Il est temps que les États-Unis se dotent d’un texte législatif global réglementant l’utilisation des données personnelles de leurs citoyens. Tel est le sens de l’intervention de Tim Cook lors de la « 40e conférence internationale des commissaires à la protection des données et de la vie privée », qui s’est tenue à Bruxelles le 24 octobre 2018.

De manière implicite, le PDG d’Apple a également pointé du doigt des entreprises comme Google ou Facebook, dont le modèle économique est plus spécifiquement basé sur la collecte et l’utilisation de données personnelles que ne l’est celui de la firme à la pomme.

Selon lui, le RGPD européen va dans la bonne direction et devrait inspirer l’adoption d’une loi fédérale comparable sur le sol américain.

Réglementation des données personnelles aux États-Unis

Contrairement à la situation prévalant en Europe depuis l’adoption du règlement général sur la protection des données, aucune législation nationale n’encadre leur collecte ni leur traitement aux États-Unis. Les lois qui s’appliquent actuellement dépendent de chaque État. Elles peuvent grandement différer de l’un à l’autre. En outre, l’absence d’un cadre unique complique le fait, pour les USA, de négocier une éventuelle convergence des lois avec l’Union Européenne.

En prenant l’initiative d’adopter une loi s’inspirant du RGPD européen, la Californie est actuellement l’État le plus en pointe sur cette thématique. Les entreprises devront informer leurs clients et utilisateurs sur le type de données personnelles collectées, tout en leur laissant la possibilité de s’opposer à leur traitement à des fins commerciales ou à leur suppression. Il sera en outre interdit de vendre ou céder toute donnée concernant des mineurs de moins de 16 ans. Promulguée en juin 2018, cette loi entrera en vigueur le 1er janvier 2020.

L’administration Obama avait déjà tenté de promulguer une loi comparable en 2012 au niveau fédéral, sans succès. À la suite des récents scandales ayant concerné plusieurs grands noms de la « tech » américaine, une nouvelle proposition est actuellement discutée par l’administration Trump, selon le Washington Post.

Si elle aboutissait, cette version devrait cependant s’avérer moins contraignante que sa consœur européenne.

Protection des données en Europe

Le RGPD consiste en un règlement européen. À ce titre, il s’applique directement depuis le 25 mai 2018, sans nécessité d’être transposé en droit local dans chaque État membre. Sa vocation est de renforcer les droits des personnes dont les données font l’objet d’une collecte et d’une utilisation. Le RGPD s’applique dès lors qu’un traitement est mis en œuvre par une entité y compris auprès d’organismes extérieurs à l’Union Européenne.

Les individus concernés doivent être informés au préalable et de façon claire du type de données personnelles collectées, ainsi que de la nature du traitement appliqué.

Le consentement à celui-ci doit être fourni de manière explicite. La suppression des données à l’issue de leur traitement, ou leur communication dans un format aisément lisible, peut également être demandée par l’ayant droit. Par ailleurs, toute personne a la faculté de demander une intervention humaine dans un processus de traitement automatisé la concernant.

En cas de fuite de données personnelles dont il a la charge, tout organisme a l’obligation d’en informer son autorité nationale de référence, afin de protéger au mieux les utilisateurs. Les entités publiques ou privées répondant à certains critères spécifiques (notamment celles traitant des données à grande échelle ou collectant des informations particulièrement sensibles) doivent obligatoirement désigner en leur sein un délégué à la protection des données.

Une étude préalable de l’impact sur la vie privée des utilisateurs doit être envisagée avant tout projet susceptible de présenter d’importantes implication en matière de protection des données personnelles. En cas de manquement aux dispositions du RGPD, des sanctions graduées sont prévues : celles-ci comprennent le simple avertissement, la limitation temporaire ou définitive du traitement ou encore l’obligation de satisfaire aux demandes des ayants droits. Des amendes administratives peuvent être prononcées. Celles-ci peuvent s’élever jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaire annuel mondial de l’entreprise fautive (le montant le plus élevé étant retenu, cumulable pour chaque État européen concerné).

Lors de son entrée en vigueur, le RGPD avait été froidement accueilli de l’autre côté de l’Atlantique. Aujourd’hui, force est de constater que plusieurs pays à travers le monde, dont les États-Unis, réfléchissent à leur propre version d’un tel texte.