Le Règlement général sur la protection des données (RGPD) de l'Union européenne est devenu la norme de référence mondiale en matière de protection de la vie privée des utilisateurs et de divulgation des infractions. Il concerne les entreprises du monde entier qui traitent ou stockent les données personnelles d'individus résidant dans n'importe quel pays de l'UE. Il définit des normes pour la protection des données, des sanctions punitives pour leur mauvaise manipulation et des règles strictes pour la divulgation de leur perte. Il assure ainsi aux citoyens de l'UE certains droits et protections relatifs à leurs données personnelles.

Son objectif est de mettre en place une réglementation unique en matière de protection de la vie privée dans l'ensemble de l’UE, de sorte que les entreprises internationales ne soient plus confrontées à des réglementations différentes d'un pays à un autre. En ce sens, il s'agit d'un équivalent européen de la loi fédérale américaine englobant l'ensemble des États-Unis.

Mais les États-Unis ne disposent pas d'une loi fédérale sur la protection de la vie privée et les entreprises nationales sont confrontées au même problème européen antérieur au RGPD : les règles diffèrent selon les États. Il est temps de se demander si les États-Unis ont besoin d’une loi fédérale sur la protection de la vie privée.

Lois fédérales aux États-Unis

Aux État-Unis, certains États ont reconnu la confidentialité qu’offre le RGPD aux citoyens et appliquent leur propre législation. Le Texas, le Nevada et Washington font partie de ces États, à l’instar de Rhode Island, du Massachusetts et de New York. 

Ils se sont plus directement inspirés de la California Consumer Privacy Act (Loi sur la vie privée des consommateurs de Californie, CCPA), qui est elle-même inspirée du RGPD. Avec une longue tradition de protection des consommateurs, la Californie est le premier État à avoir pris exemple sur l’UE et à avoir créé une loi combinant la protection des données numériques et la divulgation des violations. Le problème pour les entreprises, c’est que chaque État ne voit pas les détails de la même façon.

La CCPA et le RGPD sont loin d’être identiques. Contrairement aux lois de l’UE, la CCPA exempte les petites entreprises, celles qui collectent des données auprès de moins de 50 000 consommateurs, gagnent moins de 25 millions de dollars (environ 22 millions d’euros) par an et génèrent moins de 50 % de leurs revenus avec les données de leurs clients. Les amendes de la CCPA ne pénalisent les entreprises qu’en cas de violation, et non en cas de non-conformité.

La question qui se pose à présent est de savoir si le gouvernement fédéral devrait intervenir et imposer l’uniformité d’une loi fédérale sur la protection de la vie privée. Et dans l’affirmative, à quoi devrait-elle ressembler.

Une loi fédérale sur la protection de la vie privée

L’idée n’est nouvelle, mais une grande partie de la pression provient des entreprises plutôt que des législateurs. Intel, par exemple, a rédigé son propre projet de loi. Celui-ci a déjà été mis à jour à deux reprises suite aux commentaires et critiques d'autres entreprises, d'experts et du public. Ce qui est intéressant par rapport à la CCPA et d’autres lois, c'est que la loi Intel  met l'accent sur l'analyse risques-avantages et l'invitation à consentir plutôt que sur une protection générale des données des utilisateurs. L'objectif semble être de permettre, plutôt que de restreindre, l'utilisation des données client, mais de le faire de manière sécurisée et équitable.

Soutien et alternatives

Intel n'est pas la seule entreprise à préférer une législation fédérale. Bien que le soutien d’une loi fédérale ne fasse pas l’unanimité parmi les entreprises technologiques, Microsoft, Facebook et Google  se sont tous déclarés favorables à l’introduction d’une réglementation de type RGPD aux États-Unis. D’autre part, le concept d'une loi fédérale sur la protection de la vie privée semble bien intéresser les démocrates que les républicains, bien qu’il y ait des désaccords quant à la rigueur et à la spécificité des réglementations et à la question de savoir qui devrait les contrôler.

Dans un entretien avec Vox, Gabe Weinberg, le PDG de DuckDuckGo, a suggéré une alternative à la législation complète sur la vie privée. Il a recommandé une petite modification de la réglementation, forçant le suivi des données à être opt-in pour le consommateur, plutôt que opt-out, en utilisant des fonctionnalités déjà disponibles dans de nombreux navigateurs : « Le fait que les consommateurs l'aient déjà adopté et qu'il se trouve dans le navigateur est tout simplement une formidable opportunité législative… C'est en fait un meilleur mécanisme pour les lois sur la protection de la vie privée, car une fois que vous avez ce paramètre et qu'il fonctionne, vous n'avez plus à gérer toutes les fenêtres pop-ups. »

Les groupes de consommateurs considèrent également favorablement les lois sur la protection de la vie privée, l’organisation Consumer Watchdog (CW) vantant la CCPA, qu’elle considère comme une réforme historique qui devrait être défendue des tentatives visant à l’affaiblir ou à la modifier. CW a commenté que « les grandes entreprises de technologie et les agences de publicité chargeaient leurs lobbyistes de clamer que de telles règles causeraient un préjudice grave à leurs entreprises. »

C’est la principale préoccupation concernant une loi fédérale : les grands lobbyistes technologiques forceront une loi faible qui annulera et neutralisera efficacement les lois plus strictes des États.

Le point de vue de l’entreprise

Pour les entreprises américaines, il n’y a jamais eu de meilleur moment pour introduire une loi fédérale sur la protection des données. Le RGPD stipule que toute société collectant des données sur des personnes résidant dans l'UE doit se conformer à la législation, que cette société soit basée dans l'UE ou non. Cela signifie que pour opérer à l’international, de nombreuses entreprises américaines sont déjà conformes à la norme RGPD et disposent du cadre nécessaire pour étendre cette conformité au marché américain.

Ce qui n’est pas le cas des entreprises nationales américaines. Le respect de la protection des données est en train de devenir un cauchemar, avec (potentiellement) jusqu'à 50 lois différentes avec des spécifications et des exigences différentes. Une loi fédérale simplifierait ce processus en prévoyant une législation unificatrice dans tous les États.

Bien que cela puisse sembler contre-intuitif, les lois sur la protection de la vie privée pénalisent non seulement les entreprises qui protègent mal les données, mais offrent également des avantages non négligeables. En 2019, un rapport de Cisco révèle que les entreprises ont réduit leurs retards de vente, gagné la confiance de leurs consommateurs et obtenu un avantage concurrentiel grâce à la mise en conformité au RGPD. Les lois sur la protection de la vie privée fournissent également des directives détaillées et spécifiques sur la manière dont les entreprises doivent protéger les données. Bien que les atteintes à la sécurité des données puissent être lourdement pénalisées dans certains cas, l'accent est mis sur la sécurité et la prévention, plutôt que sur les punitions réactives.

Le point de vue du consommateur

Le meilleur argument en faveur d'une loi fédérale sur la protection de la vie privée est probablement le RGPD. Il s'est déjà avéré efficace pour protéger les consommateurs, garantir des droits supplémentaires et responsabiliser les entreprises en cas de mauvaise manipulation de données personnelles. L’étude menée par Cisco en 2019 a également montré que le RGPD réduisait les violations de données avec un impact moindre quand elles se produisaient. 

Outre les obligations en matière de protection des données, le RGPD a efficacement fourni une déclaration de droits numérique aux consommateurs, en leur donnant accès à leurs données personnelles, en leur conférant la propriété de celles-ci, et en limitant le type de données pouvant être collectées et stockées.

Cependant, on ne peut pas du tout déterminer si une loi fédérale sur la protection de la vie privée offrira autant d’avantages aux consommateurs américains que le RGPD à ceux de l’UE. La mentalité américaine est plus favorable aux entreprises que la mentalité européenne, et toute loi fédérale tentera probablement d’aider les entreprises d’abord, puis les consommateurs. Une loi fédérale pourrait être importante pour la continuité des activités, mais une loi fédérale faible invoquant la clause de suprématie  de la Constitution affaiblirait la protection des consommateurs dans des États comme la Californie.

Récapitulatif

En cas de conflit, les lois fédérales prévalent généralement sur celles des États. Dans le cas d’une loi fédérale édentée sur la protection des données, tout bien accompli par la CCPA ou autres lois d’État similaires sera anéanti. Les bienfaits de la confiance et des avantages concurrentiels issus de la conformité disparaîtraient une fois avérés creux. Et sans directives strictes à respecter, nous assisterions probablement à une augmentation du nombre de violations de données personnelles. Dans le meilleur des cas, une loi fédérale unifierait et consoliderait une solide protection des consommateurs et assurerait des avantages commerciaux tangibles. Dans le pire des cas, les consommateurs perdraient tous les avantages des lois actuelles sur la protection des données et nous reviendrions à une situation telle qu’avant la CCPA. Seulement à ce moment-là, la suprématie du droit fédéral l'emportera sur la capacité des États à rédiger leurs propres lois strictes en matière de confidentialité.

Une loi légère adoptée pour des raisons politiques risquerait d’affaiblir les protections existantes des consommateurs plutôt que de les renforcer.

Si le gouvernement des États-Unis introduit une nouvelle loi fédérale sur la protection des données et la vie privée, celle-ci devra être forte. Une loi légère adoptée pour des raisons politiques risquerait d’affaiblir les protections existantes des consommateurs plutôt que de les renforcer. Le RGPD déploie des efforts concertés sur plusieurs années pour faire une réelle différence. À moins que les législateurs américains ne disposent de l’organisation, de l’unité et des ressources nécessaires, ils doivent rester en dehors de ce combat.