Les développements récents en matière de confidentialité aux États-Unis sont très similaires au cadre de confidentialité de l’UE – un rappel que la législation de l’UE établit des normes non seulement pour l’Europe, mais pour le monde.
Introduction
Pour un Européen qui a suivi de près le processus fastidieux de négociation et d’adoption du Règlement général sur la protection des données (RGPD) de l’UE au milieu des années 2010, la loi américaine sur la protection de la vie privée ressemble beaucoup à du déjà-vu. Le projet d’une loi fédérale américaine prometteuse sur la protection de la vie privée qui établirait, pour la première fois, un régime complet de protection des données aux États-Unis, a été bloqué en raison de choses qui ont presque (mais n’ont pas) enfreint l’adoption du RGPD. Les nouvelles lois américaines sur la protection de la vie privée qui se sont inspirées, dans une large mesure, du RGPD, ont ouvert des dilemmes d’interprétation très similaires à ceux qui ont occupé les avocats de la protection de la vie privée de l’UE en 2018 (et dans une certaine mesure, ils le font toujours). La Federal Trade Commission (FTC) des États-Unis a annoncé une réglementation en matière de confidentialité qui met l’accent sur les concepts qui constituent depuis longtemps un élément fondamental du régime de protection des données de l’UE.
Dans cet article de blog, je déballe ces développements récents en matière de confidentialité aux États-Unis et j’établis des parallèles fascinants avec le cadre de protection des données de l’UE. J’examine d’abord l’état actuel de la loi fédérale américaine sur la protection de la vie privée et discute de ce à quoi pourrait ressembler son avenir. J’aborde ensuite les lois récemment promulguées par les États de Californie, de Virginie, du Colorado et de l’Utah, qui modifient à jamais le domaine de la confidentialité aux États-Unis. Enfin, je commente l’élaboration des règles de confidentialité de la FTC et la façon dont son vaste mandat comprend des concepts adoptés pour la première fois par le droit de l’UE.
La loi fédérale sur la protection de la vie privée – trop belle pour être vraie ?
L’American Data Privacy and Protection Act (ADPPA) est un projet de loi fédéral sur la protection de la vie privée qui a probablement été le plus avancé dans le processus législatif, mais qui n’a pas été adopté à la Chambre. Avec le Congrès en vacances, le destin du projet de loi n’est pas clair, mais comme le dit le proverbe, espérons que cela dure, et certains ont donc affirmé que le projet de loi pourrait encore être repris par le prochain Congrès.
L’ADPPA est une loi complète sur la protection des données qui, à bien des égards, me rappelle le RGPD (en particulier les dispositions sur la minimisation des données, la confidentialité dès la conception, les droits des personnes concernées, les responsables de la confidentialité et les évaluations d’impact sur la protection des données), mais qui s’accompagne d’un certain nombre de dispositions uniquement américaines. des détails tels que les règles sur les entités de collecte tierces, l’évaluation d’impact algorithmique, les références au premier amendement et, surtout, la section de préemption.
Ce dernier, en particulier, a fait l’objet de critiques à l’égard de l’ADPPA. En vertu de la doctrine de la préemption, qui est basée sur la clause de suprématie de la constitution américaine, la loi fédérale prévaut sur la loi des États, même lorsque les lois sont en conflit. L’ADPPA est rédigée d’une manière qui prévaudrait sur les lois nationales sur la confidentialité (telles que la CCPA californienne) même si elles accordaient davantage de protections aux personnes concernées. Cela a été un point de discorde pour certains représentants du Congrès basés en Californie, car ils n’aimaient pas l’idée d’abaisser potentiellement les normes pour lesquelles les Californiens se sont tant battus.
Alors que la préemption était un point sur lequel l’ADPPA semble avoir échoué, c’est exactement ce point qui a fait du RGPD un développement aussi crucial pour la protection des données de l’UE. Dans le langage du droit de l’UE, la préemption peut être comparée au principe de primauté en vertu duquel les réglementations de l’UE (directement efficaces) priment sur les lois sur la vie privée des États membres. Le fait que le RGPD soit un règlement et qu’il ait été appliqué dans tous les États membres avec seulement des écarts mineurs l’a rendu solide, efficace et pérenne.
Les lois américaines sur la protection de la vie privée
Comme déjà mentionné ci-dessus, la Californie mène la charge sur les développements de la vie privée aux États-Unis. En janvier dernier, un amendement à la loi californienne sur la protection de la vie privée (la soi-disant CPRA) est entré en vigueur, qui contient des exigences supplémentaires et met en place une véritable autorité de protection des données. La loi californienne sur la confidentialité, adoptée en 2018, semblait ouvrir la voie à quelques autres États pour adopter leurs propres lois sur la confidentialité, la plupart d’entre elles étant basées sur des principes très similaires. En Virginie, une loi complète sur la protection de la vie privée vient d’entrer en vigueur le 1er janvier, les lois du Colorado et du Connecticut devraient entrer en vigueur en juillet 2023 et la loi de l’Utah entrera en vigueur en décembre.
Du point de vue d’un praticien de la protection de la vie privée, la prolifération des lois sur la protection de la vie privée dans différents États membres n’est pas idéale. Il est facile de commencer à se perdre dans des écarts mineurs entre les lois des États, des politiques de confidentialité trop compliquées et des programmes de respect de la vie privée dispersés.
La situation me rappelle les « anciens temps » de l’UE où chaque État membre avait sa propre législation nationale sur la protection de la vie privée – qui pouvait différer l’une de l’autre, tant en termes de forme que de fond. Cependant, l’UE disposait au moins, depuis 1995, d’une directive sur la protection des données qui fixait les normes minimales auxquelles les États membres ne pouvaient déroger. Donc, d’une certaine manière, la situation actuelle aux États-Unis est en fait pire, parce qu’il n’y a pas de loi qui fixerait au moins certaines exigences de base intersectorielles. Alors qu’un tas de lois fédérales touchent au domaine de la vie privée (que les nouvelles lois des États visent à réglementer de manière exhaustive), il n’est pas toujours facile de déterminer dans quelle situation quelle loi s’applique. Prenons, par exemple, les données de santé qui ont été réglementées au niveau fédéral par la loi HIPAA (Health Insurance Portability and Accountability Act), par la FTC par le biais de leurs réglementations anti-tromperie, et maintenant également par diverses lois étatiques sur la confidentialité (généralement dans le cadre de la catégorie des données sensibles).
La réglementation de la FTC
Comme s’il n’y avait pas assez à suivre et à digérer, la profession américaine de la protection de la vie privée a également été touchée par la réglementation annoncée par la FTC. Dans le domaine de la confidentialité et de la sécurité, la FTC a été chargée d’appliquer l’article 5 de la loi FTC (en plus de certaines autres lois fédérales importantes), qui interdit les actes et pratiques déloyaux et trompeurs dans le commerce ou affectant celui-ci. Mais dans l’économie de la surveillance commerciale, selon la FTC, de nouvelles règles sont nécessaires pour protéger la vie privée et les informations des personnes. Nouveau’des règles à l’échelle du marché pourraient aider à fournir un avis clair et à rendre l’application plus efficace et efficace‘.
Si nous mettons de côté les critiques selon lesquelles la FTC outrepasse son mandat d’application, ce qui a potentiellement un impact négatif sur l’adoption de la loi fédérale sur la protection de la vie privée et le fait que les règles sont probablement dans des années, l’avis préalable d’élaboration de règles comprend un tas de faits intéressants, en particulier de la part de quelqu’un qui les considère dans une perspective européenne. Dans leur avis, dans lequel la FTC demande au public d’évaluer si et quelles nouvelles règles sont nécessaires pour protéger la vie privée et les informations des personnes dans l’économie de la « surveillance commerciale », la Commission est également, à plusieurs reprises en fait, se référant à des concepts et des processus qui ont été mis en œuvre avec succès dans des juridictions étrangères, notamment européennes. Un exemple frappant est le recours au principe de limitation des finalités en matière de traitement des données et la référence au « test de compatibilité », un test bien connu en vertu de l’article 6, paragraphe 4, du RGPD.
conclusion
La vie d’un professionnel de la vie privée aux États-Unis n’a jamais été aussi passionnante, mais pour quelqu’un qui a quitté l’UE pour s’installer dans les États-Unis, c’est aussi un excellent rappel de ce que l’Union a réalisé en alignant toutes ses lois sur la vie privée sous l’égide de la GDPR et l’établissement de normes non seulement pour l’Europe, mais pour le monde entier.
La chronique a été générée de la manière la plus fidèle qui soit. Vous pouvez écrire en utilisant les coordonnées indiquées sur notre site internet afin d’apporter des explications sur ce contenu traitant du thème « Jeunes avocats ». Beaucoup de réponses sont livrées par cet article relayé par uja-nantes.fr qui parle du thème « Jeunes avocats ». La vocation journalistique de uja-nantes.fr est de parler de Jeunes avocats dans la transparence en vous offrant la visibilité de tout ce qui est en lien avec ce sujet sur le net D’ici peu, on mettra en ligne d’autres infos sur le sujet « Jeunes avocats ». Par conséquent, visitez régulièrement notre site.