Etats-Unis : quand le RGPD (et la CNIL) inspire les législateurs

Etats-Unis : quand le RGPD (et la CNIL) inspire les législateurs
Réglementaire

Aux Etats-Unis, deux élues démocrates ont récemment présenté un projet de loi portant sur la protection des données et de la vie privée sur Internet, visant à mettre en place une agence de contrôle. L’instance en question ressemble beaucoup à notre CNIL, et le texte s’inspire largement des principes du RGPD. Preuve qu’en la matière, la vieille Europe sait se faire inspirante.

Certes, cette loi a très peu de chances de voir le jour en l’état et de s’appliquer telle quelle aux Etats-Unis. D’une part parce qu’elle est portée par des élues démocrates, et que, si la Chambre des Représentants est désormais à majorité démocrate, les Républicains contrôlent toujours le Sénat – et le parti du président Trump n’est pas vraiment connu pour défendre les libertés individuelles sur la toile, comme le prouve la destruction méthodique de la neutralité du net.

USA : vers un changement de paradigme sur la protection des données ?

D’autre part parce que, durant son parcours en le Sénat et la Chambre des Représentants, cette loi risque, même si elle finit par être adoptée, d’être largement amendée.

Pour autant, il semble bien que les scandales à répétition en matière de fuite de données (Cambridge Analytica en tête) donnent envie aux législateurs américains d’envisager un changement de paradigme vers une plus grande protection des données personnelles.

L’Online Privacy Act veut créer une agence fédérale à l’image de la CNIL

En l’occurrence, la proposition de loi, baptisée « Online Privacy Act », a été rédigée par deux élues démocrates à la Chambre des Représentants, Anna Eshoo and Zoe Lofgren. Elle prévoit la création d’une agence fédérale dédiée à la protection de la vie privée sur le net. Cette Digital Privacy Agency disposerait de pouvoirs étendus et de 1 600 agents.

Actuellement, les litiges liés à la protection des données sont traitées par la Commission Fédéréale du Commerce, qui dépêche seulement quelques dizaines d’agents à temps plein à cette tâche. Le changement d’échelle proposé par cette loi est donc d’importance.

Il rappelle la mise en place, en France, en 1978, de la Commission nationale de l’informatique et des libertés (CNIL), suite au scandale du fichier SAFARI, qui prévoyait un fichage en règle des citoyens via une base de données sous contrôle de l’administration.

Un texte largement inspiré par le RGPD

Le texte s’inspire par ailleurs fortement du Règlement Général sur la Protection des Données (RGPD), entré en vigueur en mai 2018 dans l’Union Européenne et célébré dans le monde entier comme l’exemple même du texte législatif exigeant, complet, robuste et évolutif sur la question de la vie privée sur la toile.

L’Online Privacy Act reprend ainsi les grands principes de droit d’accès, de rectification et de suppression des données concernant un individu. Il impose l’obtention d’un consentement actif (« opt-in ») pour la divulgation ou la vente des données à des fins publicitaires, et mêmes pour leur utilisation pour de l’apprentissage automatique. La loi interdit également les designs de formulaires incitant les internautes à livrer leurs données.

Une loi ad hoc sur les fuites et vols de données

Autre mesure jumelle du RGPD : l’Online Privacy Act obligerait les sociétés à prévenir les internautes dans les 72 heures si leurs données ont été compromises, d’une façon ou d’une autre. Le texte dispose également d’un volet répressif qui se veut dissuasif, avec une amende de 42 530 dollars par incident. Un chiffre à multiplier par le nombre de victimes. Rappelons que Cambridge Analytica a conduit au vol de données de 50 millions de comptes…

Cette loi marquerait un progrès considérable dans la protection des données personnelles outre-Atlantique. Même si elle n’est pas votée in fine, elle permettra de féconds débats sur cette question.

La protection des données se joue à grande échelle

Rappelons que certains Etats américains, comme la Californie ou New-York, ont déjà mis en place des législations locales inspirées du RGPD, mais dont la portée est forcément limitée dans un monde d’échanges de données globalisés. De la même façon que le RGPD lui-même touche ses limites en s’entrechoquant avec la législation américaine, pour l’heure beaucoup plus permissives, notamment via le CLOUD Act.

Reste que ce projet de loi démontre bien toute l’influence du Vieux Continent pour les défenseurs des libertés sur le net, partout dans le monde. En espérant qu’il permettra de faire évoluer positivement la loi américaine.