Il devrait exister aux États-Unis une norme juridique nationale que les entreprises devraient respecter pour garantir que les données des consommateurs sont utilisées de manière éthique et conforme.
La grande majorité (93 %) des consommateurs déclarent être préoccupés par la sécurité de leurs informations personnelles en ligne. Et ils joignent le geste à la parole en ne dépensant pas leur argent auprès d’entreprises qui ne donnent pas la priorité à la confidentialité des données. En fait, 97 % des consommateurs préfèrent faire affaire avec des entreprises qui ont fait leurs preuves en matière de protection de la confidentialité des données.
Alors que de nombreux États américains ont commencé à prendre ces vérités au sérieux en promulguant des lois sur la confidentialité, un patchwork de réglementations État par État rend difficile la véritable protection des données des clients – mettant en évidence le besoin urgent pour les législateurs de cesser de traîner les pieds et de donner la priorité à une loi nationale.
Alors, qu’est-ce qui se passe ? Regardons ça de plus près.
Pourquoi les États-Unis ne semblent pas parvenir à adopter une loi fédérale sur la protection de la vie privée
L’American Data Privacy Protection Act (ADPPA) a été la première tentative sérieuse des États-Unis de créer une loi fédérale sur la confidentialité, qui a été lancée en 2022. L’objectif principal de l’ADPPA était de réglementer la manière dont les organisations peuvent utiliser et héberger les données des consommateurs. Le projet de loi a bénéficié d’un soutien bipartisan lors de son passage à la Chambre des représentants, mais n’a pas reçu le soutien clé nécessaire pour avancer (en particulier de la part des législateurs californiens), des critiques spécifiques ayant été formulées quant à l’impact que le projet de loi pourrait avoir sur les efforts d’application de la loi.
Ce qui nous amène à la deuxième tentative des États-Unis de faire passer une loi fédérale complète sur la protection de la vie privée : l’American Privacy Rights Act (APRA). L’APRA partage de nombreuses similitudes avec son prédécesseur condamné à l’échec, notamment des directives concernant la minimisation stricte des données et les droits individuels sur les données personnelles, ainsi que la possibilité de refuser la publicité ciblée. La législation devait être examinée par la commission de l’énergie et du commerce de la Chambre des représentants, ce qui aurait donné aux législateurs la possibilité d’analyser et d’amender le projet de loi.
Mais le projet a été annulé à la dernière minute, en grande partie à cause des inquiétudes des Républicains concernant le droit d’action privé prévu par le projet de loi, qui, selon eux, pourrait avoir des conséquences négatives sur les petites entreprises. Cela signifie que, pour l’instant, l’APRA est au point mort, potentiellement jusqu’à l’élection présidentielle américaine du 5 novembre.
Que peuvent apprendre les États-Unis du RGPD de l’UE ?
Si la pause à laquelle sont confrontés les législateurs américains est certes frustrante – surtout lorsque le succès de l’adoption d’une telle réglementation dépend d’une élection aussi importante –, elle offre aux législateurs une occasion unique d’examiner les principaux enseignements tirés de l’expérience outre-Atlantique. Le Règlement général sur la protection des données (RGPD) de l’Union européenne est déjà en vigueur depuis plus de six ans et vise à guider la manière dont les données personnelles sont collectées, utilisées, transférées, stockées et traitées.
Les décideurs politiques américains pourraient prendre en compte quelques éléments clés lorsqu’ils tentent d’obtenir un soutien bipartisan :
Rome ne s’est pas faite en un jour… et le RGPD non plus. Lorsque l’on considère la dynamique entre la législation et la technologie, il est important de noter que l’une évolue toujours plus vite que l’autre. Les auteurs originaux du RGPD ont été assez intelligents, car ils ont fait un effort concerté pour réfléchir à la manière dont le langage se comporterait à mesure que la technologie continuerait de se développer. En conséquence, le RGPD reste très applicable à l’IA, malgré le boom qui n’a eu lieu qu’au cours des 18 derniers mois. Par exemple, un élément fondamental du RGPD est le droit d’un utilisateur à contester une décision automatisée car les informations sur lesquelles une réponse est basée pourraient être erronées. Et si les entreprises ne sont pas en mesure d’expliquer correctement comment cette décision a été prise, elles ne peuvent pas remplir leur obligation légale dans le cadre du RGPD. Ainsi, les grandes entreprises technologiques peuvent dire qu’elles ont formé leur IA et qu’elle a pris une décision automatisée, mais elles doivent être en mesure d’expliquer exactement comment l’IA a trouvé cette réponse pour être conformes au RGPD.
Le RGPD a été établi avec l’intention générale de protéger les individus, plutôt que de se concentrer sur des règles spécifiques. L’intégration de cet esprit dans les lois américaines sur la confidentialité pourrait fournir un cadre pour aborder divers scénarios, garantissant à la fois la protection des consommateurs et la responsabilité des organisations, même si la technologie évolue rapidement. Compte tenu de cette intention de protéger les données des consommateurs, il incombe aux entreprises de s’y conformer. Il est intéressant de noter que les consommateurs américains sont 55 % plus susceptibles que les consommateurs de l’UE de penser que la confidentialité des données doit être entre les mains des entreprises. Il est important de noter que le rôle du RGPD en tant que système de contrôle et d’équilibre est essentiel à son succès et devrait être imité aux États-Unis, d’autant plus que les inquiétudes concernant la sécurité des données continuent de croître.
En fin de compte, il devrait y avoir une norme juridique nationale aux États-Unis que les entreprises devraient respecter pour garantir que les données des consommateurs sont utilisées de manière éthique et conforme. Bien que le processus d’adoption d’une loi fédérale sur la confidentialité comporte des obstacles, les éléments positifs du RGPD pourraient ouvrir la voie à un cadre solide. L’équilibre entre adaptabilité et principes éthiques fondamentaux ouvrira la voie à l’élaboration d’une loi qui résiste aux changements technologiques rapides.
