Deux élues démocrates ont déposé une proposition de loi pour mettre en place une nouvelle législation au niveau fédéral. Celle-ci serait appuyée par une toute nouvelle instance, la Digital Privacy Agency. En somme, une CNIL à l'américaine.

C’est parce qu’il y a eu le scandale SAFARI que la France s’est dotée, dès 1978, d’une loi « Informatique et libertés » et d’une autorité administrative indépendante chargée d’en vérifier le respect, la Commission nationale de l’informatique et des libertés (CNIL). Et c’est parce qu’il y a des scandales à répétition aux USA que le législateur américain va peut-être se doter d’une structure équivalente.

Vers une CNIL américaine ?

The Verge rapporte l’existence d’une proposition de loi, baptisée « Online Privacy Act », déposée par deux représentantes démocrates. Le texte propose la création d’une agence fédérale, qui s’appellerait la Digital Privacy Agency. Elle aurait dans ses rangs près de 1 600 agents et aurait le pouvoir de prendre des décisions et d’appliquer les règles de protection de la vie privée fixées par la loi.

De fait, cette CNIL américaine reprendrait une partie des missions qui sont actuellement dévolues à la Commission fédérale du commerce. C’est elle qui traite les dossiers relatifs à la vie privée (en témoigne par exemple l’amende de 5 milliards de dollars qu’elle a infligée à Facebook en juillet dans l’affaire Cambridge Analytica), mais elle ne mobilise qu’une poignée d’agents — quelques dizaines.

Zoe Lofgren
Zoe Lofgren, l’une des deux co-auteures du texte de loi. // Source : Gage Skidmore

Dans son contenu, la loi contient des dispositions qui rappellent celles qui existent non seulement en droit français, à travers la loi « Informatique et libertés », mais aussi au niveau européen, avec le règlement général sur la protection des données (RGPD), en vigueur depuis mai 2018. Cela comprend par exemple le droit d’accès à ses données, le droit de les rectifier, de les emporter ou bien de les effacer.

Parmi les autres dispositions qui figurent dans le texte, il y a l’obligation de recueillir le consentement actif (« opt in ») de l’internaute pour que ses données soient utilisées pour de l’apprentissage automatique et des algorithmes d’intelligence artificielle, ou bien l’interdiction de divulguer ou de vendre des données personnelles sans avoir obtenu au préalable leur consentement explicite.

Des mesures contre l’utilisation de données de tiers pour ré-identifier les internautes sont aussi au programme, tout comme des actions contre les « dark patterns », c’est-à-dire ces choix de design qui sont conçus pour orienter la décision de l’internaute et l’inciter à livrer ses données. La publicité ciblée basée sur ce que contiennent les messages privés serait aussi illégale.

Un exemple de discussion par messagerie privée. // Source : CC Kārlis Dambrāns

Un texte qui rappelle le RGPD

Le texte prévoit aussi que les internautes doivent être alertées en moins de 72 heures s’il s’avère que leurs données personnelles stockées sur site ont été récupérées à la suite du piratage de celui-ci. La mesure fait écho à une disposition du RGPD, qui oblige une société à produire une notification si ce cas de figure survient, sous peine de se faire face à une sanction administrative.

En ce qui concerne le volet des sanctions, il est question d’une amende de 42 530 dollars par incident, ce qui suggère que le montant final auquel fera face l’entreprise fautive sera fonction du nombre de victimes. En cas d’infraction avérée, il est aussi question de permettre aux procureurs américains d’intenter des poursuites civiles et aux internautes de faire de même.

Union européenne
La mise en place du RGPD en Europe a une influence mondiale. // Source : European Parliament

Si sur le papier le texte a clairement des atouts, il convient de noter qu’il ne s’agit pour le moment que d’une proposition de loi. Il lui reste un long parcours législatif à accomplir et, surtout, à faire face aux assauts de tous les lobbyistes que peut compter l’Amérique, en particulier dans la Silicon Valley. Ce n’est en tout cas pas la première fois qu’un texte plus protecteur au niveau fédéral est envisagé.

Outre-Atlantique, il y a déjà des États fédérés (comme la Californie et New York) qui ont pris des dispositions au niveau local. Ces initiatives apparaissent avoir été inspirées par le RGPD : pour le laboratoire d’innovation numérique de la CNIL, le cadre juridique européen est influent à l’international — les scandales aussi, d’une certaine façon — est un produit d’export, un soft power à l’européenne.

Partager sur les réseaux sociaux