Le Congrès américain tente depuis plusieurs années d’adopter une loi fédérale d’envergure pour la protection de la vie privée. En avril 2024, une proposition de loi, bipartisane et bicamériste (American Privacy Rights Act - APRA) a été introduite sous la forme d’un « discussion draft »1. Elle fait suite à diverses tentatives, dont en 2022, l’American Data Privacy and Protection Act (ADPPA)2, dont il reprend des éléments. Le Congrès tente de reprendre la main et définir une approche nationale unique qui préempte les lois des Etats3 et cherche à éviter un patchwork de lois.
Les premières réactions semblent plutôt positives4 et saluent un tournant législatif important et la montée en puissance de la protection des données. Pour autant, il n’est pas certain que la loi puisse être adoptée avant la fin de l’année 2024, vu le calendrier politique américain avec les élections présidentielles de novembre 2024.
Les 4 objectifs de l'American Privacy Rights Act
- Offrir à tous les Américains un droit fondamental à la vie privée numérique
- Créer une loi nationale réglementant la manière dont les entreprises peuvent utiliser les données personnelles
- Limiter la capacité des entreprises à suivre, anticiper et manipuler les comportements des particuliers à des fins lucratives à leur insu et sans leur consentement
- Établir une norme nationale uniforme pour la confidentialité et la sécurité des données aux États-Unis.
Résumé du projet de loi
Le projet de loi5 vise à établir des droits à la confidentialité des données des consommateurs sur le plan national. Le projet imposerait aux acteurs concernés (« covered entities ») d’être transparents sur la façon d’utiliser les données des consommateurs et accorde à ceux-ci le droit d’accéder, corriger, effacer et exporter leurs données, ainsi que de pouvoir se désengager des publicités ciblées et des transferts de données.
Il instaure des normes de minimisation des données, les sociétés n’étant autorisées qu’à recueillir et utiliser seulement les données (« covered data ») pour des objectifs nécessaires et limités (15 sont définis (par exemple « protecting data security », « defending claims »), pour un produit ou un service spécifique demandé par le consommateur. Cette minimisation est sans précédent dans le droit américain, à l’exception possible de la loi du Maryland6 adoptée récemment, selon l’International Association of Privacy Professionals (IAPP)7.
- Le transfert des données concernées sensibles à des tiers, sans obtenir le consentement effectif du consommateur est interdit.
- Les données des mineurs de moins de 17 ans sont traitées comme des données sensibles.
- Interdiction de l’utilisation des données sensibles à des fins discriminatoires à l’égard des consommateurs (protection étendue des droits civils).
- La loi accorderait aux consommateurs le droit de refuser l’utilisation d’algorithmes pour prendre des décisions.
- Le recours aux « dark patterns» pour tromper l’utilisateur serait également interdit.
Le projet de loi introduit un système d'encadrement à trois niveaux : la Federal Trade Commission (FTC), les procureurs généraux des États (ou leurs « chief consumer protection officers ») et les consommateurs pourraient sanctionner les violations de la loi.
Des mécanismes d’application stricts sont introduits pour tenir les contrevenants responsables. Un droit d’action privé pour les particuliers est crée leur permettant de poursuivre les sociétés impliquées s’ils sont lésés par une violation de données.
Ce droit permet de faire appliquer diverses dispositions et de demander des dommages-intérêts, des ordonnances, un jugement déclaratoire, et des frais juridiques et de litige « raisonnables».
La rapporteuse du projet pour le House Committee on Energy and Commerce, Cathy McMorris Rodgers, ajoute : “It reins in Big Tech by prohibiting them from tracking, predicting, and manipulating people’s behaviors for profit without their knowledge and consent”8.
Principales dispositions du American Privacy Rights Act
Champ d'application9
Le champ des sociétés concernées (« covered entities »)10 est large. Il couvre sociétés commerciales et organisations sans but lucratif, mais n’inclut pas l’administration et ses agences. Il couvre les sociétés relevant de l’autorité de la FTC, mais aussi les opérateurs de télécommunications relevant de la Federal Communications Commission (FCC). Les fournisseurs de services qui traitent les données pour les entités concernées entrent également dans le champ.
Sont exclues les petites sociétés dont le chiffre d’affaires annuel est inférieur 40 millions de dollars, qui traitent les données de moins de 200 000 personnes, et qui ne tirent pas de recettes du transfert des données concernées à des tiers.
Principales définitions
- "Covered algorithm" désigne un processus computationnel qui prend une décision ou facilite la prise de décision humaine en utilisant des données couvertes.
- "Covered data" : des informations qui identifient ou sont liées ou raisonnablement susceptibles d’être liées à un individu, y compris en combinaison avec d’autres informations.
- "Individuals" désigne des personnes physiques résidant aux États-Unis.
- "Sensitive data"11 : ces données sont définies de manière large pour inclure des données relatives aux identifiants gouvernementaux ; la santé ; les biométriques ; les génétiques ; les comptes financiers et les paiements ; la géolocalisation précise ; les identifiants de connexion ; les communications privées ; les comportements sexuels révélés ; les données de calendrier ou de carnet d’adresses, les journaux d’appels téléphoniques, les photos et enregistrements pour usage privé ; les images intimes ; l’activité de visionnage de vidéos ; la race, l’ethnicité, l’origine nationale, la religion ou le sexe ; les activités en ligne au fil du temps et sur des sites web tiers ; les informations concernant un mineur de moins de 17 ans ; et d’autres données que la FTC définit comme des données couvertes sensibles par règlement. Un tiers désigne toute entité qui reçoit des données couvertes d’une autre entité, à l’exception des prestataires de services. Toutes les exigences de « covered entity » s’appliquent aux tiers, à l’exception des données sensibles.
- "Third-party" désigne toute entité qui reçoit des données couvertes d’une autre entité, à l’exception des prestataires de services. Toutes les exigences de « covered entity » s’appliquent aux tiers, à l’exception des données sensibles.
Obligations spécifiques pour d’autres entités.
Outre les sociétés qui entrent dans le champ d’applications, la loi impose d’autres obligations à différents types d’organisations.
1. Aux "Large data holders", dont le chiffre d’affaires annuel est supérieur à 250 millions de
dollars, qui traitent les données personnelles de plus de 5 millions d’individus, 15 millions de
terminaux portables et 35 000 terminaux connectés, ou traitent les données sensibles de plus de
200 000 individus, 300 000 terminaux portables et 700 000 connectés.
Ces sociétés doivent publier leur politique de protection des dix dernières années, des rapports
annuels sur leur transparence, créer un « privacy » et un « security officer », procéder
biannuellement à des audits et des évaluations de l’impact sur la protection, et soumettre une
évaluation d’impact des algorithmes à la FTC lorsque ceux-ci comportent un risque de
préjudice.
2. Le projet introduit des obligations pour une nouvelle catégorie d’acteurs les « covered high
impact social media companies » dont les plateformes utilisées principalement pour accéder ou
partager des contenus générés par les utilisateurs (UGC) lorsqu’elles réalisent un chiffre
d’affaires annuel de plus de 3 millions de dollars et possèdent plus de 300 000 utilisateurs
mensuels actifs dans le monde. Les activités des utilisateurs sur les plateformes doivent être
considérées comme des données sensibles.
3.Enfin, les “data brokers” qui soit génèrent plus de 50% de leurs recettes à partir du traitement
ou de transfert de données non collectées directement auprès des individus, soit obtiennent ces
recettes en traitant ces données si elles émanent de plus de 5 millions d’individus.
Ces sociétés doivent également fournir des avis spécifiques aux consommateurs, s’inscrire sur
le registre géré par la FTC et respecter les demandes de non-collecte effectuées par le
mécanisme centralisé de désengagement géré par la FTC.
Sources :
1 140 pages : https://d1dth6e84htgma.cloudfront.net/PRIVACY_02_xml_005_6e97fe914c.pdf
2 “Overview of the American Data Privacy and Protection Act”, ADPPA H.R. 8152
3 Avec des exceptions (employee privacy, student privacy, data breach notifications and health privacy) et des “California Consumer Privacy Act” et “Biometric Information Privacy Act of Illinois”. Les états sont autorisés à adopter leurs propres lois en ce qui concerne les droits civils et la protection des consommateurs.
4 Cf. le communiqué de presse du Senate Commerce Committee: “What Others Are Saying: The American Privacy Rights Act”.
5 https://www.commerce.senate.gov/services/files/E7D2864C-64C3-49D3-BC1E-6AB41DE863F5
6 https://mgaleg.maryland.gov/mgawebsite/Legislation/Details/SB0541?ys=2024RS
7 https://iapp.org/news/a/top-takeaways-from-the-draft-american-privacy-rights-act/
8 https://energycommerce.house.gov/posts/committee-chairs-rodgers-cantwell-unveil-historic-draft
comprehensive-data-privacy-legislation
9 On trouvera dans le « cheat sheet » de l’IAPP une infographie d’une page détaillant les principales obligations par acteur. https://iapp.org/media/pdf/resource_center/american_privacy_rights_act_cheat_sheet.pdf
10 Les “covered entities" sont analogues aux "controllers" du RGPD et les "service providers" analogues aux "processors."
11 La définition de ces données est plus large que celle GDPR selon TechPolicy. https://www.techpolicy.press/the
american-privacy-rights-act-of-2024-explained-what-does-the-proposed-legislation-say-and-what-will-it-do/
Pour une confiance et une confidentialité sans faille, essayez Axeptio dès maintenant!
