Archives des étiquettes : RGPD

Technologies : et si les USA s’inspiraient du modèle Européen ?

Source iaap.org

Le titre de ce post peut sans doute laisser un peu dubitatif. Imaginer que les USA puissent prendre modèle sur l’Europe pour quelque chose touchant le domaine technologique est sans doute un peu présomptueux… Ou pas.

Les réflexions actuelles du gouvernement fédéral sur la protection de la vie privée et de la réponse européenne avec la RGPD laisse forcément à penser que le législateur risque bien de s’inspirer du modèle européen pour le bien de tous les utilisateurs (bon, c’est vrai, un peu moins sympa pour ceux qui font commerce de nos données personnelles…).

Les militants de la protection de la vie privée et des droits civils affirment qu’une loi fédérale américaine sur la protection de la vie privée de type RGPD devrait être adoptée pour remplacer les différentes lois confuses, fédérales et étatiques en vigueur actuellement. En regroupant avec une loi unique les exigences en matière de protection de la vie privée à travers les États-Unis.

Ces même militants citent l’Union européenne, et le règlement général sur la protection des données (RGPD) qui offre les protections les plus fortes jamais vues pour les données des consommateurs, le tout dans un seul et même texte de loi. Alors qu’aux États-Unis, en revanche, on ne comptent pas moins de huit lois fédérales différentes sur la protection de la vie privée, et une masse de lois étatiques actuelles et d’autres plus ou moins prévues (et tentant d’éviter les lobbies). Ainsi au niveau fédéral les États-Unis, en revanche, ne disposent pas d’une loi unique qui couvre la confidentialité de tous les types de données mais d’un ensemble de lois : HIPAA, FCRA, FERPA, GLBA, ECPA, COPPA, VPPA [et FTC], conçues pour cibler uniquement des types de données spécifiques dans des circonstances particulières ce qui peut permettre aux acteurs exploitant les données personnelles de faire en gros ce qu’ils veulent ou presque.

Voir nos différents posts sur ce sujet :

Le RGPD favorise-t-il les géants d’Internet sur le marché de la publicité ?

Depuis son entrée en vigueur le 25 mai 2018, le règlement général pour la protection des données (RGPD) instauré par l’Union Européenne, est censé donner quelques droits aux internautes européens quant à l’utilisation faite de leurs données par les opérateurs Internet ou plus globalement toute entreprise collectant des données personnelles, professionnelles ou critiques (médicales par

Les données collectées par la grande majorité des produits que les gens utilisent tous les jours ne sont pas réglementées. Étant donné que de nombreuses entreprises ne sont soumises à aucune loi fédérale sur la protection de la vie privée, elles sont pratiquement libres de faire ce qu’elles veulent de ces données, à moins qu’un État n’ait adopté sa propre loi sur la confidentialité des données. Dans la plupart des États, les entreprises peuvent utiliser, partager ou vendre toutes les données qu’elles recueillent à votre sujet sans vous en informer. Pour enfoncer le clou, si un site web partage vos données, y compris des informations sensibles telles que votre santé ou votre localisation, avec des tiers, ces derniers peuvent les vendre ou les partager sans vous en informer.

Alors oui, il existe aussi des lois au niveau des états, mais à part en Californie, elles sont beaucoup plus restrictives que la RGPD qui chez nous exige que les entreprises demandent certaines autorisations pour partager des données et donne aux individus des droits d’accès, de suppression ou de contrôle de l’utilisation de ces données. Actuellement, trois États américains disposent de trois lois complètes différentes sur la protection de la vie privée des consommateurs : la Californie (CCPA et son amendement, CPRA), la Virginie (VCDPA) et le Colorado (ColoPA). Alors à ceux qui pensent que Google Facebook, présent en Californie doivent appliquer ces lois au niveaux de tous leurs processus et pour tous leurs utilisateurs, pas de chance… les droits prévus par ces lois ne s’appliquent qu’aux personnes qui vivent dans ces États.

Alors cette situation est forcément compliquée pour les consommateurs – leur donnant des droits à la vie privée très différents selon l’endroit du pays où ils se trouvent – mais c’est aussi finalement un cauchemar pour les entreprises, qui devront finalement se conformer à plus de 50 lois différentes sur la vie privée même si elle n’adressent que le territoire américain… D’ou la demande de lois fédérale sur le modèle européen de la RGPD qui n’est pas uniquement poussée par les associations de consommateurs mais aussi pas les entreprises (enfin celles qui ne vivent pas de ce modèle commercial).

Alors rêvons un peu (ou pas) d’une loi fédérale largement inspirée de notre RGPD ? Ce n’est peut-être pas qu’un doux rêve lorsque l’on sait que la personne à l’origine de la loi californienne (celle qui ressemble le plus à la RGPD) alors qu’elle était procureure de l’état est aujourd’hui vice-présidente des Etats Unis…

L’état de Washington pourrait adopter une loi proche du RGPD avec le consentement de Microsoft et Amazon…

upload.wikimedia.org/wikipedia/commons/2/2f/Spa...

L’état de Washington va tenter une nouvelle fois d’adopter une réglementation sur la protection des données sur le modèle des lois européennes (RGPD) et californiennes – et la troisième fois pourrait bien être la bonne, selon Reuven Carlyle, le sénateur de l’État qui port se projet depuis le début… Le « Privacy Act » de Washington accorde aux consommateurs le droit d’accéder, de transférer, de corriger et de supprimer les données que des entreprises telles que Facebook ou Google détiennent sur eux. Les consommateurs peuvent également refuser la publicité ciblée et la vente de leurs données personnelles en vertu de cette législation. Sans surprise on retrouve donc les éléments de base du RGPD mais aussi des éléments introduit en 2018 par la Californie. Loi établie en Californie avec la bénédiction de la Procureur Générale de l’état jusqu’en 2017 : une certaine Kamala Harris 🙂

« J’ai essayé de prendre les meilleures pratiques du RGPD et les meilleures pratiques de la loi californienne et le caractère unique de Washington, et de proposer un projet de loi basé sur les meilleures pratiques« , a noté M. Carlyle.

Les nouvelles règles s’appliqueraient aux entreprises qui ciblent les résidents de l’État et atteignent un ou plusieurs de ces seuils :

  • L’entreprise contrôle ou traite les données de 100 000 consommateurs ou plus par an
  • Plus de 25 % du revenu brut de l’entreprise provient de la vente de données à caractère personnel et cette entreprise traite ou contrôle les données de 25 000 consommateurs ou plus
  • Mais les organismes gouvernementaux, les transporteurs aériens et les entreprises de traitement des données médicales sont bizarrement exemptés de la réglementation…

Carlyle pense que son projet de loi de troisième génération réussira là où les tentatives précédentes grâce au soutien de l’industrie technologique dont Microsoft et Amazon, (les géants locaux) :

Ryan Harkins, le directeur des affaires publiques de Microsoft déclarait « Nous pensons qu’il s’agit d’une approche réfléchie qui répondrait à ce qui est devenu un besoin urgent de moderniser la loi américaine sur la protection de la vie privée« . Tandis que Brian Huseman, vice-président de la politique publique d’Amazon écrivait « Bien que nous soutenions depuis longtemps une approche fédérale de la protection de la vie privée, nous apprécions le travail critique en cours au niveau des États et sommes reconnaissants de pouvoir travailler avec les décideurs politiques de notre État d’origine, Washington, sur ces questions importantes« 

Ces dernières années, les critiques ont accusé le projet de loi de manquer de mordant parce qu’il ne permet pas aux consommateurs individuels de poursuivre les entreprises technologiques pour violation de leurs droits en matière de protection des données. Cette possibilité d’intenter un procès en tant que consommateur individuel, ne figure pas dans la dernière version du projet de loi. Comme dans les versions précédentes, le droit de poursuivre en justice pour violation de la loi appartient au seul procureur général de l’État une belle limitation donc…

Autre élément ne figurant plus cette fois dans cette troisième édition : les technologies de reconnaissance faciales qui ne sont plus concernées par cette proposition de lois… Dont les sociétés Amazon et Microsoft fournissent les éléments technologiques. Avec un enjeux : ne pas laisser le terrain libre aux géants chinois.

Il est vrai q’au printemps dernier, l’assemblée législative de l’État de Washington avait adopté un projet de loi établissant de nouveaux garde-fous pour les logiciels de reconnaissance faciale et le sénateur Carlyle a déclaré qu’il « ne ressentait pas le besoin de s’engager à nouveau dans cette question pour le moment ».

La loi sur la protection de la vie privée s’applique en Californie depuis le 1er juillet

1200px-Flag_of_California.svgLa Californie a commencé le 1er juillet à appliquer sa loi sur la protection des données numériques, six mois après son entrée en vigueur. Elle a été décrite comme la loi sur la protection de la vie privée la plus stricte des États-Unis, ayant été en partie modelée sur la loi de référence européenne, notre fameuse RGPD.

La loi a été adoptée le 1er janvier, mais l’État a donné aux entreprises six mois pour se mettre en conformité. Pour rappel nous avions 2 ans en Europe pour le faire. Donc beaucoup moins de temps ici. Mais il est vrai que les entreprises californiennes avait déjà travailler sur le sujet justement pour leur mise en conformité avec la GDPR…

Malgré les appels de l’industrie et des géants de la tech (Facebook et Google en tête) pour que l’État attende en raison de la pandémie de coronavirus, le procureur général de l’état, Xavier Becerra n’a pas cédé…Elle donne aux consommateurs de l’État – et à beaucoup d’autres en dehors de la Californie – la possibilité de demander aux entreprises de leur indiquer les données personnelles qu’elles détiennent sur chaque personne et de demander aux entreprises de cesser de vendre leurs données personnelles à des tiers annonceurs ou autres. Un casse-tête pour certaines sociétés comme Facebook, pris une nième fois encore, la semaine dernière avec la main dans le pot de confiture…

Que se passera-t-il si les sociétés ne respectent pas la loi ? À partir de cette semaine, le bureau du procureur peut commencer à envoyer des avertissements aux entreprises qui pourraient être en infraction avec la loi et leur donner 30 jours pour régler les problèmes avant de faire face à d’éventuelles amendes ou poursuites. Un petit délais de grâce.

Pas question au passage pour ces sociétés de menacer de quitter l’état pour s’installer au Delaware per exemple (Paradis fiscal interne aux États Unis, sorte de Luxembourg, d’Irlande et de Pays bas réunis pour les Entreprises), là où est installé leurs sièges sociaux (comme c’est le cas de Facebook ou Alphabet la maison mère de Google), le législateur ayant prévu ce cas de figure en protégeant comme avec la GDPR les citoyens avant tout.

Cette loi est limité à la Californie, même si d’autres états, majoritairement Démocrates sont en train de mettre en oeuvre leur loi de protection de la vie privée également, là encore sur le modèle de l’Europe (pour une fois que c’est dans ce sens …). Des entreprises comme Apple en particulier qui a fait de la vie privée son cheval de bataille (face à un Google…) et d’autres géants comme Microsoft (qui ne tire pas non plus de gros revenus de la publicité) continuent de réclamer une loi fédérale unique sur la protection de la vie privée afin de faciliter la mise en conformité. Là encore sur le modèle européen !

Le RGPD favorise-t-il les géants d’Internet sur le marché de la publicité ?

RGPDDepuis son entrée en vigueur le 25 mai 2018, le règlement général pour la protection des données (RGPD) instauré par l’Union Européenne, est censé donner quelques droits aux internautes européens quant à l’utilisation faite de leurs données par les opérateurs Internet ou plus globalement toute entreprise collectant des données personnelles, professionnelles ou critiques (médicales par exemple).

Mais ce RGPD a très tôt été critiqué pour son caractère assez vague concernant les obligations des entreprises (nous avons évoqué ce problème lors du Briefing Calipia de juin 2017), ce qui a rapidement aboutit à une certaine cacophonie quant aux mesures prises par les entreprises pour rester conformes à cette réglementation comme le décrivait en juin le site Digiday.

Si certaines entreprises pour limiter les risques ont suspendu temporairement leurs activités au sein de l’Union européenne ou ont simplement annoncé l’arrêt de leurs activités en ligne, les plus grosses ce son adaptée afin de juridiquement échapper à toute poursuite, comme Facebook qui a transféré la gestion de tous ses utilisateurs non européens ou américains (donc 1,5 milliards de personnes) de sa filiale Irlandaise à son siège en Californie.

De plus le flou concernant les mesures à prendre pour être en conformité à aboutit à différentes interprétations des acteurs du Net, qui utilisent des options d’adhésion (opt in) préalablement cochées, des options masquées que des consommateurs sont obligés de rechercher, des bannières de consentement dont les informations ne peuvent être atteintes qu’avec un clic supplémentaire et qui n’ont pas de bouton « Rejeter ». D’autres se servant du bouton dit « nuke button » qui permet à l’utilisateur de rejeter absolument tout sans même lui donner une idée de ce qu’il rejette ou accepte.

Donc le premier constat est que la mise en place de ce RGPD est assez loin d’être parfaite.

Mais il y a pire : une enquête de Reuters montre que les directives du règlement contribuent à renforcer la mainmise des géants tels que Google et Facebook sur le marché de la publicité au détriment de dizaines d’entreprises plus petites. En effet, Google, Facebook et d’autres grands du Web continuent à amasser et analyser des quantités colossales de données à travers des procédés « conformes au RGPD ». Lesquelles données pourront être exploitées par les annonceurs moyennant une forte rétribution du fait d’un manque de concurrence lié au fait que les sociétés plus petites, et elles sont nombreuses, n’ont pas à leur disposition les moyens de contourner la réglementation en vigueur.

Le RGPD, dont un des buts était de contraindre à une certaine éthique des acteurs comme Google et Facebook qui prospèrent sur la vente de nos données semble donc leur donner un avantage concurrentiel ! Personnellement j’hésite entre le rire et les larmes …