À la fin de la semaine dernière, un projet de discussion d'un nouveau projet de loi fédéral sur la protection de la vie privée a été téléchargé sur le serveur cloud du Comité sénatorial américain du commerce et rendu public.
Le projet de loi, connu sous le nom de Loi américaine sur le droit à la vie privée, est la dernière tentative sérieuse d'une cohorte bipartite de législateurs du Congrès pour aborder les droits des Américains à la vie privée en ligne, ainsi que les obligations des entreprises, des organisations à but non lucratif et des organisations qui s'en occupent.
Il y a eu de nombreuses tentatives de projets de loi nationaux sur la protection de la vie privée, mais il s'agit de la première version qui semble faire l'objet d'un accord bipartisan à la fois à la Chambre et au Sénat des États-Unis.
Au Centre du Choix du Consommateur, nous défendons depuis longtemps l'idée d'un loi nationale sur la vie privée, mettant en avant ce que nous pensons être les principes importants qu’une telle loi devrait avoir :
- Championne de l'innovation
- Défendre la portabilité
- Autoriser l'interopérabilité
- Adoptez la neutralité technologique
- Éviter la législation disparate
- Promouvoir et autoriser un cryptage fort
Maintenant qu'un projet de loi sérieux a été présenté, rédigé par la sénatrice Maria Cantwell (D-WA) et la représentante Cathy McMorris Rogers (R-WA), toutes deux présidentes du Comité du commerce dans leurs chambres respectives du Congrès, nous allons aborder ce qui nous considérons qu'il serait utile, mais peut-être aussi préjudiciable, à la fois au choix des consommateurs et à l'innovation technologique future, si ce projet de loi reste dans sa forme actuelle.
Certes, il s’agit d’une ébauche de travail du projet de loi et sera (espérons-le) mis à jour après les commentaires. Pour ceux que ça intéresse, voici le dernière introduction sur le projet de loi par les auteurs du projet de loi.
J'ai également fourni quelques commentaires supplémentaires sur ce projet de loi lors d'une récente séance de questions-réponses avec Magazine Raison, ce que je vous encourage à faire lire ici si vous êtes intéressé.
C'est parti.
Ce qu'il faut aimer :
Une loi nationale sur la protection de la vie privée est à la fois nécessaire et bienvenue. Non seulement parce que cela outrepasserait les lois trop strictes en matière de protection de la vie privée dans des pays comme la Californie et la Virginie, mais aussi parce qu'il fournirait une politique uniforme aux consommateurs et aux entreprises qui souhaitent leur offrir des biens et des services.
Et aussi parce que, par rapport à l’Union européenne et à d’autres pays, nos droits à la vie privée en tant qu’Américains diffèrent considérablement en fonction des services ou des secteurs avec lesquels nous interagissons, de notre adresse IP et de l’endroit où nous vivons. Et compte tenu des centaines de politiques de confidentialité et de conditions de service que nous acceptons chaque jour, il existe des cadres très différents pour chacun de ces contrats.
Voici quelques points positifs sur le Loi américaine sur le droit à la vie privée:
- Préemption des lois nationales sur la protection de la vie privée est une bonne mesure introduite dans le projet de loi, en particulier lorsqu'il s'agit de la loi californienne stricte et autoritaire sur la protection de la vie privée, qui est devenue un porte-drapeau en raison de l'énorme population et de l'énorme base d'entreprises de la Californie.
- Cela offre une stabilité juridique et une certitude réglementaire, de sorte que les consommateurs puissent connaître leurs droits particuliers dans tout le pays, que ceux qui interagissent avec ces lois puissent commencer à les apprendre et à les mettre en œuvre, et qu'il existe une universalité qui protège tout le monde.
- Portabilité des données est un principe important et pourrait éventuellement devenir un article facilement applicable de la législation sur la protection de la vie privée. Cela devrait être à la fois raisonnable et accessible. Cela inclurait l'exportation des informations collectées par un service ou une application particulière, ainsi que tous les détails du compte clé, afin que les informations puissent être transférées vers des services concurrents si les consommateurs souhaitent changer les choses.
- Exemples : open banking, profils sociaux exportables, informations, etc.
- Idéalement, ces informations seraient exportables dans des formats de données non propriétaires.
- Transparence La question de savoir quelles données sont collectées et par qui (principalement des courtiers en données) est également une bonne mesure incluse dans le projet de loi. La plupart des services technologiques et des magasins d'applications en ont fait un élément clé de ce qu'ils proposent, car c'est important pour les consommateurs.
- UN registre des courtiers en données, ce qui serait exigé, semble inoffensif et constituerait une bonne mesure de transparence, tout comme le ferait un politique de confidentialité exigence, que la plupart des sites proposent déjà et dont les principaux magasins d'applications ont besoin.
- Cependant, comme nous le mentionnerons plus tard, il n'est pas interdit aux agences gouvernementales (en particulier aux forces de l'ordre) d'interagir avec les courtiers en données pour contourner les mandats, ce qui met en danger de nombreuses données des Américains.
- Le sénateur Ron Wyden (D-OR) a présenté S.2576, le quatrième amendement n'est pas à vendre, pour traiter de cette question et de son homologue à la Chambre réussi avec succès hier.
Ces trois points que l'on retrouve tout au long du projet de loi sont à la hauteur des principes que nous avons énoncés dans le passé. Portabilité des données, évitement des législations disparates et transparence sur les données collectées et celles qui ne le sont pas. La plupart des services en ligne proposent déjà ces informations dans leurs politiques de confidentialité, et lorsqu'elles sont transmises via des magasins d'applications pour téléphones portables ou ordinateurs, les consommateurs ont un aperçu direct de ce qui est collecté.
C'est un bon point de départ et démontre que les législateurs travaillent de bonne foi pour tenter de protéger la vie privée des Américains.
Mais même si ces éléments sont importants, ils doivent également être équilibrés avec l’accès des consommateurs à des biens et services innovants, qui sont la pierre angulaire de notre capacité à choisir la technologie que nous souhaitons.
Ce qu'il ne faut pas aimer :
S’il est essentiel d’avoir une loi nationale solide sur la protection de la vie privée, nous devons également nous assurer qu’elle est équilibrée, appropriée et équitable. La protection des consommateurs est une préoccupation primordiale, tout comme la gestion responsable des données si les consommateurs le souhaitent, ainsi que la possibilité d'accéder à l'innovation pour améliorer nos vies.
Ces aspects du projet de loi sont plus problématiques, car ils susciteraient probablement plus de problèmes qu’ils n’en résoudraient.
- Un veto absolu sur la publicité ciblée est irréalisable et finirait par jouer contre les consommateurs. Cela supprimerait également une source de revenus importante pour la plupart des services en ligne que les consommateurs apprécient et utilisent quotidiennement.
- Ce style algorithmique visant à atteindre les utilisateurs consentants met en œuvre le ciblage géographique et la personnalisation, qui sont essentiels à l'expérience du consommateur, et constituent un compromis volontaire pour les consommateurs qui souhaitent utiliser des services gratuits ou à prix réduit.
- Ils constituent également une préoccupation majeure pour les petites entreprises qui s'appuient sur des publicités ciblées pour toucher leurs clients, que ce soit via des publicités en ligne.
- Dans le même temps, l'interdiction faite aux grandes sociétés de médias sociaux de proposer des abonnements payants à ceux qui ne souhaitent pas participer à des publicités ciblées semble contre-intuitive et va à l'encontre de l'esprit de ce que l'on tente d'obtenir ici.
- Un projet de loi sur la protection de la vie privée est censé donner aux consommateurs une autonomie et des droits de décision ultimes, et non interdire un modèle commercial particulier.
- Inventer un droit de « opt-out » cela créerait nécessairement plusieurs niveaux de consommateurs et compliquerait pratiquement toute tentative de toute entreprise de collecter les informations nécessaires sur ses consommateurs. Il s'agirait d'une interdiction de facto de la publicité ciblée, dans la mesure où les services de médias sociaux en particulier ne seraient pas non plus en mesure de proposer des versions « payantes » à leurs utilisateurs, et les petites entreprises ne pourraient pas utiliser les réseaux sociaux pour faire de la publicité auprès des consommateurs qui, selon elles, le feraient. aiment acheter leurs produits ou utiliser leurs services.
- Minimisation des données est un bon principe, mais c'est une norme juridique irréalisable car elle varierait considérablement en fonction de l'application, de l'organisation à but non lucratif ou de l'entreprise.
- Les besoins en données changent en fonction de l’évolution des entreprises et des organisations, et quelle que soit la norme que cette loi imposerait, il serait probablement plus difficile pour les entreprises de se développer et d’offrir des services meilleurs et plus abordables aux consommateurs à l’avenir.
- L'un des éléments les plus offensants du projet de loi serait le droit d'action privé, qui serait plus vaste que n’importe quel projet de loi sur la protection de la vie privée dans le monde. Cela ne permettrait pas non plus que les litiges soient réglés par arbitrage, ce qui signifie que chaque procès – quel que soit son bien-fondé – devra être examiné par un juge.
- Le droit d’action privé donnerait plus de pouvoir aux avocats des plaignants et découragerait l’innovation de la part des entreprises, ce qui gonflerait considérablement notre système judiciaire.
- Cela ne serait pas positif pour les consommateurs, car cela augmenterait probablement le coût des biens et des services et ajouterait généralement au caractère litigieux du système judiciaire américain.
- Au Centre de choix du consommateur, nous avons longue campagne sur la lutte contre les excès de notre système de droit de la responsabilité délictuelle et l'introduction de réformes juridiques simples pour mieux servir ceux qui sont légitimement lésés par les entreprises.
- 🚨La facture exempte les agences gouvernementales à tous les niveaux de toute obligation de confidentialité. Il s’agit d’un signal d’alarme flagrant, surtout compte tenu de la quantité de données sensibles qui ont été régulièrement divulguées, piratées ou mises à la disposition du public alors qu’elles n’auraient pas dû l’être. Exempter les agences gouvernementales des règles de confidentialité est une erreur flagrante.
- Si la base de données d'un État, par exemple sur les propriétaires d'armes, est divulguée (comme c'est arrivé en Californie). Pas de crime, pas de faute. Il en va de même si une administration locale ou municipale divulgue vos informations sur vos revenus, votre numéro de sécurité sociale, vos données de santé ou tout autre type d'informations. Ce problème devrait être abordé immédiatement dans le projet de loi visant à introduire la parité.
- Restriction préalable pour les algorithmes, qui donne à la Federal Trade Commission et à d’autres agences un droit de veto sur tous les « processus informatiques » avant qu’ils puissent être utilisés par le public. Cela signifie que la FTC aurait besoin d’accéder à tous les algorithmes et innovations en matière d’IA avant le lancement, ce qui aurait absolument un effet dissuasif sur l’innovation et restreindrait les projets de données entrepreneuriales et le développement de modèles d’IA.
- Cela constituerait un énorme VETO sur la libre entreprise américaine et sur l’avenir de l’innovation technologique dans notre pays, et risquerait d’exporter nos meilleurs et nos plus brillants éléments à l’étranger.
- La FTC serait responsable pour l'application de ces règles, ainsi que les procureurs généraux des États, mais de nombreux litiges seraient liés aux droits d'action privés (délits, etc.), ce qui favoriserait généralement les titulaires qui ont les ressources nécessaires pour s'y conformer. Ainsi, même si une grande partie de ce projet de loi vise à tenter de régner sur les « Big Tech », elles seront paradoxalement probablement les seules entreprises à disposer d’un pouvoir important pour s’y conformer.
- De plus, le ministère de la Justice et la FTC se sont bâtis une réputation de forces anti-technologiques au sein de notre gouvernement fédéral. Ce nouveau pouvoir conduirait-il à de meilleurs biens et services pour les consommateurs, ou à des options plus limitées qui seraient de bon augure pour les autorités de régulation à des fins idéologiques ? C’est une pilule difficile à avaler dans les deux cas.
Existe-t-il une autre voie à suivre ?
En supposant que la plupart des problèmes flagrants de ce projet de loi soient résolus – l’interdiction douce de la publicité ciblée, l’exonération des agences gouvernementales, l’autonomisation des fausses poursuites par un droit d’action privé, l’incapacité de porter les affaires en arbitrage, le puissant pouvoir de veto de la FTC sur l’innovation algorithmique – certains éléments sont favorables à ceux qui souhaitent un bon équilibre entre choix de consommation et innovation dans notre économie tout en protégeant notre vie privée.
Bien que toutes ces mesures puissent être abordées par un projet de loi national sur la protection de la vie privée, nous pouvons encore faire bien plus en tant qu'individus, en utilisant les outils que les entrepreneurs, les développeurs et les entreprises nous ont fournis pour être à la fois plus privés et plus libres. Nous espérons que les législateurs prendront ces préoccupations au sérieux et modifieront certaines de ces dispositions dans le projet de loi.
La normalisation du chiffrement de bout en bout dans la messagerie, les données et les logiciels a constitué un formidable contrepoids à la série interminable de fuites, de piratages et de divulgations inutiles de données privées qui ont causé un préjudice objectif aux citoyens et aux clients. Nous espérons que cela sera encouragé et deviendra la norme pour les services numériques, tout en restant protégé pour son utilisation par les entreprises et les consommateurs.
Pour un autre point de vue, le Centre international de droit et d'économie a un article intéressant sur l’idée du « choix de la loi » comme meilleure approche en matière de droit à la vie privée, ouvrant la sélection d’un régime de confidentialité particulier au choix du marché plutôt qu’à une législation imposée d’en haut, à l’instar de tribunaux de commerce privés aux Émirats arabes unis. Cela permettrait aux États d’être compétitifs en proposant la législation sur la protection de la vie privée la plus équilibrée, ce qui pourrait décourager de nombreuses réflexions innovantes sur de meilleures façons d’aborder cette question.
Cela dit, c'est techniquement comme ça que ça s'est passé de facto Cette pratique est aujourd’hui pratiquée dans le pays, et la Californie a gagné par défaut en raison de sa forte population. Je ne suis pas sûr que nous puissions faire confiance à trop d’autres États pour élaborer des lois sur la protection de la vie privée équilibrées mais efficaces qui ne créeraient pas plus de problèmes qu’elles n’en résoudraient. Mais je serais heureux d’avoir tort.
Même si ce projet de loi sur la protection de la vie privée est ambitieux et couvre de nombreux domaines vitaux en matière de protection de la vie privée, de nombreux éléments nécessiteraient encore des changements radicaux avant qu'il ne soit acceptable pour les consommateurs qui désirent avoir le choix, préfèrent l'innovation et qui garantissent que notre la société reste à la fois libre et prospère.