Après des années de travail et des tentatives infructueuses de législation, un projet de loi fédérale sur la confidentialité des données a récemment été publié. La commission de l'énergie et du commerce de la Chambre des représentants des États-Unis a publié la loi américaine sur les droits à la vie privée (American Privacy Rights Act) le 7 avril 2024. Plusieurs questions ont fait obstacle à l'adoption d'une législation dans le passé, notamment la question de savoir si les États pouvaient édicter des règles plus strictes et si les particuliers pouvaient poursuivre les entreprises en cas de violation de la vie privée.
Avec l’American Privacy Rights Act de 2024, le gouvernement U.S. a établi la première politique nationale de confidentialité des données établissant les droits nationaux à la vie privée des consommateurs et a également fixé des normes pour la sécurité des données. Certaines entités sont exclues de la législation, y compris les petites entreprises, les gouvernements, les entités œuvrant pour le compte des gouvernements et le Centre national pour les enfants disparus et exploités (NCMEC). Pour les organisations à but non lucratif frauduleuses, elles sont uniquement tenues de respecter les normes de sécurité des données. Dans le cadre de cette loi, la Federal Trade Commission (FTC) créera un nouveau bureau chargé de réprimer les violations, qui seront traitées comme une pratique déloyale ou trompeuse en vertu de la loi sur la FTC.
« Ce projet de loi bipartisan et bicaméral est la meilleure occasion que nous ayons eue depuis des décennies d'établir une norme nationale de confidentialité et de sécurité des données qui donne aux gens le droit de contrôler leurs informations personnelles », ont déclaré la présidente de la commission de l'énergie et du commerce de la Chambre des représentants, Cathy McMorris Rodgers (R-WA), et la présidente de la commission du commerce, des sciences et des transports du Sénat, Maria Cantwell (D-WA), dans le communiqué de presse. « Cette législation historique représente la somme d'années d'efforts de bonne foi à la Chambre et au Sénat. Il trouve un équilibre critique sur les questions qui sont critiques pour faire adopter une législation complète sur la confidentialité des données par le Congrès. Les Américains méritent le droit de contrôler leurs données et nous espérons que nos collègues de la Chambre et du Sénat se joindront à nous pour faire adopter cette loi. »
L’un des éléments clés de la loi est qu’elle remplace les lois actuelles sur la vie privée disparates des États, appelées préemption. Comme les entreprises devaient respecter les lois de l'État dans lequel résidait le client, il était difficile de garantir le respect des différentes lois dans de nombreux États.
Toutefois, les États peuvent toujours adopter leurs propres lois sur la protection de la vie privée dans certains cas, notamment en matière de droits civiques et de protection des consommateurs. Lors de l'élaboration de l'APRA, les législateurs ont conservé les normes d'États clés, tels que la Californie, l'Illinois et l'État de Washington.
L’ébauche de 140 pages d’APRA détaille les normes et processus spécifiques en matière de confidentialité des données. Voici cinq parties essentielles du nouveau projet de loi.
Les législateurs ont utilisé le libellé de la California Consumer Privacy Rights Act (CCPA) qui a donné aux personnes lésées par une violation de données le pouvoir de poursuivre des entreprises en justice. Dans le cadre de cette action en justice, les consommateurs peuvent obtenir des dommages-intérêts réels, des mesures injonctives, des mesures déclaratoires ainsi que des honoraires et frais d'avocat raisonnables. En vertu de la loi CCPA, les résidents californiens peuvent également recevoir des dommages et intérêts statutaires.
Les entreprises devront disposer d'une politique de protection de la vie privée détaillant les processus de collecte des données et la manière dont les consommateurs peuvent s'y soustraire. La loi limite également la collecte et le transfert de certains types de données, telles que des informations biométriques ou génétiques, sans le consentement explicite et affirmatif de l’individu, sauf si un objectif autorisé est expressément autorisé.
L'APRA permet aux Américains d'empêcher les entreprises et les courtiers en données de transférer ou de vendre leurs données. Les consommateurs peuvent également refuser la publicité ciblée. En outre, la loi exige le consentement du consommateur pour que les entreprises puissent transférer des données sensibles à un tiers.
Dans le cadre de la législation, la FTC tiendra un registre des courtiers en données. Tous les courtiers en données devront également tenir un site web public qui les identifie en tant que courtiers en données. Les consommateurs, y compris les personnes handicapées, doivent pouvoir contrôler leurs données et refuser leur collecte sur le site web grâce à un mécanisme de « ne pas collecter ».
Si la plupart des entreprises peuvent nommer un responsable de la protection de la vie privée ou un responsable des données, les grands détenteurs de données doivent désigner les deux et se conformer à des exigences supplémentaires telles que le dépôt d'un rapport annuel auprès de la FTC. Les entreprises ne sont pas tenues de créer un poste autonome mais peuvent ajouter ces responsabilités à un poste existant.
Le projet de loi étant encore en phase de discussion, les étapes suivantes ne sont pas encore définies. Aucune date officielle n'a été fixée pour le vote ou l'adoption du projet de loi. En raison des implications pour les entreprises et les consommateurs, les Américains devraient suivre attentivement les discussions et les entreprises devraient commencer à se préparer à suivre les règlements s'ils sont adoptés, qui entreraient en vigueur 180 jours après leur approbation.