Le Data Protection Act of 2020 : vers une Agence américaine de protection des données ?

Ecrit par Simon Du Perron, auxiliaire de recherche au Laboratoire de cyberjustice – Hiver 2020.

Le 13 février 2020, la sénatrice américaine Kirsten Gillibrand, une démocrate de l’État de New York, a introduit un projet de loi visant la création du Data Protection Agency, une agence fédérale de réglementation qui aurait pour mandat de protéger la vie privée des Américains et de limiter la collecte, la divulgation, le traitement et l’utilisation abusive de leurs données personnelles.

Cette agence, relevant du pouvoir exécutif, serait dirigée par un directeur nommé par le président et confirmé par le Sénat pour un mandat de 5 ans. Le projet de loi prévoit que les candidats au poste devront avoir des connaissances dans le domaine de la technologie, de la protection des données personnelles, des droits civils, du droit, des sciences sociales et des affaires.

Dans une publication sur le site Medium, la sénatrice Gillibrand explique que l’agence aurait trois missions principales : 

  1. Donner aux Américains le contrôle et la protection sur leurs données en promulguant et en assurant l’application de règles en matière de protection des données à l’échelle nationale ;
  2. Œuvrer au maintien du secteur technologique le plus innovant et le plus performant au monde et assurer une concurrence loyale sur le marché numérique ; et
  3. Préparer le gouvernement américain à l’ère du numérique.

Ainsi, le projet de loi, s’il est adopté, mettrait en place un mécanisme permettant au Data Protection Agency de recevoir les plaintes de citoyens et d’effectuer des enquêtes relatives aux pratiques déloyales ou trompeuses en matière de collecte, de divulgation, de traitement et d’utilisation de données à caractère personnel. Pour ce faire, l’agence pourra notamment émettre des subpoenas pour la production de documents ou de témoignages.

Un aspect intéressant du projet de loi est qu’il confie à l’agence de réglementation le mandat de superviser sur une base régulière les activités des entités dont les revenus annuels excèdent 25 000 000 $ ou celles qui traitent les données de plus de 50 000 individus ou encore celles dont plus de la moitié des revenus découlent de la vente de données personnelles. À ce titre, l’agence pourra obliger une entité à effectuer des évaluations d’impact ex ante et des audits ex post des traitements de données jugées particulièrement risqués.  

En cas de non-respect d’une loi fédérale en matière de vie privée, notamment le Children’s Online Privacy Protection Act (COPPA) et le Fair Credit Reporting Act (FCRA), le projet de loi autorise l’agence à introduire un recours civil contre l’entité fautive afin d’obtenir la réparation jugée adéquate. L’agence est également investie du pouvoir d’imposer des pénalités monétaires allant de 5000 $ à 1 000 000 $ pour chaque jour pendant lequel la violation se perpétue, et ce, selon le degré de gravité de la violation.

Le Data Protection Act of 2020 constitue une véritable révolution du cadre réglementaire américain en matière de protection des données. En effet, la création d’une agence fédérale responsable de la protection de la vie privée des Américains à l’échelle du pays, dans tous les secteurs d’activités, s’oppose à l’approche sectorielle de la législation américaine. On retrouve plutôt ce type d’autorité dans les juridictions ayant adopté un modèle compréhensif en matière de protection de la vie privée (le Commissariat à la protection de la vie privée au Canada ou encore la Commission nationale de l’informatique et des libertés en France).

À première vue, force est de constater que certaines attributions du Data Protection Agency notamment en ce qui concerne le COPPA et le FCRA relèvent déjà du mandat du Federal Trade Commission (FTC). Le Algorithmic Accountability Act, déposé à la chambre des représentants en octobre 2019, propose d’ailleurs d’attribuer au FTC de nouveaux pouvoirs pour exiger des entreprises qu’elles évaluent l’impact de leurs algorithmes en termes de protection des données et de respect de la vie privée.

Notons également que quelques jours seulement avant l’introduction du projet de loi, le sénateur républicain Josh Hawley de l’État du Missouri rendait public son plan visant à réformer en profondeur le FTC pour lui permettre de lutter à armes égales avec les « Big Tech ». Cette proposition, intitulée Overhauling the Federal Trade Commission, entend notamment :

  • Réformer la gouvernance du FTC en remplaçant l’actuelle structure à cinq membres par un directeur unique confirmé par le Sénat pour un mandat de cinq ans ;
  • Créer une division au sein du FTC spécialement dédiée à l’étude des marchés numériques ;
  • Conférer au FTC de nouveaux pouvoirs lui permettant de faire respecter l’interopérabilité et la portabilité des données et d’être en mesure de limiter la quantité de données que les grandes firmes de technologies détiennent ou utilisent ; et
  • Permettre au FTC d’imposer des sanctions civiles en cas de première infraction.

Est-ce qu’une meilleure protection des données personnelles des citoyens américains passe par la création d’une nouvelle agence ou par une réforme d’une agence existante? C’est maintenant au Congrès d’en juger !

Source photo : https://medium.com/@gillibrandny/the-u-s-needs-a-data-protection-agency-98a054f7b6bf

Ce contenu a été mis à jour le 18 mars 2020 à 12 h 18 min.