La confidentialité des données aux États-Unis est, à bien des égards, un vide juridique. Bien qu'il existe des protections limitées pour les données de santé et financières, le berceau des plus grandes entreprises technologiques du monde, comme Apple, Amazon, Google et Meta (Facebook), ne dispose d'aucune loi fédérale complète sur la confidentialité des données. Cela laisse aux citoyens américains une protection minimale de la confidentialité des données par rapport aux citoyens d'autres pays. Mais cela est peut-être sur le point de changer.

Avec un soutien bipartite rare, la loi américaine sur la protection des données et de la vie privée a été retirée du comité de la Chambre des représentants des États-Unis sur l'énergie et le commerce par un vote de 53 voix contre 2 le 20 juillet 2022. Le projet de loi doit encore être adopté par l'ensemble de la Chambre et le Sénat. , et les négociations sont en cours. Compte tenu de la stratégie de pratiques responsables en matière de données de l'administration Biden, le soutien de la Maison Blanche est probable si une version du projet de loi est adoptée.

En tant que juriste et avocat qui étudie et pratique le droit de la technologie et de la confidentialité des données, j'ai suivi de près la loi, connue sous le nom d'ADPPA. Si elle est adoptée, elle modifiera fondamentalement la loi américaine sur la confidentialité des données.

L'ADPPA comble le vide en matière de confidentialité des données, renforce la préemption fédérale sur certaines lois étatiques sur la confidentialité des données, permet aux individus d'intenter une action en justice pour violation et modifie considérablement l'application de la loi sur la confidentialité des données. Comme tous les grands changements, l'ADPPA reçoit des critiques mitigées de la part des médias, des universitaires et des entreprises. Mais beaucoup voient le projet de loi comme un triomphe pour la confidentialité des données aux États-Unis, qui fournit une norme nationale nécessaire pour les pratiques en matière de données.

Qui et quoi réglementera l'ADPPA ?

L'ADPPA s'appliquerait aux entités "couvertes", c'est-à-dire à toute entité collectant, traitant ou transférant des données couvertes, y compris les organisations à but non lucratif et les propriétaires uniques. Il réglemente également les fournisseurs de téléphonie mobile et d'Internet et d'autres transporteurs publics, avec des modifications potentiellement préoccupantes de la réglementation fédérale sur les communications. Elle ne s'applique pas aux entités gouvernementales.

L'ADPPA définit les données « couvertes » comme toute information ou dispositif qui identifie ou peut être raisonnablement lié à une personne. Il protège également les données biométriques, les données génétiques et les informations de géolocalisation.

Le projet de loi exclut trois grandes catégories de données :les données anonymisées, les données des employés et les informations accessibles au public. Cette dernière catégorie comprend les comptes de médias sociaux avec des paramètres de confidentialité ouverts au public. Alors que la recherche a montré à plusieurs reprises que les données anonymisées peuvent être facilement réidentifiées, l'ADPPA tente de résoudre ce problème en exigeant des entités couvertes qu'elles prennent "des mesures techniques, administratives et physiques raisonnables pour s'assurer que les informations ne peuvent, à aucun moment, être utilisées pour ré-identifier tout individu ou appareil."

Comment ADPPA protège vos données

La loi exigerait que la collecte de données soit aussi minimale que possible. Le projet de loi autorise les entités couvertes à collecter, utiliser ou partager les données d'un individu uniquement lorsque cela est raisonnablement nécessaire et proportionné à un produit ou service demandé par la personne ou pour répondre à une communication initiée par la personne. Il permet la collecte à des fins d'authentification, d'incidents de sécurité, de prévention d'activités illégales ou d'atteintes graves aux personnes, et de respect des obligations légales.

Les gens obtiendraient des droits d'accès et auraient un certain contrôle sur leurs données. L'ADPPA donne aux utilisateurs le droit de corriger les inexactitudes et éventuellement de supprimer leurs données détenues par les entités couvertes.

Le projet de loi autorise la collecte de données dans le cadre de la recherche pour le bien public. Il permet la collecte de données pour des recherches évaluées par des pairs ou des recherches effectuées dans l'intérêt public, par exemple pour tester si un site Web est illégalement discriminatoire. Ceci est important pour les chercheurs qui pourraient autrement enfreindre les conditions d'utilisation du site ou les lois sur le piratage.

L'ADPPA contient également une disposition qui s'attaque au problème du service conditionné au consentement - ces boîtes ennuyeuses "J'accepte" qui obligent les gens à accepter un fouillis de termes juridiques. Lorsque vous cliquez sur l'une de ces cases, vous renoncez contractuellement à vos droits à la vie privée comme condition pour simplement utiliser un service, visiter un site Web ou acheter un produit. Le projet de loi empêchera les entités couvertes d'utiliser le droit des contrats pour contourner les protections du projet de loi.

Consulte la loi fédérale sur la surveillance électronique pour obtenir des conseils

L'Electronic Communications Privacy Act des États-Unis peut guider les législateurs fédéraux dans la finalisation de l'ADPPA. À l'instar de l'ADPPA, la législation ECPA de 1986 impliquait une refonte massive de la loi américaine sur la confidentialité électronique afin de remédier aux effets néfastes sur la vie privée et les libertés civiles posés par l'évolution des technologies de surveillance et de communication. Une fois de plus, les avancées en matière de surveillance et de technologies de données, telles que l'intelligence artificielle, affectent considérablement les droits des citoyens.

L'ECPA, toujours en vigueur aujourd'hui, fournit une norme nationale de base pour les protections de surveillance électronique. L'ECPA protège les communications contre l'interception à moins qu'une partie à la communication n'y consente. Mais l'ECPA n'empêche pas les États d'adopter des lois plus protectrices, de sorte que les États peuvent choisir de fournir de plus grands droits à la vie privée. Résultat final :environ un quart des États américains exigent le consentement de toutes les parties pour intercepter une communication, offrant ainsi à leurs citoyens des droits accrus en matière de confidentialité.

L'équilibre fédéral/étatique de l'ECPA fonctionne depuis des décennies, et l'ECPA n'a pas submergé les tribunaux ni détruit le commerce.

Préemption nationale

Telle qu'elle est rédigée, l'ADPPA prévaut sur certaines législations nationales sur la confidentialité des données. Cela affecte la loi californienne sur la protection de la vie privée des consommateurs, bien qu'elle ne devance pas la loi sur la confidentialité des informations biométriques de l'Illinois ou les lois des États réglementant spécifiquement la technologie de reconnaissance faciale. Les dispositions de préemption, cependant, évoluent alors que les députés continuent de négocier le projet de loi.

Les normes nationales de l'ADPPA fournissent des exigences de conformité uniformes, au service de l'efficacité économique ; mais sa préemption sur la plupart des lois des États inquiète certains universitaires et la Californie s'oppose à son adoption.

Si la préemption est maintenue, toute version finale de l'ADPPA sera la loi du pays, empêchant les États de protéger plus fermement la confidentialité des données de leurs citoyens.

Droit privé d'action et d'exécution

L'ADDPA prévoit un droit d'action privé, permettant aux personnes de poursuivre les entités couvertes qui violent leurs droits en vertu de l'ADPPA. Cela donne un grand coup de pouce aux mécanismes d'application du projet de loi, bien qu'il comporte des restrictions importantes.

La Chambre de commerce des États-Unis et l'industrie technologique s'opposent à un droit d'action privé, préférant que l'application de l'ADPPA soit limitée à la Federal Trade Commission. Mais la FTC a beaucoup moins de personnel et beaucoup moins de ressources que les avocats américains.

L'ECPA, à titre de comparaison, dispose d'un droit d'action privé. Il n'a pas submergé les tribunaux ou les entreprises, et les entités se conforment probablement à l'ECPA pour éviter les litiges civils. De plus, les tribunaux ont affiné les conditions de l'ECPA, fournissant un précédent clair et des directives de conformité compréhensibles.

Quelle est l'ampleur des changements ?

Les changements apportés à la loi américaine sur la confidentialité des données sont importants, mais l'ADPPA offre aux citoyens américains la sécurité et la protection des données dont ils ont tant besoin, et je pense que c'est réalisable avec des ajustements.

Compte tenu du fonctionnement d'Internet, les données traversent régulièrement les frontières internationales, de sorte que de nombreuses entreprises américaines ont déjà intégré la conformité aux lois d'autres pays dans leurs systèmes. Cela inclut le Règlement général sur la protection des données de l'UE, une loi similaire à l'ADPPA. Facebook, par exemple, fournit à E.U. les citoyens américains bénéficient des protections du RGPD, mais il n'offre pas ces protections aux citoyens américains, car ils ne sont pas tenus de le faire.

Le Congrès a peu fait avec la confidentialité des données, mais l'ADPPA est sur le point de changer cela. + Explorer plus loin

Comment les données des applications de suivi des règles et de grossesse pourraient être utilisées pour poursuivre les femmes enceintes

Cet article est republié de The Conversation sous une licence Creative Commons. Lire l'article d'origine.