Matt Anderson Photographie/Getty Images
La confidentialité des données aux États-Unis est, à bien des égards, un vide juridique. Bien qu’il existe des protections limitées pour les données de santé et financières, le berceau des plus grandes entreprises technologiques du monde, comme Apple, Amazon, Google et Meta (Facebook), ne dispose d’aucune loi fédérale complète sur la confidentialité des données. Cela laisse aux citoyens américains une protection minimale de la confidentialité des données par rapport aux citoyens d’autres pays. Mais cela est peut-être sur le point de changer.
Avec un rare soutien bipartisan, la loi américaine sur la protection des données et de la vie privée a été retirée du comité de la Chambre des représentants des États-Unis sur l’énergie et le commerce par un vote de 53 voix contre 2 le 20 juillet 2022. Le projet de loi doit encore être adopté par l’ensemble de la Chambre et du Sénat. , et les négociations sont en cours. Compte tenu de la stratégie de pratiques responsables en matière de données de l’administration Biden, le soutien de la Maison Blanche est probable si une version du projet de loi est adoptée.
En tant que juriste et avocat qui étudie et pratique le droit de la technologie et de la confidentialité des données, j’ai suivi de près la loi, connue sous le nom d’ADPPA. S’il est adopté, il modifiera fondamentalement la loi américaine sur la confidentialité des données.
L’ADPPA comble le vide en matière de confidentialité des données, renforce la préemption fédérale sur certaines lois étatiques sur la confidentialité des données, permet aux individus d’intenter une action en justice pour violation et modifie considérablement l’application de la loi sur la confidentialité des données. Comme tous les grands changements, l’ADPPA reçoit des critiques mitigées de la part des médias, des universitaires et des entreprises. Mais beaucoup voient le projet de loi comme un triomphe pour la confidentialité des données aux États-Unis, qui fournit une norme nationale nécessaire pour les pratiques en matière de données.
Qui et quoi l’ADPPA réglementera-t-elle ?
L’ADPPA s’appliquerait aux entités « couvertes », c’est-à-dire à toute entité collectant, traitant ou transférant des données couvertes, y compris les organisations à but non lucratif et les propriétaires uniques. Il réglemente également les fournisseurs de téléphonie cellulaire et Internet et d’autres transporteurs publics, avec des modifications potentiellement préoccupantes de la réglementation fédérale sur les communications. Elle ne s’applique pas aux entités gouvernementales.
L’ADPPA définit les données « couvertes » comme toute information ou dispositif qui identifie ou peut être raisonnablement lié à une personne. Il protège également les données biométriques, les données génétiques et les informations de géolocalisation.
Le projet de loi exclut trois catégories de mégadonnées : les données anonymisées, les données sur les employés et les informations accessibles au public. Cette dernière catégorie comprend les comptes de médias sociaux avec des paramètres de confidentialité ouverts au public. Alors que la recherche a montré à plusieurs reprises que les données anonymisées peuvent être facilement réidentifiées, l’ADPPA tente de résoudre ce problème en exigeant que les entités couvertes prennent « des mesures techniques, administratives et physiques raisonnables pour s’assurer que les informations ne peuvent, à aucun moment, être utilisées ». pour ré-identifier tout individu ou appareil.
Comment ADPPA protège vos données
La loi exigerait que la collecte de données soit aussi minimale que possible. Le projet de loi autorise les entités couvertes à collecter, utiliser ou partager les données d’un individu uniquement lorsque cela est raisonnablement nécessaire et proportionné à un produit ou service demandé par la personne ou pour répondre à une communication initiée par la personne. Il permet la collecte à des fins d’authentification, d’incidents de sécurité, de prévention d’activités illégales ou d’atteintes graves aux personnes, et de respect des obligations légales.
Les gens obtiendraient des droits d’accès et auraient un certain contrôle sur leurs données. ADPPA donne aux utilisateurs le droit de corriger les inexactitudes et éventuellement de supprimer leurs données détenues par les entités couvertes.
Le projet de loi autorise la collecte de données dans le cadre de la recherche pour le bien public. Il permet la collecte de données pour des recherches évaluées par des pairs ou des recherches effectuées dans l’intérêt public, par exemple pour tester si un site Web est illégalement discriminatoire. Ceci est important pour les chercheurs qui pourraient autrement enfreindre les termes du site ou les lois sur le piratage.
L’ADPPA contient également une disposition qui s’attaque au problème du service conditionné par le consentement – ces boîtes ennuyeuses « J’accepte » qui obligent les gens à accepter un fouillis de termes juridiques. Lorsque vous cliquez sur l’une de ces cases, vous renoncez contractuellement à vos droits à la vie privée comme condition pour simplement utiliser un service, visiter un site Web ou acheter un produit. Le projet de loi empêchera les entités couvertes d’utiliser le droit des contrats pour contourner les protections du projet de loi.