Bientôt un RGPD américain ?
Publié le 31/08/2022 par Etienne Wery
La FTC (federal trade commission) vient de lancer un chantier qui doit aboutir, à terme, à l’adoption de l’équivalent américain du RGPD. But : empêcher de revivre le cauchemar créé par l’annulation du safe harbour d’abord, et du privacy shield ensuite. Toutefois, rien n’est acquis : la FTC est encore fragilisée par les traumas imposés par l’administration Trump, et le lobby de l’industrie liée à l’exploitation des data se mobilise déjà. Et si le meilleur allié de la loi US était la cour de justice de l’UE ?
La Commission fédérale du commerce a annoncé qu’elle étudie la possibilité de règlementer la « surveillance commerciale », qu’elle définit comme la pratique consistant à « collecter, analyser et exploiter des informations sur les personnes ».
Comme le veut la procédure, la FTC a donc publié une Advance Notice of Proposed Rulemaking qui vise à recueillir les commentaires du public sur les préjudices découlant de la surveillance commerciale et déterminer si de nouvelles règles sont nécessaires pour protéger la vie privée et les informations des personnes.
« Les entreprises collectent aujourd’hui des données personnelles sur les individus à une échelle massive et dans un éventail stupéfiant de contextes », a déclaré la présidente de la FTC, Lina M. Khan. « La numérisation croissante de notre économie, associée à des modèles d’entreprise qui peuvent encourager l’accumulation sans fin de données sensibles sur les utilisateurs et une vaste expansion de l’utilisation de ces données, signifie que des pratiques potentiellement illégales peuvent être répandues. Notre objectif aujourd’hui est de commencer à constituer un dossier public solide pour déterminer si la FTC doit émettre des règles pour traiter de la surveillance commerciale et des pratiques de sécurité des données et à quoi ces règles devraient ressembler ».
Un constat identique à celui ayant abouti au RGPD
Le point de départ de la proposition repose sur les éléments suivants :
- La surveillance commerciale peut inciter les entreprises à collecter de vastes quantités d’informations sur les consommateurs, dont seule une petite est partagée de manière proactive par ces derniers. Les entreprises surveillent les consommateurs pendant qu’ils sont connectés à l’internet – chaque aspect de leur activité en ligne, leurs réseaux familiaux et amicaux, leurs historiques de navigation et d’achat, leur localisation et leurs déplacements physiques, ainsi qu’un large éventail d’autres détails personnels.
- Les entreprises utilisent des algorithmes et des systèmes automatisés pour analyser les informations qu’elles collectent. Elles gagnent de l’argent en vendant des informations sur le marché massif et opaque des données sur les consommateurs, en les utilisant pour placer des publicités comportementales ou en les exploitant pour vendre davantage de produits.
- Certaines entreprises ne parviennent pas à sécuriser de manière adéquate les vastes masses de données sur les consommateurs qu’elles collectent, mettant ainsi ces informations en danger pour les pirates et les voleurs de données.
- De plus en plus d’éléments indiquent que certains services de surveillance peuvent créer une dépendance chez les enfants et entraîner une grande variété de problèmes sociaux et de santé mentale.
- Bien que l’on sache très peu de choses sur les systèmes automatisés qui analysent les données recueillies par les entreprises, les recherches suggèrent que ces algorithmes sont sujets à des erreurs, des biais et des imprécisions. Par conséquent, les pratiques de surveillance commerciale peuvent être discriminatoires à l’égard des consommateurs en raison de caractéristiques protégées par la loi, telles que la race, le sexe, la religion et l’âge, et nuire à leur capacité à obtenir un logement, un crédit, un emploi ou d’autres besoins essentiels.
- D’autres préoccupations découlent de la manière dont les entreprises rendent la surveillance commerciale difficile à éviter. Certaines entreprises exigent que les gens s’inscrivent à la surveillance comme condition de service. Les consommateurs qui ne souhaitent pas que leurs informations personnelles soient partagées avec d’autres parties peuvent se voir refuser le service ou devoir payer une prime pour que leurs informations personnelles restent privées. Une fois que les consommateurs ont signé, les entreprises peuvent modifier leurs conditions de confidentialité pour permettre une surveillance plus étendue. Les entreprises ont de plus en plus recours à des modèles sombres ou au marketing pour influencer ou contraindre les consommateurs à partager des informations personnelles.
Traduction concrète : la FTC envisage d’adopter l’équivalent américain du RGPD.
Le résultat est tout sauf garanti
La FTC a déjà utilisé l’autorité dont elle dispose en vertu de la loi qui la crée, pour engager des actions en matière de vie privée et sécurité des données : partage de données relatives à la santé avec des tiers, collecte et partage de données sensibles relatives à l’écoute de la télévision à des fins de publicité ciblée, absence de mise en œuvre de mesures de sécurité raisonnables pour protéger des données personnelles sensibles telles que les numéros de sécurité sociale.
Le président Trump avait imposé un sérieux ralentissement via une interprétation restrictive de la loi sur la FTC, suivie d’initiatives législatives visant à rogner les pouvoirs de cette administration réputée « anti business ».
Voir la FTC reprendre ses travaux (même si c’est à une courte majorité) en vue de faire adopter une loi spécifique est, en tant que tel, un signal fort : en bétonnant la protection dans une loi spécifique, la FTC veut éviter que l’effectivité de la protection ne dépende de ses propres pouvoirs.
Pour autant, il est tout sauf certain que le projet aboutisse.
Au sein de la FTC tout d’abord, l’opposition est réelle. Le projet n’est soutenu que par une courte majorité.
Quant au marché (réseaux sociaux notamment), il est vent debout contre le projet.
Pour autant, la FTC a un allié de choix : la Cour de justice de l’UE. Celle-ci s’est montrée inflexible en annulant le safe harbour d’abord, et le privacy shield ensuite. Au fil de ses décisions, la Cour ne lâche rien ; rien n’indique qu’elle entende arrondir les angles. Les autorités nationales (CNIL, Italie, Allemagne) ont emboité le pas rapidement, en mettant par exemple une pression énorme sur Analytics. Le risque est réel que de nouvelles décisions rendent vraiment très compliqués les échanges UE-USA, avec un impact économique énorme.
Dans ce contexte, un équivalent américain au RGPD serait, sans nul doute, un paramètre important que la CJUE prendrait en compte si elle devait se pencher une nouvelle fois sur une décision d’adéquation. Un paramètre important certes, mais pas nécessairement décisif. En effet, lorsqu’elle a annulé le safe harbour et le privacy shield, la CJUE s’est essentiellement basée sur la situation des autorités publiques : en substance, elle s’inquiétait que quiconque porte un uniforme (ou un costume noir et un van Suburban), puisse trop facilement et sans réel contrôle accéder aux données. Sur cette question, le projet de la FTC ne change rien et pour cause : il porte sur la « surveillance commerciale ».
Il n’en reste pas moins que les entreprises US qui s’opposent à la loi américaine sont confrontées à un choix cornélien : soutenir la loi US et espérer ainsi débloquer les échanges UE-USA qui leur rapportent beaucoup d’argent, ou continuer à s’opposer à la loi et risquer l’arrêt de ces échanges.
Plus d’infos ?
En lisant les documents joints, dont le fact sheet de la FTC.
En lisant l’Advance Notice of Proposed Rulemaking de la FTC, disponible ici.