Alors que l’invalidation du bouclier de protection des données UE-États-Unis sème toujours l’incertitude sur les flux de données internationaux plus d’un an plus tard, le besoin d’une législation fédérale sur la protection de la vie privée est plus grand que jamais.
Bien que l’intérêt du Congrès pour la refonte des lois fédérales américaines sur la protection de la vie privée persiste, il n’y a eu que des actions marginales jusqu’à présent cette année. Le 28 juillet, le sénateur Roger Wicker (R-MS), membre de premier plan du comité sénatorial du commerce, et le sénateur Marsha Blackburn (R-TN) ont présenté une nouvelle version de l’établissement d’un cadre américain pour garantir l’accès aux données, la transparence et Loi sur la responsabilité (loi SAFE DATA). Le projet de loi intervient peu de temps après que Wicker et Blackburn ont rejoint leurs homologues de la Chambre, les représentants Cathy McMorris Rodgers (R-WA) et Gus Bilirakis (R-FL), pour exhorter la Maison Blanche à travailler avec le Congrès sur une loi fédérale sur la protection des consommateurs.
Ces mesures républicaines semblent poser un problème sur lequel les principaux dirigeants démocrates des deux chambres n’ont pas encore pris d’initiatives au Congrès actuel. En mai, le sénateur Richard Blumenthal (D-CT), président du sous-comité sénatorial du commerce sur les communications et membre actif d’un groupe de travail bipartite sur la protection de la vie privée lors du précédent Congrès, et les représentants Jan Schakowsky (D-IL) et Gus Bilirakis ( R-FL) a reconnu que l’action du Congrès sur la vie privée est nécessaire. En juin, Blumenthal a indiqué que des audiences sur la législation sur la protection de la vie privée pourraient avoir lieu cet été.
Faire évoluer la législation sur la protection de la vie privée nécessite une concentration et une volonté politique
Maintenant, la fin du mois d’août approche et aucune audience sur la protection de la vie privée n’a eu lieu, ni au sein du comité sénatorial complet du commerce ni du sous-comité des communications. La loi SAFE DATA de Wicker, introduite en 2020 et 2021, montre comment l’état des négociations est en grande partie gelé depuis le dernier Congrès ; les deux versions sont presque identiques au projet de loi républicain sur la protection des données des consommateurs des États-Unis publié en novembre 2019 dans la foulée du Consumer Online Privacy Rights Act (COPRA) de la sénatrice Maria Cantwell (D-WA), désormais présidente du comité plénier. Dans un rapport de juin dernier, mes collègues de Brookings et moi avons fourni une analyse détaillée des différences, grandes et petites, entre ces projets de loi, et proposé une feuille de route concrète pour les résoudre.
Dans son projet de loi de 2021, le membre de rang donne et repart : le projet de loi ajoute une disposition substantielle et politiquement importante interdisant explicitement aux entreprises de traiter des informations personnelles d’une manière qui viole les lois fédérales sur les droits civiques, mais supprime également une disposition qui aurait affirmé l’autorité de la Federal Trade Commission pour demander une réparation équitable pour les violations d’une loi sur la protection de la vie privée. En outre, il supprime des sections de la version 2020 de la SAFE DATA Act ; ceux-ci avaient incorporé les propositions des co-sponsors de l’époque, Sens. John Thune (R-SD) et Deb Fischer (R-NE) et, puisque la proposition de Thune avait des co-sponsors démocrates à Sens. Blumenthal et Mark Warner (D-VA), le SAFE DATA Act de l’année dernière apparaissait à l’époque comme une possible ouverture vers le bipartisme.
Malgré l’action législative décousue, il y a des discussions en coulisses qui pourraient jeter les bases de négociations significatives. Divers groupes de parties prenantes, y compris l’industrie, les consommateurs et les défenseurs des droits civiques, ont exploré des propositions ressemblant à celles de notre rapport Brookings ou à des alternatives similaires. Selon les intérêts à la table, ces discussions portent principalement sur la limitation de la collecte, de l’utilisation et du partage des données ; des protections contre l’utilisation discriminatoire des renseignements personnels ; droits d’action privés; et la portée de la protection ou de la préemption des lois de l’État sur la protection de la vie privée. Ils comprennent des discussions entre des groupes de défense des droits civiques sur la meilleure façon d’encadrer des dispositions sur l’utilisation discriminatoire des informations personnelles, ainsi que des discussions entre des groupes de l’industrie sur d’éventuels droits d’action privés, et des travaux réfléchis en cours sur la préemption au Forum sur l’avenir de la confidentialité et à Duke’s Law. et les écoles de politique publique.
De plus, les membres du personnel du House Energy and Commerce Committee ont organisé une série de tables rondes avec diverses parties prenantes. Le compromis devrait être à portée de main, mais les vraies négociations n’auront pas lieu tant qu’il n’y aura pas de mouvement concret sur un projet de loi. Pourtant, cela ne se fera pas sans une volonté politique plus concertée de la part des principaux dirigeants du Congrès ou de la Maison Blanche. Le Congrès n’a pas besoin d’attendre que l’administration agisse – il peut et doit agir maintenant pour lancer une conversation « de fin de partie » qui oblige toutes les parties intéressées à s’asseoir à la table pour résoudre les derniers problèmes qui les séparent.
L’administration pourrait également inciter à des mesures sérieuses en matière de protection de la vie privée. Lorsque j’étais dans l’administration Obama, à ce stade, nous avions déjà lancé le processus qui produirait le plan directeur de la Maison Blanche pour la Déclaration des droits sur la protection de la vie privée des consommateurs en 2012. Cette fois-ci, une grande partie de l’élaboration de la politique a déjà été réalisée par le biais de trois années de débat législatif qui a été fructueux même s’il n’a pas encore porté ses fruits. Même un simple signal de la Maison Blanche indiquant qu’elle aimerait voir une loi sur la protection de la vie privée adoptée pourrait fournir le coup d’envoi nécessaire. Pour ce faire, il faudra plus d’attention directement à la confidentialité de la part de l’administration à un niveau élevé.
L’accent mis sur la concurrence néglige des problèmes plus larges
Jusqu’à présent, la Maison Blanche s’est naturellement concentrée sur l’impact de la technologie et des données sur son ambitieux programme de concurrence. Le 9 juillet, Biden a signé un décret qui, entre autres, encourageait les autorités antitrust fédérales à appliquer les lois existantes pour lutter contre la «surveillance des utilisateurs» ou «l’agrégation de données» anticoncurrentielle par un «petit nombre de plates-formes Internet dominantes», et a encouragé la FTC à adopter des règles pour lutter contre les comportements déloyaux (un processus complexe que la FTC a mis en branle). Sinon, le décret ne se concentre pas sur les actions visant à protéger la vie privée des individus.
Les questions antitrust abordées dans le décret sont importantes. Mais ils sont loin de répondre au besoin pressant de protections complètes de la vie privée à travers les États-Unis. Les actions menées par de nombreuses grandes entreprises technologiques soulèvent une concurrence sérieuse ainsi que des problèmes de confidentialité. Mais le décret exécutif – et les lois et politiques antitrust de manière plus générale – ne peut pas faire grand-chose pour atteindre le grand nombre d’entreprises non monopolistiques ou plus petites qui effectuent également une surveillance et regroupent des informations personnelles. Les applications mobiles, les technologies publicitaires et les courtiers en données sont les moteurs de vastes écosystèmes de collecte et de partage de données. De nombreux abus importants de la vie privée proviennent de petites ou moyennes entités qui opèrent sur des marchés hautement concurrentiels, et il est peu probable que de tels abus soient atteints par le biais d’une loi ou d’une politique antitrust. L’administration ne doit pas fermer les yeux sur la collecte, l’utilisation et le partage illimités de données sur ces marchés omniprésents.
Le décret crée également une tension potentielle entre la protection de la vie privée et la promotion de la concurrence : il ordonne au département du Commerce de faire rapport sur les implications concurrentielles de l’écosystème des applications mobiles. En l’absence d’une législation complète sur la confidentialité, cependant, les efforts d’Apple et de Google pour contrôler les magasins d’applications et le flux de données sur leurs systèmes ont le plus grand impact sur l’amélioration de la protection de la confidentialité dans les écosystèmes des applications et des technologies publicitaires. Alors que la promotion de la concurrence sur le marché des applications pourrait produire des avantages indirects pour les consommateurs, la réduction de la capacité d’Apple et de Google à imposer un certain niveau de normes de confidentialité aux applications mobiles pourrait permettre Suite les atteintes à la vie privée dans l’écosystème des applications. Ce risque serait en grande partie éliminé si, d’un autre côté, les États-Unis disposaient non seulement de marchés d’applications concurrentiels, mais également d’une loi complète sur la protection de la vie privée qui s’applique à tous les développeurs d’applications, marchés d’applications et échanges publicitaires.
L’impact des marchés d’applications est un aspect de la façon dont l’absence d’une telle loi laisse aux entreprises le soin de définir les règles de confidentialité. Plus largement encore, les politiques de confidentialité et les conditions d’utilisation de la plupart des entreprises définissent les règles de la confidentialité aujourd’hui. C’est une chose d’avoir un patchwork de lois adoptées par les législateurs des États – et une autre chose de laisser les normes de confidentialité aux entreprises individuelles.
Sans législation de base sur la confidentialité, les États-Unis restent une valeur aberrante par rapport aux plus de 100 pays qui ont des lois de base sur la confidentialité. Ceux-ci incluent non seulement tous les principaux alliés des États-Unis, mais récemment le Brésil et très bientôt l’Inde ; même la Chine, malgré une surveillance gouvernementale omniprésente, est proche de l’adoption finale d’une législation qui imposera des restrictions strictes sur l’utilisation des informations personnelles par les entreprises.
Les sénateurs Blumenthal et Blackburn ont tous deux noté cette lacune lors de l’événement de juin de Politico; Blackburn a expliqué que « nos alliés se tournent vers nous et disent » la confidentialité en ligne est importante … pourquoi n’avez-vous pas de norme ? » tandis que Blumenthal a déclaré que « le reste du monde nous laisse derrière nous ». Et, lors d’un récent événement à Brookings, la représentante Suzan DelBene, elle-même auteur d’un projet de loi sur la protection de la vie privée, a déclaré « si les États-Unis ne [have] une politique nationale claire, nous ne serons pas en mesure de façonner les normes à l’étranger et nous risquons de laisser d’autres conduire la politique mondiale », un point de vue approuvé à l’unanimité par les panélistes lors de l’événement.
Le fossé entre les États-Unis et leurs alliés et partenaires commerciaux est encore plus grand avec les risques pour les flux de données transatlantiques liés à l’invalidation du bouclier de protection des données. Une législation fédérale sur la protection de la vie privée comme la SAFE DATA Act ou la COPRA pourrait aider à maintenir un nouveau cadre de transfert de données en imposant des restrictions sur la manière dont les entreprises privées collectent et stockent les informations personnelles. Cela pourrait par la suite affecter la portée des informations auxquelles le gouvernement américain peut accéder à partir du secteur privé, même si une telle législation ne concerne pas spécifiquement les autorités de surveillance gouvernementales sur lesquelles la Cour de justice de l’UE s’est concentrée dans Schrems II. L’adoption d’une loi complète sur la protection de la vie privée contribuerait grandement à persuader le monde que les Américains se soucient de la vie privée et, comme je l’ai écrit précédemment, que l’Amérique n’est pas « un Far West numérique ».
Nous avons entendu de nombreux appels à l’action en faveur d’une législation sur la protection de la vie privée au fil des ans. Mais contrairement au passé, un accord sur la législation est à portée de main. Ce n’est pas le moment d’abandonner l’effort. Le Congrès et l’administration doivent intervenir avant que l’opportunité ne s’échappe.
Apple et Google sont des donateurs généraux et illimités de la Brookings Institution. Les résultats, interprétations et conclusions publiés dans cet article sont uniquement ceux de l’auteur et ne sont influencés par aucun don.
