Déplorant le peu de mesures prises – ou pouvant être prises – par les régulateurs contre les géants de la Tech, plusieurs personnalités démocrates proposent la création d’une agence fédérale capable de réguler l’industrie. Ce n’est pas la première fois qu’un projet de régularisation est proposé aux États-Unis. La Californie, par exemple, dispose d’une loi locale depuis 2018, appelée « The California Consumer Privacy Act » (CCPA), censée protéger les données privées des utilisateurs. Cette loi a été votée pour « changer la manière dont les données sont traitées sur le plan commercial », rapportait The Verge il y a un an.
Un projet d’envergure nationale, cette fois
La loi californienne représente le minimum à garantir pour les démocrates à l’origine du projet : Anna Eschoo, et Zoe Logfren, toutes deux élues au Congrès des États-Unis pour représenter la Californie (ça tombe bien).
Inscrivez-vous à la newsletter
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
Today @RepAnnaEshoo & I introduced the most robust data privacy bill to date.
The #OnlinePrivacyAct protects users, encourages innovation, & restores trust in tech companies.
More➡️https://t.co/BPNg8WM0wb pic.twitter.com/JA4CyOzlMc
— Rep. Zoe Lofgren (@RepZoeLofgren) November 5, 2019
« Ce projet de loi est bien plus solide que la loi actuelle en Californie », explique Anna Eschoo. « Il pourrait représenter un standard pour l’ensemble du pays et procurer l’uniformité dont tout le monde a besoin » ajoute l’élue démocrate à la Chambre des représentants. Un projet comme celui-ci permettrait de ne plus traiter les cas de manière trop isolée, pour lesquels il est souvent fait référence au « droit de préemption » explique-t-elle.
Les démocrates n’en sont pas à leur premier coup d’essai, Nancy Pelosi, présidente de la Chambre des représentants des États-Unis – aujourd’hui bien connue pour avoir déclaré le lancement de la procédure engagée contre Donald Trump fin octobre – avait déjà confié à Ro Khanna, démocrate élu au Congrès, la tâche d’établir un projet de loi capable de préserver le droit à la vie privée des utilisateurs.
Celui proposé par les représentantes implantées dans la Silicon Valley, obligerait les entreprises à expliquer pourquoi elles doivent collecter et traiter des données. L’accès aux données des utilisateurs serait minimisé, notamment les communications privées tels que les courriers électroniques, utilisés à des « fins invasives », autrement dit : l’envoi d’annonces et de publicités ciblées. Le texte prévoit également d’autoriser les utilisateurs à accéder, corriger, transférer ou effacer leurs données. Élément qui tend à se rapprocher du règlement européen appliqué par le RGPD (Règlement général sur la protection des données). L’emploi des algorithmes IA et du Machine learning (apprentissage automatique) par les entreprises technologiques nécessiterait l’autorisation des usagers. Même chose pour la vente des données personnelles. Tout piratage des données utilisées par les sociétés devrait également être communiqué aux utilisateurs sous 72h. Là encore, le RGPD impose l’envoi de notifications aux utilisateurs en cas de récupération illégale des données. Enfin, des mesures contre la « ré-identification » ou l’incitation à livrer ses données en échange d’un nouveau design sont également établies par le projet.
Pour ce qui est des sanctions, la loi prévoierait une amende de 42.530 dollars pour chaque incident relevé, et les procureurs généraux pourraient engager des actions civiles :
« Notre pays est constamment à la recherche d’un cadre juridique pour protéger les consommateurs des industries de croissance de la collecte et du partage de données, qui ne cessent de se développer et qui constituent des milliards d’informations annuelles sur les américains », déclare Zoé Logfren.
Les représentantes démocrates à l’origine du projet / Crédit : Getty – Bill Clark
Des ressemblances avec la législation européenne
L’ensemble du projet comprend des mesures très similaires à celles représentées par la France avec la CNIL (Commission nationale de l’informatique et des libertés) créée en 1978, et par l’Europe avec le RGPD, ratifié pour la première fois en 1995.
La CNIL établit la chose suivante : l’informatique qui doit être au service du citoyen « ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques ». Ces injonctives avaient été mises en place pour prévenir contre des abus administratifs révélés en France en 1974, durant le scandale provoqué par un projet appelé SAFARI (finalement avorté), et qui consistait à créer un « fichier automatisé reposant sur le numéro de sécurité sociale de l’individu et permettant l’accès à tout un ensemble d’informations sur lui ». Le RGPD, lui, « marque le départ d’une protection vis-à-vis de grands acteurs économiques » traitant les problèmes de libre circulation des données personnelles, et la marchandisation de celles-ci.
Avec quelques années d’écart donc… plusieurs représentants américains, principalement les démocrates, semblent bien décidés à réguler davantage l’utilisation et la marchandisation des données personnelles des utilisateurs. Nul doute que ces propositions sont en adéquation avec les valeurs défendues par les démocrates pour les prochaines élections, allant parfois jusqu’à envisager le démantèlement des géants de la Tech, ainsi que le propose Elizabeth Warren (candidate aux présidentielles de 2020).
Depuis plusieurs années, et surtout ces derniers mois, les acteurs du Web font également l’objet de plusieurs enquêtes fédérales menées par les sénateurs du Congrès : toutes sont censées déterminer jusqu’à quel point les géants de la Tech abusent de leur pouvoir pour finalement adopter un comportement anticoncurrentiel.
Il peut sembler difficile de clarifier l’usage de ces données, qui mettent régulièrement au devant de la scène le droit à l’anonymat, à l’oubli, et la protection des données. Si pendant longtemps, les immenses bénéfices financiers ont conduit à toujours plus d’intrusion dans la vie privée des citoyens, il semblerait que les consciences s’élèvent, réclamant la protection des droits de chacun.
Convenir d’un accord raisonnable entre les entreprises et les représentants des lois risque d’être long, et pénible. Les plus pessimistes diront même « interminable ». D’autant que ces décisions, indissociables des actions, et des acteurs… publiques et politiques, peinent parfois à trouver leur légitimité devant l’utilisation des données personnelles, accordée cette fois, quand il s’agit de surveillance – généralement réclamée par les autorités – au nom de la protection nationale par exemple.
Un vrai casse-tête pour qui voudrait définir ce qui revient de droit au citoyen. Les sommes d’argent entassées avec la récupération des données personnelles représentent désormais deux marchés colossaux : le ciblage des publicités d’une part, et la surveillance de l’autre. La technologie ne cesse de progresser sur les deux plans, et fait l’objet d’investissements provoquant une transformation du marché du travail, et une transformation des valeurs économiques, au sein desquelles les intérêts financiers et gouvernementaux priment souvent. Au détriment de l’individu, tantôt appelé « utilisateur », « consommateur », et surtout par temps de période électorale… : « citoyen ».
Si le débat est passionnant, et légitime, comment raisonnablement penser que des décisions politiques pourraient être prises, indépendamment des intérêts financiers actuels, par les pouvoirs publiques ? À défaut de pouvoir s’en convaincre, diront certains, sans doute faut-il y croire, et encourager ces initiatives, qui, même si elles arrivent un peu tard, restent un moindre mal pour limiter les abus. Et ce en dépit des aspects financiers et des luttes pour le pouvoir qui n’ont certes pas fini de ternir le problème. Surtout quand la loi s’applique exclusivement par amendes, qui, hormis leur capacité à renflouer les caisses des États, ne semblent guère dissuasives pour les géants de la Tech.
Point positif tout de même, si les États-Unis parvenaient à mettre en place un tel projet, les entreprises pourraient plus difficilement user des décalages existant pour le moment entre l’application des lois au sein de l’Union européenne, et les territoires outre-Atlantique : à l’instar par exemple de Google, et la position adoptée par la société concernant le droit à l’oubli, pour ne prendre que celui-là.