Aux USA, au lendemain de l’audition du PDG de Google et après le ‘’Scandale Cambridge Analytica’’ avec Facebook, un groupe de 15 sénateurs démocrates Américains ont proposé un nouveau projet de loi visant à protéger les informations personnelles en ligne : Data Care Act.
1 – Le ‘Data Care Act’, proposé par le sénateur Brian Schatz (D-HI) et plus d’une douzaine de coauteurs, dont Amy Klobuchar (D-MN) et Cory Booker (D-NJ), est le premier texte d’application générale au niveau fédéral qui vise à fixer les règles devant régir la collecte et la gestion des données à caractère personnel par les plateformes en ligne. Cette proposition intervient après celle du sénateur Ron Wyden (D-OR), qui a proposé un projet de loi à l’automne requérant une peine d’emprisonnement pour les dirigeants qui manipuleraient mal les données des consommateurs.
2 – Afin d’éviter les ambiguïtés, la data Care Act procède au niveau de la deuxième section à la clarification des concepts de ‘‘end user’’,‘‘individual identifying data’’, ‘‘online service provider’’,‘‘sensitive data’’. Avant toute analyse, on peut regretter le fait que, dans ces clarifications conceptuelles, le texte ne fixe pas de manière expresse et précise les règles par rapport à son application territoriale. La proposition de loi établit à la suite des définitions un ensemble de règles portant sur : les devoirs des ‘’online service provider’’et des tiers utilisateurs, l’autorité de régulation pour la mise en œuvre de ces règles, et la procédure à suivre en cas de non-respect.
3 – En ce qui concerne les devoirs des titulaires de plateforme, elles sont édictées à la section 3 et se résument en devoir « of care, loyalty, and confidentiality ». Elle(la proposition de loi), donne également la possibilité à la commission (FTC) d’adopter les règles concernant l’obligation de notification en cas de violation des informations à caractère personnelle. Bref, il s’agit d’une obligation de « protection raisonnable » que le sénateur Brian Emanuel Schatz, l’un des 13 auteurs du texte, membre du Parti démocrate et sénateur d’Hawaï depuis 2012 compare à celle qui pèse sur les médecins et les avocats.
4 – Pour ce qui est de l’organisme de régulation, le texte, en édictant que les violations aux obligations ci-dessus citées soient traitées de la même manière que ceux prévues à l’article 18 de la federal-trade-commission-act, fait de la ‘’Federal Trade Commission’’ (FTC)l’organe de régulation chargée de la mise en œuvre de ce texte. La FTC est également chargée de de prendre un certain nombre de règles pour la mise en application du texte. Ceci
‘’by the same means, and with the same jurisdiction, powers, and duties as though all applicable terms and provisions of the Federal Trade Commission Act (15 U.S.C. 41 et seq.) were incorporated into and made a part of this Act.’’
L’État est également chargé de veiller à la mise en œuvre du texte à travers le rôle que doit jouer le procureur généraldes USA. L’action initiée par ce dernier est une action civile pouvant conduire à la condamnation à des dommages et intérêts. En fait, au regard de la section (4) (b) (1),
‘’In any case in which the attorney general of a State has reason to believe that an interest of the residents of the State has been or is threatened or adversely affected by the engagement of an online service provider in a practice that violates section 3, the attorney general of the State may, as parens patriae, bring a civil action against the online service provider on behalf of the residents of the State in an appropriate district court of the United States to obtain appropriate relief’’.
5 – Si ce texte est adopté, il viendra compléter et renforcer les textes des États fédérés et un ensemble de lois fédérales qui régissaient la protection des données à caractères personnels et dont on peut citer entre autres :
La privacy-act-de 1974, qui établit les règles devant être respectées par les organismes fédéraux, et une série de lois visant la protection des données à caractère personnel dans le secteur privé :
FCRA (Fair Credit Reporting Act 1970) : visant à réguler les profils de solvabilité des individus ;
ECPA (Electronic Communications Privacy Act 1986) : visant la protection des données de télécommunications ;
VPPA (Video Privacy Protection Act 1988) : visant la protection des données sur les locations vidéos ;
Cable TV Privacy Act 1984 : visant la protection des données sur les choix des individus en matière d’émissions de télévision ;
HIPAA (Health Insurance Portability and Accountability Act 1996) : visant la protection des données de santé ;
COPPA (Children’s Online Privacy Protection Act 1998) : visant la protection en ligne des données concernant les enfants ;
GLBA (Gramm-Leach-Bliley Act 1999) : visant la protection des données financières ;
Can-SPAM Act 2003 : visant l’interdiction des messages publicitaires .
Commentaires