[su_pullquote align=”right”]Par Gregory Voss et Kimberly Houser[/su_pullquote] La débâcle du Cambridge Analytica et l’audience du Sénat américain qui a suivi ont révélé sans équivoque qu’aux États-Unis, les lois relatives à la protection des données personnelles ne sont pas appropriées. Malgré leurs grands discours, les sénateurs ont fait preuve d’un manque de compréhension, non seulement du fonctionnement de l’économie des données, mais également des lois de leur propre pays.
Lorsque le Règlement général sur la protection des données en Europe (RGPD) est entré en vigueur le 25 mai 2018, les inégalités entre les lois européennes et américaines sont devenues assez évidentes. Dans notre document de travail intitulé « RGPD : la fin de Google et Facebook ou un nouveau paradigme dans la protection des données personnelles ? », à paraître dans l’édition d’automne du Richmond Journal of Law and Technology, nous étudions ces différences en termes d’idéologie, de mesures d’application, ainsi que les lois elles-mêmes.
Le modèle économique américain relatif à la technologie consiste à fournir des services gratuits en échange des données personnelles d’un utilisateur. Cela est cohérent avec la loi américaine de protection des données personnelles, qui est spécifique à chaque secteur. En effet, seul un certain type de données – médicales et financières, par exemple – est protégé, mais seulement dans la limite prévue par la loi applicable. Aux États-Unis, il n’existe pas de loi fédérale omnibus sur la protection des données dans le secteur privé. Bien que la Federal Trade Commission (FTC) soit l’autorité de facto en matière de protection des données aux États-Unis, ses antécédents en matière de mesures d’application de la loi contre les entreprises américaines de technologie sont plutôt limités. Historiquement, la FTC n’a pris des mesures que lorsqu’une entreprise ne respectait pas la politique de protection des données personnelles qu’elle a fournie, en vertu de l’Article 5 de la loi de la FTC concernant les « pratiques trompeuses et déloyales ».
Le modèle européen de protection des données personnelles est basé sur la fondation des droits de l’Homme et considère comme fondamentales la vie privée ainsi que la protection des données. Sous le prédécesseur du RGPD (la Directive de 1995), de nombreuses mesures ont été prises contre les entreprises américaines de technologie pour cause de violation des lois des États membres de l’Union européenne. Malgré ces nombreuses mesures d’application de la loi réussies, ces entreprises américaines de technologie n’ont pas changé de façon significative leur modèle économique par rapport aux données obtenues de l’UE, en raison de la faiblesse du plafond des amendes prévues par les législations nationales (par exemple, 150 000 € en France pour une entreprise évaluée à 500 milliards d’euros).
L’idéologie américaine qui sous-tend la protection des données personnelles est l’équilibre entre la capacité d’une entité à monétiser les données qu’elle collecte (encourageant ainsi l’innovation) et les attentes des utilisateurs en matière de vie privée (ces attentes étant visiblement faibles aux États-Unis). Dans l’UE, l’accent est mis sur la protection des données personnelles des utilisateurs. Le cas de Google Espagne illustre parfaitement cette dichotomie. Un citoyen espagnol a voulu faire retirer de Google certaines informations le concernant, comme le permet la loi en vigueur dans l’Union européenne. Google s’y est opposé et a saisi le tribunal. Étaient opposés la liberté d’expression (d’une importance capitale aux États-Unis) ainsi que le droit de Google à revendiquer les informations du public, et le droit européen à la vie privée et à l’oubli, invoqué par le plaignant européen. La Cour de justice européenne a jugé que l’équilibre des intérêts a penché en faveur du plaignant.
Comme expliqué dans notre publication, les lois fédérales des États-Unis sont spécifiques à chaque secteur, les principaux domaines étant couverts par la loi américaine de l’assurance maladie (Health Insurance Portability and Accountability Act) (informations relatives aux soins de santé), la loi Gramm-Leach-Bliley (Gramm-Leach-Bliley Act) (informations financières), la loi « Fair Credit Reporting Act » (informations relatives au crédit) et la loi visant à protéger la vie privée des enfants sur Internet (Children’s Online Privacy Protection Act) (informations sur les enfants). En outre, les États ont également adopté diverses lois relatives à la sécurité des données, exigeant la notification des atteintes à la protection des données.
D’un autre côté, l’approche européenne a toujours été plus large. Par exemple, pour atteindre ses objectifs, la Directive de 1995 stipule que chaque État membre de l’Union européenne est dans l’obligation d’adopter des lois exhaustives relatives à la protection de la vie privée. Même si l’adoption d’une directive était synonyme, pour les États membres, de flexibilité quant à la création de leur propre loi sur la protection de la vie privée, en 2012, la Commission européenne a décrété que la loi devait être mise à jour. Le RGPD a été promulgué pour : assurer l’harmonisation entre les lois des États membres, intégrer des avancées en matière de technologie, débarrasser les entreprises des charges administratives liées aux demandes d’enregistrement et, comme nous l’indiquons dans notre publication, uniformiser les règles du jeu pour les entreprises de technologie utilisant les données personnelles de celles situées en Europe.
Étant donné que les entreprises américaines ont pu monétiser leurs données avec peu de restrictions ou de conséquences, elles se sont imposées dans le domaine de la technologie, avec une part de marché de 80 % pour Facebook, et de 90 % pour Google. Toutefois, les règlementations ont été mises à jour conformément aux données de l’Union européenne. Le RGPD exige, entre autres, un consentement vérifiable et préalable à l’utilisation des données de l’utilisateur ainsi qu’un consentement pour toute utilisation secondaire. Il n’existe pas d’exigence similaire aux États-Unis : les entreprises opérant sous la loi américaine reposent essentiellement sur un mécanisme de retrait et n’ont pas l’obligation de révéler les utilisations secondaires des données. Le RGPD prévoit également un droit à l’oubli, un droit à la portabilité des données personnelles, la possibilité de refuser le traitement automatique des données (profilage), et exige que le traitement des données ait lieu sur une base légale. Aucun de ces droits ne sont accordés aux citoyens des États-Unis sous les lois fédérales américaines en vigueur.
Le RGPD ayant une portée extraterritoriale, la loi sera appliquée si l’entreprise, peu importe où elle est située, collecte et traite les données personnelles de celles situées en Europe, et lorsque le traitement concerne l’offre de biens ou de services (payants ou « gratuits ») aux personnes concernées, ou le contrôle de leur comportement, dans la mesure où celui-ci a lieu au sein de l’UE. Cela soulève la question suivante : le RGPD sera-t-il synonyme de la mort de Google et Facebook ou présentera-t-il un nouveau paradigme dans la protection des données personnelles ? Le temps nous le dira. Toutefois, étant donné que, sous le RGPD, les amendes pourraient passer de plus de 100 000 euros à plus d’un milliard d’euros, il semblerait que le modèle économique américain (les données pour le service) doive s’adapter, au moins en ce qui concerne les données de l’UE.
Cet article a été publiée dans Oxford Business Law Blog.