droitdu.net

Un site utilisant Plateforme OpenUM.ca

Le projet de loi « Data Care Act » : Une première réglementation fédérale en matière de protection des données aux États-Unis

16 décembre 2018
Commentaires
Permalien

Mercredi dernier, le 12 décembre 2018, le sénateur Brian Schaltz et 14 autres sénateurs démocrates, ont présentés un projet de loi visant la protection des informations personnelles qui se retrouvent en ligne. Cette nouvelle arrive le lendemain du témoignage de le « House Judiciary Committee » du Président et chef de la direction de Google, Sundar Pichai. Le nom de ce projet de loi serait le « Data Care Act », le but premier de celui-ci serait de créer de nouvelles obligations sur la façon dont les compagnies qui collectent des données à caractère personnel peuvent utiliser ces informations.

Le principe derrière ce projet de loi fait référence aux obligations des médecins et des avocats face aux informations personnelles de leurs clients. En effet, lorsque nous allons rencontrer ces professionnels, « on ne signe pas de décharge spécifiant quelle partie de la conversation peut être utilisée pour faire du ciblage publicitaire ou pour créer une base de données à notre sujet ». Nous plaçons une certaine confiance envers ces professionnels qu’ils n’utiliseront pas ces données pour nous faire du tort ou de quelques façons que ce soit qui seraient complètement différents de la raison initiale pour laquelle nos informations ont été collectées. Il est aussi important de se questionner sur l’impact que peuvent avoir eu les récentes règlementations « sévères » qui ont été adoptées en Californie sur le sujet et qui ouvrent la porte vers une volonté fédérale d’avoir une règlementation uniforme qui va s’appliquer à tous les états américains.

Avant de regarder plus en détail ce que ce projet de loi veut amener comme protection pour les utilisateurs, il est intéressant de voir qu’il reçoit un certain soutien des géants de l’industrie des technologies. Premièrement, lors de son témoignage, M. Sundar Pichai a exprimé l’intérêt de sa compagnie envers une règlementation fédérale en matière de vie privée sur le net. De plus, le groupe nommé « The Internet Association» , qui est composé notamment de compagnies telles que Amazon, Facebook, Google, Microsoft et Twitter, ont émis une déclaration sur le sujet, annonçant leur support pour ce projet de loi et leur intérêt de travailler avec le sénateur Schaltz pour arriver à une solution intéressante pour toutes les parties en cause. Le support offert par ces compagnies est ici très intéressant et important, il démontre d’une certaine façon le désir de tous d’arriver à un consensus qui favorise autant le développement technologique tout en mettant au premier plan la transparence et la protection des utilisateurs de ces grandes plateformes. L’impact du notoire du RGPD sur certaines de ces grosses compagnies en est surement pour quelque chose tout comme la nécessité d’une meilleure «pub».

Il convient maintenant de regarder rapidement les grandes lignes mises en valeur par le « Data Care Act ». Tout d’abord, à sa « section 2 », qui traite des définitions, il est encore question de « individual indentifying data ». Les règlementations américaines semblent avoir un penchant pour le terme « identifiable » qui laisse toujours planer un certain doute à savoir ce qui peut être fait des données personnelles qui ont été dé-identifiées. Cependant, il est intéressant de voir la portée de protection offerte à ces données. En effet toujours selon cette section, il est dit que ce sont des données qui sont collectées via internet ou par n’importe quel réseau numérique. Il s’agit en effet d’une première en la matière avec une portée d’application aussi large.

La « section 3 » de ce projet de loi présente les obligations auxquelles devraient se soumettre les entreprises visées. Elles sont au nombre de trois pour le moment, il s’agit ici du « duty of care » , « duty of loyalty » et de la « duty of confidentiality» . Pour ce qui est du « duty of care », il est question de sécurisé de façon raisonnable les informations privées identifiables et du devoir de notifier rapidement les utilisateurs en cas de brèche de données. La « duty of loyalty » peut être résumée d’une façon assez simple, il s’agit de ne pas utiliser les données des utilisateurs d’aucune façon qui pourrait leur causer un tort quelconque. Finalement, pour ce qui est de la « duty of loyalty », il s’agit du devoir des entreprises en possession de ces données de s’assurer que les deux premières « duties » soient respectées par les tierces parties lorsque le partage de ces données est autorisé par l’utilisateur en question. Il s’agit évidemment d’un rapide survol de ces obligations, mais puisque nous sommes toujours à l’étape de projet de loi, celles-ci sont sujettes à modification lors des négociations.

Finalement, il est intéressant de regarder , à la section 4, que cet acte est sous l’application et la sanction de la « Federal Trade Comission » ou « FTC », mais laisse le pouvoir aux États de sanctionner et de poursuivre selon cet « Act ». Pour le moment, le rôle de la « FTC » serait de supervision et « d’intervention si nécessaire». Cependant, comme je l’ai mentionné, nous sommes ici toujours à l’étape de projet de loi. Probablement que des précisions sur la façon de faire respecter et de sanctionner selon cet acte seront données dans le futur.

En conclusion, il ne s’agit pas de la première tentative de faire passer une loi fédérale, d’application large devant la chambre américaine. Cependant, depuis le RGPD, nous semblons être à un point tournant en matière de réglementation dans plusieurs pays. Il sera donc intéressant de suivre le développement de ce projet de loi, ses amendements, mais aussi le désir des Américains à ce qu’il devienne une réelle loi.

Commentaires

Laisser un commentaire

Sur le même sujet

Derniers tweets