Etats-Unis : des avancées législatives sur la vie privée et l'accès aux données extra-territoriales

Le 21 août 2018

Le 25 mai dernier, en Europe, le Règlement général sur la protection des données (RGPD) entrait en vigueur. Outre-Atlantique, le droit sur les données semble beaucoup plus paradoxal. D’un côté, l’État fédéral facilite unilatéralement l’obtention par l’administration américaine de données stockées ou transitant à l’étranger alors que de l’autre, la Californie tend vers plus de protection du consommateur et de ses données vis-à-vis des toutes puissantes entreprises de la tech.

1 - Clarifying lawful overseas use of data Act 2018, « Cloud Act » (loi de clarification de la législation sur l’exploitation extraterritoriale de la donnée)

Intégré au projet de loi sur le budget fédéral (Consolidated Appropriations Act for 2018), le Cloud Act a été adopté par le congrès américain rapidement, sans examen individuel, puis promulgué le 23 mars 2018. Alors que la question de l’accès aux données stockées à l’étranger était au cœur du contentieux qui opposait Microsoft au département de la justice depuis plusieurs années (affaire des e-mails irlandais), la nouvelle législation vient résoudre les conflits de territorialité auxquels le géant du web se trouvait confronté. Concrètement, dans le cadre d’une enquête, l’administration américaine pourra désormais passer outre la procédure actuelle des accords mutuels d’assistance juridique (Mutual legal assistant Treaty, MALT) et récolter directement les données personnelles stockées à l’étranger, notamment en Europe, par des entreprises américaines. Ces dispositions sont politiquement contestées par de nombreuses associations qui militent pour la protection des données personnelles. Juridiquement, ces mécanismes risquent également d’être critiqués. En effet, cette ingérence numérique américaine semble en contradiction avec les principes du RGPD.

https://www.congress.gov/115/bills/s2383/BILLS-115s2383is.pdf

2 - The California Consumer Privacy Act of 2018 (loi californienne sur la vie privée du consommateur)

Alors que la Californie est connue pour être l’État américain de l’innovation, de la Silicon Valley et des GAFA, son assemblée législative a adopté un texte, promulgué par le gouverneur Jerry Brown le 28 juin 2018, visant à garantir au consommateur un meilleur contrôle sur l’usage numérique que font les entreprises de ses données. À partir de janvier 2020, date d’entrée en vigueur du texte, les consommateurs pourront donc savoir quelles informations les entreprises collectent sur eux, pour quoi et avec qui elles les partagent ou à qui elles les vendent. Le texte prévoit également la possibilité pour le consommateur de s’opposer à la vente ou au partage de ces données voire d’en demander la suppression. Enfin, originalité remarquable du texte, il prévoit l’obligation pour les entreprises d’offrir le même service, de traiter de la même manière le consommateur qui partage ses données et celui qui refuse de les partager. Ces dispositions sont assorties d’une facilitation des recours au juge en cas de litige notamment suite

S’il ne fait aucun doute que ce texte intervient en réponse au scandale de Cambridge Analytica, les entreprises californiennes dénoncent le caractère excessif de certaines mesures. Il reste un an et demi avant l’entrée en vigueur du texte, sous la pression des puissantes entreprises de la tech, peut-être connaitra-t-il des ajustements d’ici là. Affaire à suivre.

http://leginfo.legislature.ca.gov/faces/billNavClient.xhtml? bill_id=201720180AB375

Au sommaire de ce numéro
Par