitement et de l’envoi de données ». Cette phase de « traitement » comprend les tâches réalisées par un algorithme. Les entités qui en disposent devront évaluer si l’usage d’une IA a des effets néfastes.

Le texte de loi indique le contenu de cette évaluation. Elle devra indiquer les données utilisées, les tâches accomplies par ces algorithmes et le résultat escompté. Il faudra aussi expliquer les raisons pour lesquelles le recours à un algorithme a été choisi et non l’intervention de travailleurs humains. Les entités doivent aussi expliquer comment elle compte prévenir tous les dommages causés par cette technologie et fournir un audit de l’algorithme utilisé par un organisme indépendant.

Davantage de moyens pour assurer le respect de la vie privée

L’ADPPA prévoit que la Federal Trade Commission soit mandatée pour veiller à son application. Un Bureau of Privacy sera créé pour mettre en ligne, 90 jours après la promulgation de la loi, un site internet dans lequel seront expliqués les recours disponibles à chaque citoyen pour assurer la confidentialité de leurs données personnelles. L’agence devra tenir un registre des organismes tiers pouvant collecter des données, parmi lesquels se trouvent les data brokers, pour les soumettre à un audit de conformité à la loi.

Un service du FTC, le Bureau of Economics, devra rédiger à partir de la cinquième année d’application de cette loi un rapport indiquant si les organisations visées par cette loi ont obtempéré aux demandes des citoyens américains. La grande nouveauté de cette loi réside dans la possibilité, pour des personnes physiques, de mettre en examen les organisations qui seraient en infraction. Et ce lors de procédures judiciaires individuelles ou collectives.

Pour éviter tout excès, il sera nécessaire aux plaignants de prévenir le FTC et l’attorney general pour faire examiner leur demande. Si elle est jugée recevable, ils devront accorder un délai à l’organisation accusée pour faire amende honorable, effacer les données indûment collectées et se mettre en conformité avec la loi.

Les soutiens de cette loi

Bien que le texte n’ait pas encore été promulguée, son adoption par le Congrès est probable en raison du consensus sur la nécessité d’harmoniser la législation sur la collecte d’informations personnelles. Les organisations patronales approuvent d’ailleurs l’instauration de l’ADPPA. Dans un communiqué de septembre 2022, le Business Roundtable, qui réunit les dirigeants des principales entreprises américaines, a jugé souhaitable sa mise en application. La loi soulagerait en effet les entreprises américaines du travail d’adaptation à chaque législation.

De leur côté, les ONG de défense de la vie privée saluent un texte faisant avancer leur cause. Elles sont soutenues par les associations féministes pour qui la défense de l’anonymat en ligne est une nouvelle priorité. Après l’abrogation de l’arrêt Roe vs Wade, l’accès à l’avortement varie en fonction de l’État. Conséquence : le risque de surveillance accrue des personnes susceptibles d’aider à avorter une personne vivant dans un État ou l’avortement est illégal.

Ce risque est d’autant plus important que des États comme le Texas ou l’Oklahoma autorisent les poursuites contre les particuliers réalisant cet acte là où il est autorisé. Par conséquent, la protection et la confidentialité des données personnelles est nécessaire pour les militants pro-choice. Et l’ADPPA fournit une protection pour les femmes souhaitant avorter.

Ce texte n’est cependant pas exempt de critique. Il est impossible, par exemple, de s’opposer à la collecte de données si elle permet le développement ou la mise à jour des fonctionnalités d’un site ou d’une application. Son périmètre ne comprend pas les organisations publiques. Impossible donc de demander à une entreprise ou à une ONG de ne pas transmettre les données personnelles aux autorités américaines. La plus grande limite de cette loi provient du fait qu’une fois appliquée, elle prévaudrait sur toute juridiction « locale » déjà existante.

Dans les États ayant déjà légiféré, la crainte d’un recul des règles de respect de la vie privée en ligne a été exprimée. En Californie, où s’applique le California Consumer Privacy Act (loi la plus restrictive en matière de protection des données), la dirigeante de l’agence californienne de protection de la vie privée alertait au mois de septembre dernier sur le risque de disparition que fait peser l’apparition d’une loi fédérale.

En dépit de ces réserves, l’adoption de l’ADPPA est encouragée par les parlementaires des deux bords politiques et par le président Joe Biden. Il s’est exprimé deux fois depuis début 2023 sur l’importance d’une protection de la privacy sur tout le territoire américain.