Celle de la Cour suprême Dobbs décision annulant Roe contre Wade a soulevé des questions troublantes sur le statut de la jurisprudence de la Cour sur le droit à la vie privée. À un niveau plus immédiat, cependant, la décision a également suscité de vives inquiétudes quant à son impact sur la confidentialité des informations des femmes qui se font avorter alors qu’elles vivent dans des États qui interdisent l’avortement, ainsi que d’autres personnes qui les aident, encouragent les voyages vers d’autres États ou vendre des médicaments pour l’avortement.
Les interdictions d’avortement dans plusieurs États prenant effet immédiatement, les procureurs d’État – ou les militants anti-avortement – peuvent commencer à enquêter et à poursuivre. Ce faisant, ils peuvent rechercher des preuves non seulement auprès des appareils et des comptes des cibles, mais également auprès du large éventail de fournisseurs d’applications, de services de communication, d’annonceurs et de courtiers en données capables de collecter un nombre illimité d’informations aujourd’hui. Ce type de preuve peut inclure des données de géolocalisation qui révèlent les visites dans les lieux où les avortements sont pratiqués et la durée des visites ; les données des applications et appareils « femtech » qui montrent des interruptions des cycles menstruels ; recherche sur le Web des services ou de l’aide en matière d’avortement ; données ou communications avec les prestataires ou la famille concernant l’obtention d’un avortement ; et les données sur les paiements reflétant les achats de services d’avortement ou de médicaments, parmi de nombreuses sources de preuves numériques. Par exemple, les données Fitbit ont déjà été utilisées pour discréditer une allégation de viol, elles pourraient donc être utilisées pour discréditer une exception similaire aux restrictions à l’avortement.
En réponse à la Dobbs décision, la présidente de la Chambre Nancy Pelosi (D-Californie) d’écrire aux membres de la Chambre signalant le travail sur la législation à « [p]protéger les données les plus intimes et personnelles des femmes stockées dans les applications de santé reproductive. En prévision de la décision, les sénateurs Elizabeth Warren (D-Mass.) et Ron Wyden (D-Ore.) ont présenté un projet de loi visant à empêcher les courtiers en données de vendre des données de santé et de localisation et la représentante Sara Jacobs (D-Calif.) a déposé a My Body, My Data Act pour établir des protections de la vie privée pour les «informations personnelles sur la santé reproductive ou sexuelle». Les conseils aux femmes sur la couverture des pistes numériques ont été abondants.
Dans cette optique, il vaut la peine d’examiner comment une législation complète sur la protection de la vie privée en attente protégerait ce type d’informations. La loi bipartite américaine sur la protection de la vie privée et des données (ADPPA) est le véhicule le plus probable pour une telle législation puisqu’elle a été publiée à l’unanimité par le sous-comité de la protection des consommateurs et du commerce du comité de l’énergie et du commerce de la Chambre le 23 juin 2022, et devrait aller au comité plénier pour un balisage après les vacances du 4 juillet. Ainsi, l’ADPPA bipartisan est le projet de loi avec de loin la meilleure perspective d’adoption dans ce Congrès – et la première législation complète sur la confidentialité des informations avec n’importe quel réelle perspective de passage.
L’ADPPA fournirait des limites matérielles pour une collecte, une utilisation et un partage de données plus ciblés à la place du système actuel à tout faire, et fournirait des droits qui donneraient aux individus un plus grand contrôle sur les informations qui peuvent leur être liées. Les informations sur la santé des femmes sont un sous-ensemble des « données couvertes » du projet de loi et seraient soumises à des protections supplémentaires en tant que « données sensibles » (comme dans certains autres projets de loi complets sur la confidentialité, y compris le Comprehensive Online Privacy Rights Act déposé par la sénatrice Maria Cantwell (D- Lavage.)). L’ADPPA accomplirait l’essentiel des projets de loi Warren-Wyden et Jacobs, et plus encore.
Sous la rubrique « données sensibles », l’ADPPA inclut des informations sur « la santé physique passée, présente ou future, la santé mentale, le handicap, le diagnostic ou l’état ou le traitement des soins de santé ». Contrairement à HIPAA, la loi sur les informations de santé que beaucoup de gens connaissent dans le contexte des soins de santé, cette couverture s’applique à tout ces informations, qu’elles soient entre les mains d’un fournisseur couvert ou non. Cela engloberait la plupart des données préoccupantes en raison de Dobbsy compris à partir d’applications femtech, de montres intelligentes et de recherches sur le Web, ainsi que les informations sur la santé et les informations sur la santé sexuelle et reproductive ciblées par les projets de loi Warren-Wyden et Jacobs.
En plus de cette catégorie importante, la définition des « données sensibles » comprend les informations génétiques et les informations biométriques, qui peuvent être utilisées comme identifiants, et toutes les données concernant toute personne de moins de 17 ans. Cette dernière catégorie ajouterait une protection aux jeunes adolescents. qui peuvent être sujettes à des grossesses non désirées. Les données sensibles sous ADPPA comprennent également des informations de géolocalisation précises, qui font l’objet du projet de loi Warren-Wyden.
La définition des informations couvertes comprend les « données dérivées », les informations personnelles obtenues à partir d’analyses, d’inférences et de prédictions basées sur les données personnelles couvertes. Cela couvrirait des cas comme le célèbre ciblage par Target des publicités pour la grossesse et les produits pour bébés à une adolescente enceinte dont la famille n’était pas au courant de sa grossesse.
L’ADPPA protège toutes les informations personnelles en exigeant que la collecte, l’utilisation et le partage soient « limités, nécessaires et proportionnés » pour la fourniture de services et de produits demandés par, ou la communication raisonnablement attendue par les individus, et permet des utilisations spécifiées telles que l’exécution des commandes , facturation, sécurité, maintenance et amélioration des services. Pour les données sensibles, il interdit également de partager des informations personnelles avec des tiers tels que des annonceurs et des courtiers en données sans le consentement exprès et affirmatif des individus. Et si ces données sont partagées, elles ne peuvent pas être traitées au-delà des finalités pour lesquelles le consentement a été donné.
Certains ont préconisé que les femmes devraient se débarrasser des applications ou des appareils qui surveillent les cycles menstruels et toutes leurs données. L’ADPPA propose des moyens de contrôler ces informations. Cela donnerait aux individus le droit d’accéder aux données liées ou pouvant être liées à eux (sans frais au moins deux fois par an) et de les faire supprimer. Cela nécessite également un moyen pour les individus de retirer leur consentement précédemment fourni et de se retirer de la publicité ciblée et des transferts de données à des tiers, offrant un certain contrôle sur le suivi en ligne ou l’agrégation de données qui pourraient être révélateurs, comme dans l’affaire Target.
Les protections couvrant la collecte, l’utilisation et le partage des informations personnelles dans l’ADPPA permettraient de se conformer aux exigences légales fédérales, étatiques, locales et tribales. Cela signifie que même les informations sensibles ne sont pas à l’abri des processus légaux des forces de l’ordre. L’Electronic Communications Privacy Act (ECPA) prévoit des contraintes importantes, en particulier pour le contenu stocké des communications électroniques, bien qu’une décision judiciaire largement suivie imposant une exigence de mandat n’ait jamais été codifiée en tant que loi ou adoptée par la Cour suprême. L’accès des forces de l’ordre implique un régime juridique différent et un débat sur la confidentialité des contraintes à imposer à ces processus, soit en général, soit pour les informations sur la santé.
La protection proposée dans l’ADPPA devrait néanmoins réduire le volume de données en mains privées disponibles par un processus légal ainsi que librement accessibles aux forces de l’ordre (ou aux chasseurs de primes justiciers) par le biais de sources commerciales, sur le Web ou par des dispositifs de suivi et des comportements en ligne. Cela donnerait également aux entités couvertes une base juridique pour refuser de fournir des informations simplement parce qu’un officier de police ou un procureur les demande et, comme la loi promulguée ultérieurement, devrait annuler la latitude de l’ECPA pour les entités non gouvernementales d’obtenir des données sans contenu, ou métadonnées, sur les communications électroniques.
L’ADPPA étend également les protections des droits civils au traitement des informations personnelles qui discrimine sur la base des classes protégées, ce qui inclut la discrimination « sur la base du sexe ». Couplées à des dispositions obligeant les entreprises à évaluer et à atténuer les «risques de confidentialité» et à évaluer les algorithmes, ces protections devraient accroître la conscience de l’impact de l’utilisation des données sur les femmes.
Le personnel majoritaire de la sénatrice Maria Cantwell au sein de la commission sénatoriale du commerce, des sciences et des transports a envoyé une note aux membres affirmant que l’ADPPA ne protège pas adéquatement les informations reproductives des femmes, car les contraintes imposées aux poursuites privées rendront plus difficile pour les femmes de poursuivre en justice pour violation. La portée de base des droits d’action privés dans l’ADPPA et un projet de Cantwell sont similaires, mais le droit de l’ADPPA ne serait pas disponible avant quatre ans après la date d’entrée en vigueur de la loi et sous réserve d’un avis très spécifique et d’exigences de plaidoirie qui pourraient rejeter certaines réclamations. L’ADPPA fait également moins pour limiter les clauses d’arbitrage obligatoires et les renonciations aux recours collectifs dans les revendications de confidentialité.
Ces contraintes sur les litiges ne modifient pas les changements importants que l’ADPPA apporterait aux écosystèmes d’information existants. Si la Chambre adopte l’ADPPA, le sénateur Cantwell et les démocrates du Sénat devraient réfléchir longuement et sérieusement pour savoir s’ils veulent s’opposer à la promulgation de protections de la vie privée de grande envergure englobant les informations sur la santé reproductive et sexuelle au-delà des limites des poursuites. Certains aspects de l’ADPAA peuvent être améliorés, mais les différences majeures entre les négociateurs laissent place à un compromis. Quatre ans permettent d’avancer la date à laquelle les poursuites peuvent commencer tout en laissant suffisamment de temps pour s’adapter à la conformité. Il existe de nombreuses façons de limiter les poursuites (certaines sont suggérées dans notre rapport de 2020 sur les moyens de combler les lacunes dans les projets de loi sur la protection de la vie privée). Et les deux projets de loi prévoient certaines limites sur les renonciations à l’arbitrage pré-différend, après avoir quitté les positions polaires du tout ou rien en 2019.
En fin de compte, comme pour la législation sur les armes à feu, il vaudra mieux faire quelque chose que de laisser en place un système sans entraves – et l’ADPPA accomplirait beaucoup plus pour la confidentialité des informations que la nouvelle loi sur les armes à feu pour la sécurité des armes à feu. Et plutôt que d’exiger une législation spécifique, le risque pour les informations sur la santé et les soins de santé des femmes ajoute de l’urgence à l’opportunité d’une base de protection pour les informations personnelles de chaque femme, homme et enfant en Amérique.
